울지않는벌새 : Security, Movie & Society

avi.torrent.exe 파일을 이용한 광고 프로그램 유포 주의 (2013.7.16)

벌새::Analysis

우연히 2011년 3월경에 티스토리(Tistory) 블로그에 등록된 국내 드라마 관련 토렌트(Torrent) 파일을 보게 되었습니다.

해당 블로그에는 게시글을 통해 토렌트 시드 파일을 다운로드할 수 있도록 첨부 파일을 등록해 두었는데 실행 파일(.exe) 형태로 되어 있는 점이 수상합니다.

  • 몽땅_내사랑.E74.110304.HDTV.XviD-Baros.avi.torrent.exe (MD5 : 79385d5aa60103d1b3dc4d3eb5853e25)
  • 시크릿_가든.E16.110102.HDTV.X264.720p-HANrel.avi.torre.exe (MD5 : 6369b64b1603eefd6cf11a3828819d06)
  • 싸인.E18.110303.HDTV.XviD-Baros.avi.torrent.exe (MD5 : f1bb74353edcacba9c3e4ff39edfb65a)
  • 웃어라_동해야.E109.110304.HDTV.XviD-Baros.avi.torrent.exe (MD5 : 6cb275bc382045edb8f2a5de524f9ca6)
  • 원스_어폰어타임_인_생초리.E18.110304.HDTV.torren.exe (MD5 : 671da1e63a5f060add71f9dd1896a116)

블로그에 등록된 모든 파일을 다운로드하여 확인해보면 모두 ALZip SFX 실행 압축으로 제작되어 있습니다.

알집(ALZip) 압축 프로그램을 통해 압축 파일 미리보기를 확인해보면 내부에는 토렌트 시드 파일(.torrent)과 함께 nove_setup.exe(MD5 : 486937496c49f7dade66fe6daa32afba) 파일이 숨어 있는 것을 확인할 수 있으며, 해당 파일에 대해 Kaspersky 보안 제품에서는 Trojan-Downloader.Win32.Agent.xvkg (VT : 11/47) 진단명으로 진단되고 있습니다.

만약 사용자가 블로그에서 다운로드한 파일을 실행할 경우에는 ALZip Self-Extractor 화면을 통해 특정 압축 해제 폴더에 파일을 생성하도록 구성되어 있으며, 이 과정에서 nove_setup.exe 악성 파일은 자동으로 실행된 후 자가 삭제 처리되어 사용자는 눈치채지 못합니다.

생성되는 nove_setup.exe 파일의 정보를 살펴보면 2011년 1월 6일 안랩(AhnLab) ASD 클라우드에 최초 보고가 되었으며, 실제 감염된 사용자는 매우 적을 것으로 추정됩니다.(※ 참 오랫동안 진단되지 않고 숨어 있었네요. 졸려)

 

nove_setup.exe 악성 파일이 실행되면 "C:\Program Files\FBSolution" 폴더에 파일을 생성하며, 생성된 "C:\Program Files\FBSolution\FBSolution.exe" 파일을 통해 다음과 같은 추가적인 다운로드를 하여 파일 업데이트를 진행합니다.

  • h**p://*****soft.net/fbsolution/data/engsystem.exe (MD5 : b35df9a1e292a14536b1b54c0c12ac01)

추가 다운로드된 engsystem.exe 파일은 2013년 4월 26일 최초 보고가 이루어진 점을 고려한다면 2011년 전후부터 최근까지 운영이 이루어지고 있었던 것으로 보입니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Program Files\FBSolution
C:\Program Files\FBSolution\engsystem.exe :: 메모리 상주 프로세스
C:\Program Files\FBSolution\FBSolution.exe :: 시작 프로그램 등록 파일
C:\Program Files\FBSolution\FBUninst.exe :: 프로그램 삭제 파일
C:\Program Files\FBSolution\Temp

설치된 프로그램은 Windows 시작시 "C:\Program Files\FBSolution\FBSolution.exe" 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.

자동 실행된 파일(FBSolution.exe)은 국내 특정 서버에서 engsystem.exe 파일의 버전을 체크하여 업데이트를 확인하여 "C:\Program Files\FBSolution\engsystem.exe" 파일 실행을 통해 메모리에 상주시킵니다.

이렇게 실행된 engsystem.exe 파일은 특정 서버에서 FBSolution.exe 파일 다운로드 및 시작 프로그램에 등록하는 역할을 수행하는 것으로 파악됩니다.

 

  검색 도우미 : FBSolution (2010.8.24)

 

설치된 프로그램을 추적해보면 2010년경 국내에서 제작되어 웹 브라우저에 "FunnyBand 툴바(Toolbar)" 프로그램을 등록하는 프로그램으로 확인되고 있으며, 현재는 광고 기능은 존재하지 않으며 다운로더(Downloader) 기능만 포함되어 있습니다.

이렇게 설치된 프로그램의 삭제를 위해서는 우선적으로 Windows 작업 관리자를 실행하여 engsystem.exe 프로세스를 찾아 수동으로 종료하시기 바랍니다.

그 후, 해당 프로그램은 제어판에서 삭제 기능을 제공하지 않으므로 "C:\Program Files\FBSolution\FBUninst.exe" 파일을 찾아 직접 실행하여 프로그램을 삭제하시기 바라며, 프로그램 삭제 후에는 "C:\Program Files\FBSolution" 폴더를 삭제하시기 바랍니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\FBSolution
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer
 - solcheck = 1
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - fbsolution = "C:\Program Files\FBSolution\FBSolution.exe"

 

이번 사례와 같이 토렌트 시드 파일(.torrent)로 위장하여 사용자가 무심결에 파일을 실행할 경우 사용자 몰래 악성 프로그램을 몰래 설치하는 사례가 있으며, 특히 이번과 같이 국내 광고 계열 프로그램도 유포에 활용하고 있다는 점에서 보안 제품의 진단 정책으로 인하여 보호를 받지 못할 수 있으므로 주의하시기 바랍니다.