울지않는벌새 : Security, Movie & Society

"크아 버그 매크로"로 위장한 백도어(Backdoor) 유포 주의 (2013.10.8)

벌새::Analysis

넥슨(Nexon)에서 서비스하는 크레이지 아케이드(Crazy Arcade) 온라인 게임의 버그 매크로 파일로 위장한 악성 파일이 블로그를 통해 유포되고 있는 부분에 대해 소개해 드리겠습니다.

유포 방식은 블로그 등을 통해 크아(크레이지 아케이드) 매크로와 핵 버그로 소개하여 첨부한 파일을 다운로드하도록 홍보하고 있으며, 게시글은 2013년 8월경에 작성되었지만 유포 파일은 2013년 4월 15일경부터 발견되고 있는 것 같습니다.

첨부된 파일은 EGG 압축 파일로 되어 있으며 내부에는 "크아 버그매크로 설치.exe" 악성 파일과 텍스트 및 이미지 파일로 구성되어 있습니다. (※ 유포 파일에 따라 mpx 코덱 설치2.exe, 카트라이더 ppp엔진 v.10 설치.exe, 바람개비 엔진v.66 설치.exe 등의 이름으로 표시될 수 있습니다.)

우선 텍스트 파일의 내용을 확인해보면 설치 파일 사용시 백신 실시간 감시를 OFF한 후 설치하도록 유도하고 있으며, 바이러스로 진단하는 것은 버그 프로그램이므로 당연하다는 듯이 말하고 있습니다.

 

  백도어 + 키로거 기능을 포함한 청룡엔진 6.0 주의 (2011.5.24)

 

예전에도 언급을 하였지만 과거 청룡엔진 유포와 같이 핵 프로그램 사용시 실시간 감시를 OFF한 상태로 사용하도록하여 악성코드 감염을 유발할 수 있다는 점을 강조한 적이 있었습니다.

크아 버그매크로 설치.exe

테스트에서는 압축 파일 내에 동봉된 "크아 버그매크로 설치.exe" 파일<MD5 : 0d34b28e4d105368a54e20046cb26500 - AhnLab V3 : Trojan/Win32.Xih (VT : 39/48)>을 실행시 제작자가 원하는 방향의 구현을 위해 Windows XP 운영 체제에서 진행하였습니다.

사용자가 파일을 실행하면 "C:\WINDOWS\실행파일.txt" 파일을 생성하여 자동으로 메모장을 오픈하여 마치 실행 파일에 오류가 발생하여 설치가 되지 않은 것처럼 알리며, 실제로는 다음과 같은 악성 프로그램이 자동으로 설치됩니다.

 

[생성 파일 및 진단 정보]

 

C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\~imsinst.exe
 - MD5 : 0d34b28e4d105368a54e20046cb26500)
 - AhnLab V3 : Trojan/Win32.Xih (VT : 39/48)

 

C:\WINDOWS\system32\xlqphv.exe :: 해당 파일은 (6자리 영문).exe 패턴입니다.
 - MD5 : 0d0be9df120d62f6fe6d655ad5e2a2c2
 - MSE : Backdoor:Win32/Xyligan.B (VT : 45/48)

 

[생성 레지스트리 등록 정보]

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_RCMDSVC
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters
\FirewallPolicy\StandardProfile\AuthorizedApplications\List
 - C:\WINDOWS\system32\xlqphv.exe = C:\WINDOWS\system32\xlqphv.exe:*:Enabled:Microsoft (R) Internetal IExplore
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\rcmdsvc

 

사용자가 실행한 파일(크아 버그매크로 설치.exe)은 "C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\~imsinst.exe" 파일로 복제 생성되어 실행됩니다.

 

실행된 파일은 "C:\WINDOWS\server.exe" 파일(MD5 : 0d0be9df120d62f6fe6d655ad5e2a2c2)을 생성하여 시스템 폴더에 (6자리 영문).exe 파일을 만들고 server.exe 파일은 자가 삭제 처리됩니다.

감염이 이루어진 환경에서는 시스템 폴더에 생성된 (6자리 영문).exe 파일이 외부 통신을 원활하게 할 목적으로 Windows 방화벽 예외 목록에 "Microsoft (R) Internetal IExplore" 이름으로 등록합니다.

이를 통해 서비스에 등록된 "rcmdsvc(Remote Command Service)" 값을 통해 시스템 시작시 "C:\WINDOWS\system32\xlqphv.exe" 파일을 자동 실행하도록 구성되어 있습니다.

자동 실행된 (6자리 영문).exe 서비스 파일은 메모리에 상주하여 "aoe2aoe2.codns.com" 서버에 쿼리를 지속적으로 연결을 시도합니다.

  • install.exe (MD5 : c63c93d9ee112de0e4c7a27a5d9ebff0) - AhnLab V3 : Dropper/Win32.PcClient (VT : 47/49)

추가적으로 "aoe2aoe2.codns.com" 서버와 관련된 조사를 해보면 2013년 7월경 확인된 마이크로소프트(Microsoft) 관련 파일로 위장한 악성 파일을 통해 키로깅(Keylogging) 기능을 가진 PCRat 계열의 악성코드가 동일한 서버를 이용하였던 부분을 발견하였습니다.

 

대부분의 보안 제품에서는 진단을 통해 치료를 지원하고 있으므로 위와 유사한 파일을 사용한 사용자는 보안 제품을 통해 정밀 검사를 하시기 바라며, 핵 또는 버그 프로그램이 단순히 게임에만 영향을 주는 것이 아니라 사용자 몰래 개인정보 유출 및 원격 제어와 같은 악의적인 행위를 통해 시스템에 문제를 유발할 수 있으므로 사용하지 않도록 하는 것이 매우 중요합니다.