울지않는벌새 : Security, Movie & Society

가짜 MS 파일(svchost.exe)로 위장한 온라인 게임을 노리는 악성코드 유포 주의 (2013.9.3)

벌새::Analysis

일전에 국내 유해 사이트 차단 프로그램(iSafePlus ver 2.0 → <이름 변경> Internet Explorer ISPSvc)을 배포하는 과정에서 사용자 몰래 설치되는 "FGSVC32(freeguService32)" 악성 서비스를 통해 악성 프로그램이 유포된다는 정보를 공개한 적이 있었습니다.

 

  iSafePlus ver 2.0 설치시 추가되는 FGSVC32.exe 악성 파일 주의 (2013.6.30)

 

  알약(ALYac) 아이콘으로 위장한 Win-Trojan/Urelas 악성코드 유포 주의 (2013.7.3)

 

  검색 도우미 : Wellbinga System (2013.7.22)

 

그런데 최근 일요일(2013년 9월 1일)을 이용하여 가짜 마이크로소프트(Microsoft) 관련 파일로 위장한 악성코드가 유포되는 부분을 발견하였습니다.

유포 파일은 Microsoft 업체에서 제작된 "Spool Driver" 프린터 관련 파일<SpoolDrv.exe (MD5 : f9c0b635fc858011ec75293748d6dd37)>로 위장을 하고 있으며, 발견 당시 바이러스토탈(VirusTotal) 진단 기준으로 어떠한 파일도 진단하지 않고 있었습니다.

참고로 AhnLab V3 365 Clinic 3.0 버전에서는 SpoolDrv.exe 파일 실행시 "클라우드 평판 기반 실행 차단" 기능을 통해 "의심 파일 실행 탐지"를 하므로, 사용자는 "신뢰 및 차단 정책에 추가" 체크를 한 후 "차단(권장)"을 선택한 경우 Active Defense 기능을 통해 User/Gen.Block 진단명으로 삭제 처리됩니다.

해당 배포 파일(SpoolDrv.exe)이 다운로드 및 자동 실행되면 일본(Japan)에 위치한 특정 IP 서버로부터 svchost.exe (MD5 : 8cad5d40bddf267fd6b84e979ca1c345)파일을 다운로드 시도하며, 해당 파일에 대하여 AhnLab V3 보안 제품에서는 Trojan/Win32.FakeMS.C191177 (VT : 1/46) 진단명으로 진단되고 있습니다.

다운로드된 svchost.exe 악성 파일은 원래 Windows 시스템에 존재하는 "C:\Windows\System32\svchost.exe (Host Process for Windows Services)" 시스템 파일로 위장하고 있습니다.

특히 디지털 서명에는 신뢰할 수 없는 "pdy_svchostmanager_Key" 디지털 서명이 포함되어 있는 것이 특징입니다.

 

[생성 폴더 / 파일 및 진단 정보]

 

C:\ProgramData\Local
C:\ProgramData\Local\Windows
C:\ProgramData\Local\Windows\MSI
C:\ProgramData\Local\Windows\MSI\svchost.exe
 - MD5 : 8cad5d40bddf267fd6b84e979ca1c345
 - AhnLab V3 : Trojan/Win32.FakeMS.C191177 (VT : 1/46)

 

C:\ProgramData\Local\Windows\MSI\svchost.InstallLog
C:\ProgramData\Local\Windows\MSI\svchost.InstallState

 

[생성 레지스트리 등록 정보]

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Service Host

다운로드된 악성 파일은 "C:\ProgramData\Local\Windows\MSI" 폴더를 생성하여 내부에 자신을 생성하며, "Service Host(Host Process for Windows Services)" 서비스 항목을 등록하여 시스템 시작시 "C:\ProgramData\Local\Windows\MSI\svchost.exe" 파일을 자동 실행하도록 구성되어 있습니다.

이렇게 자동 실행된 "C:\ProgramData\Local\Windows\MSI\svchost.exe" 파일은 3분이 경과하면 일본(Japan)에 위치한 IP 서버로부터 악성 svchost.exe 파일(MD5 : 6eb682c859f999f23ab2dc0a2bba2498)을 추가적으로 다운로드하여 "C:\ProgramData\Local\Windows\MSI\bin\svchost.exe" 파일로 생성합니다.

 

[추가 생성 폴더 / 파일 및 진단 정보]

 

C:\ProgramData\Local\Windows\MSI\bin
C:\ProgramData\Local\Windows\MSI\bin\svchost.exe
 - MD5 : 6eb682c859f999f23ab2dc0a2bba2498
 - AhnLab V3 : Trojan/Win32.FakeMS.C191182 (VT : 6/45)

이렇게 실행된 2개의 악성 svchost.exe 파일은 일본(Japan)에 위치한 "103.247.89.185" IP 서버와 통신을 유지하며 다음과 같은 특정 조건에서 동작을 수행할 수 있습니다.

