해외에서 제작되어 무작위로 전파되는 스팸(Spam) 메일의 첨부 파일을 통해 정보 유출, 스팸 메일 발송, 가짜 백신(FakeAV) 등 다양한 악의적인 기능을 수행할 수 있습니다.
이번에 확인된 2통의 메일에서는 인터넷 팩스 서비스 eFax 또는 HSBC 은행에서 발송한 메일처럼 위장하여 zip 압축 파일로 첨부된 파일을 실행하도록 유도하고 있습니다.
- 제목 : Corporate eFax message - 2 pages
- 제목 : Payment Advice - Advice Ref:[G60048336267] / Priority payment / Customer Ref:[40 024S311X7I]
수신된 이메일 내부에는 fax_id5787896307542543691.zip (fax_id{DIGIT[19]}.exe), Payment Advice [G60048336267].zip (Payment Advice [G60{_net1}].exe) 첨부 파일을 확인할 수 있으며, PDF 문서 아이콘을 통해 사용자가 문서로 착각하여 실행하도록 유도하고 있습니다.
확인된 첨부 파일은 모두 동일한 파일(MD5 : 6c869fa3d850a4b6d054e15edc90ab8d)이며, AhnLab V3 보안 제품에서는 Trojan/Win32.Tepfer.R73036 (VT : 31/47) 진단명으로 진단되고 있습니다.
- h**p://whole*****fanreviews.com/6GhQRPm.exe (MD5 : 68e5b38564e12e9ec408d92d46193862) - F-Secure : Gen:Variant.Kazy.198353 (VT : 6/47)
- h**p://favi***.net/i7K9wKA.exe (MD5 : 68e5b38564e12e9ec408d92d46193862) - F-Secure : Gen:Variant.Kazy.198353 (VT : 6/47)
- h**p://wymiana.***-graf.pl/igr.exe (MD5 : 68e5b38564e12e9ec408d92d46193862) - F-Secure : Gen:Variant.Kazy.198353 (VT : 6/47)
파일이 실행되면 특정 서버에서 연결 체크를 통해 동일한 3개의 파일을 추가적으로 다운로드하여 "C:\Users\(사용자 계정)~1\AppData\Local\Temp\(6자리 숫자).exe" 파일로 임시 생성하여 실행합니다.
C:\Users\(사용자 계정)\AppData\Roaming\Bipi\qomoap.exe
- MD5 : d93dd7e8d8abee04b1ab6eb7a61c2982
- F-Secure : Gen:Variant.Kazy.198353 (VT : 6/47)
※ 해당 폴더와 파일명은 랜덤(Random)하게 생성되므로, 파일 아이콘 모양을 통해 찾을 수 있습니다.
[생성 레지스트리 등록 정보]
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- Qomoap = C:\Users\(사용자 계정)\AppData\Roaming\Bipi\qomoap.exe
생성된 악성 파일(qomoap.exe)은 Windows 시작시 자동 실행되도록 자신을 시작 프로그램에 등록합니다.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules
- TCP Query User{7879A8DF-27CF-4ED6-BF9E-380F855180F6}C:\windows\system32\taskhost.exe = v2.10|Action=Allow|Active=TRUE|Dir=In|Protocol=6|Profile=Private|App=C:\windows\system32\taskhost.exe|Name=Windows 작업을 위한 호스트 프로세스|Desc=Windows 작업을 위한 호스트 프로세스|Defer=User|- UDP Query User{144EB3BE-CA07-4FB1-8A4A-3666F1EEE287}C:\windows\system32\taskhost.exe = v2.10|Action=Allow|Active=TRUE|Dir=In|Protocol=17|Profile=Private|App=C:\windows\system32\taskhost.exe|Name=Windows 작업을 위한 호스트 프로세스|Desc=Windows 작업을 위한 호스트 프로세스|Defer=User|
또한 Windows 방화벽 정책을 수정하여 특정 TCP/UDP 포트의 접근을 하용하도록하여, 차후 추가적인 파일 다운로드가 이루어질 수 있도록 합니다.
이후 일정 시간이 경과하면 구글(Google) 서버에 쿼리 전송을 통한 네트워크 연결을 체크하는 과정에서 특정 서버로부터 2개의 악성 파일을 추가로 다운로드하는 동작을 확인할 수 있습니다.
