본문 바로가기

벌새::Analysis

VMware Workstation 9 버전을 이용한 토렌트 악성코드 유포 주의 (2013.10.14)

반응형

2013년 9월 중순경에 토렌트(Torrent) 공유 사이트에 가상화 솔루션으로 유명한 VMware Workstation 9 버전에 대한 공유 파일이 유포되기 시작하였으며, 다운로드된 파일을 실행할 경우 사용자 몰래 추가적인 악성코드를 감염시키는 부분을 발견하였습니다.(※ 관련 정보 및 파일을 제공해주신 "바이러스 제로 시즌 2" 보안 카페의 철이님에게 감사드립니다. )

대표적인 유포 사이트를 확인해보면 토렌트(Torrent) 사이트에 "VMware-workstation-full-9.0.2-1031769.torrent"라는 제목으로 등록된 시드 파일을 통해 유포가 이루어지고 있습니다.(※ 단언컨대 다른 프로그램을 통해서도 유사한 방식으로 유포가 이루어지고 있을 것으로 생각됩니다.)

이를 통해 다운로드된 파일은 "VMware-workstation-full-9.0.2-1031769.zip" 압축 파일로 되어 있으며, 내부에는 "VMware-workstation-full-9.0.2-1031769.exe" 실행 파일이 포함되어 있습니다.

압축 해제를 한 VMware Workstation 설치 파일(MD5 : c19efa555652b1ab806e74286a342baa)을 확인해보면 공식 사이트에서 배포하는 VMware Workstation 설치 파일과 비교하여 디지털 서명이 포함되지 않은 415MB 용량의 리팩된 파일임을 알 수 있습니다.

VMware Workstation 설치 파일을 실행하면 위와 같은 설치 단계가 표시되며 "C:\Program Files\VM Ware workstation 9" 폴더에 프로그램을 설치한다고 안내되어 있습니다.(※ 정상적인 설치 폴더는 "C:\Program Files\VMware" 입니다.)

이를 통해 설치가 진행되면 "C:\Program Files\VM Ware workstation 9" 폴더에 파일을 생성하는 것으로 표시되며 사용자 몰래 추가적인 악성 프로그램을 설치하게 됩니다.

우선 사용자의 눈을 속일 목적으로 VMware Workstation 9 버전의 설치 파일과 Keygen 파일을 "C:\Program Files\VM Ware workstation 9" 폴더 내에 생성한 후, 바탕 화면에 바로가기 아이콘을 등록하여 클릭시 생성된 파일이 동작하도록 제작되어 있습니다.

 

  • C:\Program Files\VM Ware workstation 9\keygen.exe
  • C:\Program Files\VM Ware workstation 9\VMware-workstation-full-9.0.2-1031769.exe
  • C:\Users\(사용자 계정)\Desktop\keygen.LNK :: "C:\Program Files\VM Ware workstation 9\keygen.exe" 파일 연결
  • C:\Users\(사용자 계정)\Desktop\VMware-workstation-full-9.0.2-1031769.LNK :: "C:\Program Files\VM Ware workstation 9\VMware-workstation-full-9.0.2-1031769.exe" 파일 연결

이로 인하여 사용자는 바로가기 아이콘을 실행하여 VMware Workstation 9 버전을 설치하게 됨으로 인해 추가적인 악성코드 감염 사실을 인지하기 힘들 수 있습니다.

 

[악성 프로그램 생성 폴더 / 파일 등록 정보]

 

C:\Windows\IFinst27.exe
C:\Windows\System32\COMCTL32.OCX
C:\Windows\System32\divxcs
C:\Windows\System32\divxcs\divxcc.exe
C:\Windows\System32\divxcs\divxcs.exe
C:\Windows\System32\EasySocketX.ocx
C:\Windows\System32\EzSendImageXX.ocx
C:\Windows\System32\MSWINSCK.OCX
C:\Windows\System32\RICHTX32.OCX
C:\Windows\System32\SmartUpdateXX.ocx
C:\Windows\System32\vb6ko.dll

