울지않는벌새 : Security, Movie & Society

"211.55.29.46" IP를 통해 유포된 WindowsDriver.dll 악성코드 정보 (2013.10.5)

벌새::Analysis

2013년 10월 2일경부터 제휴 프로그램을 통해 유포된 "bkpops 1.0" 악성 프로그램이 설치된 경우 주기적으로 웹 브라우저를 통해 악성 파일을 추가적으로 다운로드하는 문제에 대해 정보를 공개한 적이 있었습니다.

 

  국내 악성코드 : bkpops 1.0 (2013.10.4)

 

당시 악성코드 유포 방식과 감염으로 인한 추가 다운로드 시도에 대한 부분만 분석하였으며, 이 글에서는 "211.55.29.46" IP 서버를 통해 추가 다운로드를 시도하여 설치가 될 수 있었던 악성코드에 대한 내용입니다.

당시 상황을 되돌아보면 감염된 PC 환경에서는 특정 시간 주기로 웹 브라우저를 통해 자동으로 "h**p://211.55.29.46/u/a.exe" 파일을 다운로드 시도하였으며, 사용자가 파일을 다운로드하여 실행할 경우 추가 감염이 이루어질 수 있었습니다.(※ 참고로 AhnLab V3 365 Clinic 3.0 버전에서는 파일 다운로드시 "악성 사이트 접근 차단"을 통해 대응이 이루어지고 있었습니다.)

  • h**p://211.55.29.46/u/a.exe (MD5 : 271143ea2e38d8fcdd9f94b79b46f683) - AhnLab V3 : Trojan/Win32.OnlineGameHack.C203716 (VT : 17/48)
  • h**p://211.55.29.46/u/b.exe (MD5 : 7f5af99cb96f7a5c6b55d25d81466c9a) - AhnLab V3 : Trojan/Win32.OnlineGameHack.C203716 (VT : 21/48)
  • h**p://211.55.29.46/u/c.exe (MD5 : 60176403d0f54b9f6072e971a419cf0b) - AhnLab V3 : Trojan/Win32.OnlineGameHack.C203716 (VT : 15/48)
  • h**p://211.55.29.46/u/d.exe (MD5 : fd63c969e221602752a6968a2c72519a) - AhnLab V3 : Trojan/Win32.OnlineGameHack.C203716 (VT : 15/48)
  • h**p://211.55.29.46/u/e.exe (MD5 : 521d8c5d3bdd9f6b67edda490161a692) - AhnLab V3 : Trojan/Win32.OnlineGameHack.C203716 (VT : 15/48)
  • h**p://211.55.29.46/u/f.exe (MD5 : fbd3e058f2ab40a0a7f442a7201b122e) - AhnLab V3 : Trojan/Win32.OnlineGameHack.C203716 (VT : 15/48)
  • h**p://211.55.29.46/u/g.exe (MD5 : 6ccb15eb370cfcaad25e8ad668627913) - AhnLab V3 : Trojan/Win32.OnlineGameHack.C203716 (VT : 15/48)

해당 IP 서버에 등록된 관련 변종 파일은 총 7종이었으며, 그 중 실제 유포는 a.exe, b.exe 2종의 파일이 유포된 것으로 추정됩니다.(※ 하우리(Hauri) 보안 제품에서는 Win32.Virut.AM 진단명으로 진단되는 것으로 보아, 해당 악성코드 제작 환경이 Virut 바이러스에 감염되었던 것이 아닌가 생각됩니다.)

유포 파일의 진단 정보를 체크하던 중 발견된 사실은 BitDefender 엔진에서는 Gen:Variant.Kazy.260739 진단명으로 진단되고 있지만, 알약(ALYac) 무료 백신에서는 무자비한 진단 필터링을 통해 진단하지 못하는 진단 정책으로 피해를 유발할 수 있다는 점입니다.

 

해당 유포 파일은 Windows XP 운영 체제에서만 정상적으로 감염이 이루어졌으며, Windows Vista 이상의 운영 체제에서는 감염에 실패하였습니다.