  • 모니터링 가능한 온라인 게임 프로세스 이름 : highlow2.exe, LASPOKER.exe, poker7.exe, Baduki.exe, HOOLA3.EXE, DuelPoker.exe, PMCLIENT.EXE, PMLAUNCHER.EXE

일명 도박성 온라인 게임의 프로세스를 감시하여 사용자가 해당 게임을 실행할 경우 추가적인 명령을 받아 화면 훔쳐보기 방식으로 게임 스크린 샷을 찍어 외부로 정보 유출을 시도할 수 있습니다.

실제 감염된 환경에서는 시스템 시작 후 "C:\ProgramData\Local\Windows\MSI\svchost.exe" 프로세스가 자동 실행된 후 3분이 경과할 경우 "C:\ProgramData\Local\Windows\MSI\bin\svchost.exe" 프로세스가 자식으로 추가되는 구조를 가지고 있습니다.

 

하지만 정상적인 "C:\Windows\System32\svchost.exe" 프로세스가 다수 동작하기 때문에 Windows 작업 관리자를 통해서는 확인이 매우 어려우므로, Process Explorer 도구와 같은 프로그램을 통해 svchost.exe 프로세스의 파일 경로를 확인하여 악성 여부를 판단해야 합니다.

 

사용자가 수동으로 악성코드를 제거하기 위해서는 다음과 같은 절차에 따라 문제를 해결하시기 바랍니다.

 

(1) 프로그램 목록에서 "보조 프로그램 → 명령 프롬프트""관리자 권한으로 실행" 하시기 바랍니다.

(2) 실행된 명령 프롬프트에 다음과 같은 명령어를 입력하여 실행하시면 "Service Host(Host Process for Windows Services)" 서비스 중지 및 삭제를 할 수 있습니다.

  1. sc stop "Service Host" :: 서비스 중지
  2. sc delete "Service Host" :: 서비스 삭제

(3) Process Explorer 프로그램을 통해 "C:\ProgramData\Local\Windows\MSI\bin\svchost.exe" 프로세스의 "PID(프로세스 식별자)" 값을 확인하시기 바랍니다.(※ PID 값은 시스템 시작시마다 변경될 수 있습니다.)

예를 들어 정상적인 시스템에서는 다수의 svchost.exe 프로세스가 실행되어 있으며, 이를 구분하는 기준은 PID 값과 각 프로세스의 파일 위치 및 서비스 이름 등 입니다.

 

(4) Windows 작업 관리자를 실행하여 메뉴 중 "보기 → 열 선택"을 선택하여 "프로세스 페이지 열 선택" 항목 중 "PID(프로세스 식별자)"를 체크하시기 바랍니다.

"PID(프로세스 식별자)" 항목을 체크한 경우에는 Windows 작업 관리자에 표시된 프로세스 목록에서 각각의 PID 값을 확인할 수 있습니다.

Process Explorer 도구를 통해 확인한 "C:\ProgramData\Local\Windows\MSI\bin\svchost.exe" 프로세스의 PID 값을 기반으로 Windows 작업 관리자에서 해당 PID 값을 찾으면 악성 svchost.exe 프로세스를 찾알 수 있으며, 해당 프로세스를 선택한 상태에서 "프로세스 끝내기"를 클릭하면 일반적으로 종료 처리됩니다.

 

하지만 이번 악성코드의 경우에는 프로세스 종료시 "프로세스를 종료할 수 없습니다." 메시지를 통해 액세스 거부창이 생성되므로 "모든 사용자의 프로세스 표시"를 클릭하여 악성 svchost.exe 프로세스를 찾아 종료하시기 바랍니다.

 

(5) 모든 절차가 완료된 후에는 "C:\ProgramData\Local" 폴더 및 내부 파일을 모두 삭제하시기 바랍니다.

테스트 당시에서는 AhnLab V3 365 클리닉 3.0 제품에서는 최초 유포 파일(SpoolDrv.exe) 실행시 "클라우드 평판 기반 실행 차단"으로 차단할 수 있으며, 만약 사용자가 잘못된 판단으로 실행을 허용한 경우에도 "개인 방화벽""웹 보안" 기능을 통해 외부 서버에서 svchost.exe 악성 파일의 다운로드를 사전에 차단하고 있었습니다.

 

그러므로 보안을 위해서는 방화벽(Firewall) 기능을 제공하는 통합 보안 솔루션 제품을 사용하시길 권장합니다.