 

[생성 파일 진단 정보]

 

C:\Windows\System32\divxcs\divxcc.exe
 - MD5 : 1e8665cc21166658f0d317360bdeb644
 - AhnLab V3 : Packed/Win32.Morphine (VT : 30/48)

 

C:\Windows\System32\divxcs\divxcs.exe
 - MD5 : 49af85a86b70b70b0414422fc63ae7fb
 - AhnLab V3 : Trojan/Win32.Agent (VT : 36/48)

사용자 몰래 설치된 악성코드는 "C:\Windows\System32\divxcs" 폴더를 생성하여 내부에 텍스트 문서 아이콘 모양으로 위장한 2개의 악성 파일을 추가합니다.

참고로 생성된 2개의 악성 파일은 2013년 9월 19일 새벽(※ 추석날 새벽에 이런 짓이나 하고 있으니...)에 국내인에 의해 제작된 것으로 추정됩니다.

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - divxcs = C:\windows\system32\divxcs\divxcs.exe

감염이 이루어진 환경에서는 Windows 시작시 "C:\windows\system32\divxcs\divxcs.exe" 파일을 시작 프로그램으로 등록하여 자동 실행되어 메모리에 상주합니다.

시스템 시작 후 자동 실행된  divxcs.exe 파일은 IP 체크 서비스를 이용하여 감염된 PC의 리얼 IP 정보를 체크합니다.

또한 구글(Google)에서 서비스하는 리니지 서버 관련 홍보 목적으로 등록된 특정 Blogger 계정에 연결됩니다.

이렇게 실행된 divxcs.exe 파일은 국내 "119.71.59.98:707" IP 서버로 지속적인 연결을 유지하는 동작을 확인할 수 있으며, 테스트 시점에서는 추가적인 악의적 동작은 이루어지지 않고 있습니다.

해당 IP 서버에 대해 확인을 해보면 자신의 PC를 웹서버처럼 이용할 수 있는 Berryz WebShare 프로그램을 구동하고 있는 것으로 보이며, 현재 등록된 파일은 특정 IP 정보를 포함하고 있습니다.

 

그렇다면 사이버 범죄자는 무엇을 노리고 VMware Workstation 9 버전의 파일을 토렌트(Torrent)를 통해 유포하고 있는지 살펴보도록 하겠습니다.

자동 실행되는 "C:\Windows\System32\divxcs\divxcs.exe" 파일은 시작 프로그램에 등록된 레지스트리 값을 작성합니다.

또한 특정 시점에서는 온라인 게임 커뮤니티로 알려진 팝올(POPALL) 웹 사이트에 특정 계정 정보로 로그인을 시도할 수 있습니다.

로그인이 이루어진 환경에서는 팝리니지 자유 게시판을 타켓으로 한 홍보글을 자동 등록할 수 있을 것으로 보입니다.

실제 해당 자유 게시판에 등록된 게시글은 대부분 리니지 프리 서버와 관련된 홍보 게시글로 도배가 이루어져 있으며, 이 글에서 분석하는 위와 같은 악성코드로 인해 자동 등록이 될 것으로 추정됩니다.

 

그러므로 토렌트(Torrent)를 통해 다운로드된 유명 소프트웨어 설치 파일, 동영상 파일처럼 제작된 파일 등과 같은 경우에는 사용자에게 정상적으로 프로그램 또는 동영상을 보여주는 것처럼 화면상으로 속이면서 악성 프로그램을 몰래 설치하여 다양한 악의적인 기능을 수행할 수 있으므로 주의하시기 바랍니다.

 

 
728x90
반응형
  • 역시 소프트웨어같은것은 언제나 정식유통경로로해서 사용해야지 안전하게 사용할수가있는것같습니다.

  • 애국자 2013.10.14 21:33 댓글주소 수정/삭제 댓글쓰기

    벌새님... 해당 블로그에서 검색을 할 수 있게 해 주시면...
    유저들이 필요한거 바로바로 검색해서 볼 수 있을텐데...

    블로그내 검색이 없군요.