 

[생성 파일 및 진단 정보]

 

C:\WINDOWS\system32\IEn.txt :: 자가 삭제 처리
C:\WINDOWS\system32\WindowsDriver.dll
 - MD5 : 08c2fcd40e9c9926e5fde2d3dccd186e
 - ESET : a variant of Win32/Spy.Agent.OCY (VT : 4/48)

 

[생성 레지스트리 등록 정보]

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost
 - WindowsDriver = WindowsDriver
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINDOWSDRIVER
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WindowsDriver

정상적으로 감염이 이루어지면 75MB 이상의 숨김(H) 속성값을 가지는 "C:\WINDOWS\system32\WindowsDriver.dll" 악성 파일을 생성합니다.

이를 통해 WindowsDriver 서비스 항목을 등록하여 시스템 시작시 "C:\WINDOWS\system32\svchost.exe -k WindowsDriver" 파일을 자동 실행하도록 구성되어 있습니다.

그 후 "h**p://kanmay.cafe24.com/xxx.exe" 파일을 추가 다운로드 시도하고 있지만, 테스트 당시에는 파일이 존재하지 않는 문제로 다운로드가 이루어지지 않고 있습니다.

시스템 재부팅이 이루어지는 과정에서 WindowsDriver 서비스를 통해 "C:\WINDOWS\system32\quanskp.sys" 악성 드라이버 파일을 생성하여 다음과 같은 보안 제품 무력화 및 업데이트 방해를 할 수 있습니다.

  • AhnLab V3, 네이버 백신(Naver Vaccine), 알약(ALYac) : v3lsvc.exe, v3ltray.exe, v3light.exe, v3lite.exe, v3medic.exe, naveragent.exe, nvcupgrader.exe, alupdate.exe

테스트를 통해 확인해 본 결과 알약(ALYac) 보안 제품에서는 Trojan.Generic.9533699 진단명으로 차단하여 문제가 없지만, AhnLab V3 Lite 3.1 버전에서는 보안 제품의 동작이 이루어지지 않는 증상을 확인하였습니다.

 

감염된 환경에서는 사용자가 도박성 온라인 게임(baduki.exe, duelpoker.exe, highlow2.exe, laspoker.exe, hoola3.exe, poker7.exe)을 표적으로 정보 탈취를 통한 금전적 수익을 얻기 위한 것으로 보입니다.

 

  제휴(스폰서) 프로그램을 이용한 온라인 게임 악성코드 유포 주의 (2012.3.12)

 

  파일 다운로더 제휴 프로그램을 통한 백도어 유포 주의 (2012.6.2)

 

  랭킹 순위 프로그램으로 위장한 백도어 유포 주의 (2012.6.8)

 

  alexa 프로그램으로 위장한 WindowsDriver.dll 악성 파일 유포 주의 (2012.6.10)

 

  글자수 세기 프로그램을 이용한 온라인 게임핵 유포 주의 (2012.10.9)

 

  국내 악성코드 : ezpopup code wepbob x86 (2012.12.21)

 

또한 과거부터 WindowsDriver.dll 악성 파일을 통한 감염 시도가 지속적으로 발생하고 있었으므로 참고하시기 바랍니다.

 

해당 악성코드를 수동으로 삭제하기 위해서는 다음과 같은 절차에 따라 진행하시기 바랍니다.

 

(1) 실행창에 [sc stop "WindowsDriver"] [sc delete "WindowsDriver"] 명령어를 차례대로 입력 및 실행하여 WindowsDriver 서비스 프로세스(svchost.exe) 종료 및 서비스 값을 삭제할 수 있습니다.

 

(2) 폴더 옵션을 "숨김 파일 및 폴더 표시"로 체크한 후, "C:\WINDOWS\system32\WindowsDriver.dll" 파일을 찾아 삭제하시기 바랍니다.

이번 사례와 같이 "bkpops 1.0" 악성 프로그램 설치로 인해 웹 브라우저 다운로드 방식으로 악성 파일을 추가 다운로드 시도하는 경우에는 사용자의 눈에 파일이 보인다는 점에서 실제 감염된 경우는 극히 적을 것으로 보입니다.

 

하지만 눈에 보이는 공격마저도 호기심에 파일을 다운로드하여 실행하는 어리석은 사용자가 분명히 있으리라 생각되므로, 자신이 직접 다운로드를 하는 파일이 아닌 경우에는 절대로 자동 생성된 다운로드 창을 실행하는 일이 없도록 하시기 바랍니다.