- h**p://apsu***.com/741_out.exe (MD5 : 02172c46d37496e6ff33bdbe8e1ba147) - AhnLab V3 : Dropper/Win32.Necurs.R72791 (VT : 27/47)
- h**p://josiahde****.net/upd.exe (MD5 : bb94aaf4198f79f61c5984a8cedd342a) - Fortinet : W32/FakeRecovery.AEYK!tr (VT : 3/46)
다운로드된 741_out.exe 파일이 실행되는 과정에서 테스트 환경에서는 BSoD(Blue Screen of Death)가 발생하는 것을 확인할 수 있으며, 시스템 재부팅시마다 정상적으로 Windows에 접근할 수 없습니다.
C:\windows\installer\{1f60c847-dcba-bc47-e1d5-0c09c16997d3}\syshost.exe
- MD5 : 02172c46d37496e6ff33bdbe8e1ba147
- AhnLab V3 : Dropper/Win32.Necurs.R72791 (VT : 27/47)
[생성 레지스트리 등록 정보]
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\syshost32
이 문제의 원인은 741_out.exe 파일 실행을 통해 "syshost32" 서비스 항목을 등록하여 시스템 시작시마다 ["C:\Windows\Installer\{1F60C847-DCBA-BC47-E1D5-0C09C16997D3}\syshost.exe" /service] 파일을 자동 실행하도록 구성되어 있으며, 일부 PC 환경에서는 블루스크린(BSoD : Blue Screen of Death)이 발생할 수 있습니다.
생성된 파일(C:\windows\installer\{1f60c847-dcba-bc47-e1d5-0c09c16997d3}\syshost.exe)을 확인해보면 "ArcCopyLock"라는 파일 속성값을 가지고 있으며, 중국어(간체, PRC) 언어로 표시되어 있는 것이 특징입니다.
원래 기능은 함께 다운로드된 파일을 통해 허위 정보를 바탕으로 유료 결제를 유도하는 랜섬웨어(Ransomware), 락 스크린(Lock Screen), 가짜 백신(FakeAV)와 같은 동작을 할 것으로 보입니다.
아무튼 이와 같이 시스템 시작시마다 블루스크린이 발생하여 Windows 시스템에 접근할 수 없는 경우에는 안전 모드(Safe Mode)를 통해 Windows 접속을 시도하시기 바랍니다.
안전 모드 메뉴에서는 "안전 모드(네트워크 사용)" 메뉴를 선택하여 Windows 시작을 진행하시기 바랍니다.
안전 모드 환경에서 명령 프롬프트를 관리자 권한으로 실행하여 [sc delete "syshost32"] 명령어를 통해 등록된 서비스 값을 삭제할 수 있습니다.
그 후 파일을 찾기 위해서는 폴더 옵션에서 "보호된 운영 체제 파일 숨기기(권장)" 체크 해제 및 "숨김 파일, 폴더 및 드라이브 표시" 항목에 체크한 후, "C:\windows\installer\{1f60c847-dcba-bc47-e1d5-0c09c16997d3}\syshost.exe" 파일을 찾아 삭제하시기 바랍니다.(※ 폴더 이름은 변경될 수 있습니다.)
이후 Windows를 정상적으로 재부팅하면 블루스크린 증상없이 접속이 이루어지며, 그 후에는 반드시 초기 감염시 생성되었던 "C:\Users\(사용자 계정)\AppData\Roaming\Bipi\qomoap.exe" 파일을 찾아 제거하시는 것이 중요합니다.
만약 해당 파일을 삭제하지 않을 경우 차후 추가적인 다운로드를 통해 재감염, 정보 유출, 스팸 메일 발송과 같은 악의적인 기능을 수행할 수 있습니다.
이번 사례와 같이 국내외 스팸 메일을 통해 수신된 첨부 파일을 호기심에 실행할 경우 PC를 사용할 수 없는 상황까지 갈 수 있으므로 수상한 이메일의 첨부 파일 또는 링크(URL)를 함부로 클릭하여 시스템 감염이 이루어지는 일이 없도록 조심하시기 바랍니다.
오늘 분명 바이러스 일거 알면서도 받아서 exe인거 알면서도 실행해봤습니다.
호기심...
작업관리자에서 실행하고 바로 끄면 되겠지 했는데
못찾겠네요
님말대로 경로에 가도 있지도 않고.
어떡하
그런 위험한 파일을 아무런 안전 장치도 하지 않고 함부로 실행하지 마세요.
되도록 악성 파일이나 의심 파일은 가상 환경에서 실행하시기 바랍니다.