    • 블로그 우측 사이드바 상단의 "Google 맞춤검색"을 통해 검색을 하시면 블로그 내의 게시글에 대한 검색만 이루어지도록 제공하고 있습니다.^^;;

  • 철이 2013.10.15 21:13 댓글주소 수정/삭제 댓글쓰기

    ㅋㅋ제 닉넴이 저기에!!

  • asdf 2013.10.19 14:23 댓글주소 수정/삭제 댓글쓰기

    그러면 저 악성프로그램 생성폴더 목록에 있는건 지우는게 좋은 말인가여

  • 라틴가이 2013.10.27 15:57 댓글주소 수정/삭제 댓글쓰기

    감시합니다 덕분에 해결 했네요ㅎ

  • abcd 2013.10.29 15:12 댓글주소 수정/삭제 댓글쓰기

    알집에서도 악성코드 발견 안되는데 감사합니다.
    덕분에 지웠어요

  • abcd 2013.10.29 15:13 댓글주소 수정/삭제 댓글쓰기

    알집이 아니고 알약에서요 감사요

  • 지나가는이 2013.11.25 04:51 댓글주소 수정/삭제 댓글쓰기

    덕분에 큰 도움이 됐습니다. vmware 말고 다른 프로그램에도 넣어져서 배포되는 모양이더군요.

  • dax error 뜨면서 저녀석 이름이 보이길래 검색해 봤더니 이런 비밀이...
    덕분에 나쁜프로그램 잡았습니다. 고맙습니다.

  • ㅠㅠ 2014.02.20 20:08 댓글주소 수정/삭제 댓글쓰기

    안녕하세요 저도 갑자기 창이 몇십개씩 떳는데
    관련글이 하나밖에 없어서 다행이 참고해서 쓸수 있어서 다행..감사합니다
    헌데 폴더 자체를지우라고 말씀해주셨는데
    [악성 프로그램 생성 폴더 / 파일 등록 정보] 이곳에
    COMCTL32.OCX/IFinst27.exe 등등 파일만 지우면
    다 되는건지 해서요..~

    그리고 다른데도검색해도 나오질않아서요.. ~
    NDVNETS라는 메모장 파일이 시작프로그램에 있는데..
    같이 파일 자체를 삭제해도 될까요..?

    • 이 글에서 표시한 악성 파일은 divxcs 폴더와 그 내부 파일만 삭제하시면 됩니다.

      메모장 파일(txt)이 시작 프로그램에 등록되어 있다면 해당 파일은 텍스트 문서가 아니라 실행 파일로 보이므로 악성일겁니다.

      그러므로 시작 프로그램에서 제거하시고 파일도 찾아서 삭제하시기 바랍니다.

    • ㅠㅠ 2014.02.20 20:22 댓글주소 수정/삭제


      다른곳에는 관련글이 없어서 못고칠뻔했는데..
      운영자님 감사합니다 (__)
      헌데 제가 이해를잘 못하고..

      C:\Windows\IFinst27.exe
      C:\Windows\System32\COMCTL32.OCX
      C:\Windows\System32\divxcs
      C:\Windows\System32\divxcs\divxcc.exe
      C:\Windows\System32\divxcs\divxcs.exe
      C:\Windows\System32\EasySocketX.ocx
      C:\Windows\System32\EzSendImageXX.ocx
      C:\Windows\System32\MSWINSCK.OCX
      C:\Windows\System32\RICHTX32.OCX
      C:\Windows\System32\SmartUpdateXX.ocx
      C:\Windows\System32\vb6ko.dll

      이파일들을 다 삭제했는데그럼 찾아다가 다 제자리 폴더에다 저장해두면 될까요..^^;

    • divxcs 폴더와 내부 파일만 삭제하시면 되며, 나머지 파일은 동작에 필요한 정상적인 파일입니다.

  • ㅇㅇ 2014.04.20 19:22 댓글주소 수정/삭제 댓글쓰기

    아니 [악성 프로그램 생성 폴더 / 파일 등록 정보] 라고 써있고 아무 설명도 없길래 당연히 삭제해야 되는건줄 알았는데 안해도 된다니 이건 뭐..

  • 안녕하세요 divxcs.exe가 대체 뭔지 알아볼려다가 이 글을 보게 되었는데요

    댓글에서 말씀하신대로 syswow64 에 있는 divxcs 폴더를 삭제하고 시작프로그램 목록에서 제거했는데

    재부팅을 하니 sysWow64에 divxcs 폴더가 다시 생기지는 않았지만 다시 시작프로그램 목록에 divxcs가 등록이 되어있더군요 이건 어떻게 해야하는걸까요

    • 폴더 및 파일을 제거한 이후에도 지속적으로 시작 프로그램에 재등록이 발생한다면 확인되지 않은 다른 악성 파일이 존재할 가능성이 있다고 보여집니다.

      http://hummingbird.tistory.com/notice/4859

      링크글을 참고하여 run 파일을 제작하여 메일로 보내주시면 확인하여 문제되는 부분이 있는지 답변해 드리도록 하겠습니다. 감사합니다.

  • 2014.06.04 22:48 댓글주소 수정/삭제 댓글쓰기

    최근에 계속 DAX Error가 떠서 재부팅하고 했었는데 이 글이 도움이 되었습니다. 저같은경우는 노트북을 사용중인데 program files (x86)안에 divxcs 가 있더군요

    COMCTL32.OCX
    EasySocketX.ocx
    EzSendImageXX.ocx
    MSWINSCK.OCX
    RICHTX32.OCX
    SmartUpdateXX.ocx
    vb6ko.dll

    이것들도 함께 지웠습니다.

    • 엄밀하게 말해서 삭제한 파일들은 모두 정상적인 파일로 악성 파일을 동작하는데 필요한 구성 요소로 파악됩니다.

      감염 전부터 이들 파일을 다른 정상적인 프로그램이 사용하고 있었다면 문제가 될 수 있지만, 말씀처럼 divxcs 폴더(?) 내에 함께 있었다면 삭제하셔도 문제는 없어 보입니다.

  • 2014.06.13 18:02 댓글주소 수정/삭제 댓글쓰기

    저 같은 경우는 divxcs폴더가 생성되어 있지 않습니다...ㅠㅠ

    C:\Windows\IFinst27.exe
    C:\Windows\System32\COMCTL32.OCX
    C:\Windows\System32\divxcs
    C:\Windows\System32\divxcs\divxcc.exe
    C:\Windows\System32\divxcs\divxcs.exe
    C:\Windows\System32\EasySocketX.ocx
    C:\Windows\System32\EzSendImageXX.ocx
    C:\Windows\System32\MSWINSCK.OCX
    C:\Windows\System32\RICHTX32.OCX
    C:\Windows\System32\SmartUpdateXX.ocx
    C:\Windows\System32\vb6ko.dll

    위 파일을 강제로 삭제 시키면 될까요??

  • 2014.06.13 18:12 댓글주소 수정/삭제 댓글쓰기

    divxcc.exe
    divxcs.exe
    파일이 존재하지 않습니다...ㅠㅠ

  • 흐흠 2014.06.27 11:07 댓글주소 수정/삭제 댓글쓰기

    프로세스 익스플로어로 위치 확인해서 올라가보니 없어서
    (프로세스익스 상으로는 windows폴더 하위폴더에 있는걸로 되어있음)
    작업관리자에서 '파일위치열기'를 해보니 program files 폴더 밑에 들어있더군요..

    프로세스익스가 위치를 잘못잡은건지... 이녀석이 위치를 허위로 잡도록 하는건지..

    아무튼 좋은정보 감사합니다 :)

  • 거상 2015.01.20 15:13 댓글주소 수정/삭제 댓글쓰기

    divxcs폴더는 존재하지않고
    알려주신 악성프로그램을 삭제하려고했더니
    실행중이라며 삭제가 되진않습니다.
    실행중인 파일을 어떻게 종료시키나요?