울지않는벌새 : Security, Movie & Society

VMware Workstation 9 버전을 이용한 토렌트 악성코드 유포 주의 (2013.10.14)

벌새::Analysis

2013년 9월 중순경에 토렌트(Torrent) 공유 사이트에 가상화 솔루션으로 유명한 VMware Workstation 9 버전에 대한 공유 파일이 유포되기 시작하였으며, 다운로드된 파일을 실행할 경우 사용자 몰래 추가적인 악성코드를 감염시키는 부분을 발견하였습니다.(※ 관련 정보 및 파일을 제공해주신 "바이러스 제로 시즌 2" 보안 카페의 철이님에게 감사드립니다. )

대표적인 유포 사이트를 확인해보면 토렌트(Torrent) 사이트에 "VMware-workstation-full-9.0.2-1031769.torrent"라는 제목으로 등록된 시드 파일을 통해 유포가 이루어지고 있습니다.(※ 단언컨대 다른 프로그램을 통해서도 유사한 방식으로 유포가 이루어지고 있을 것으로 생각됩니다.)

이를 통해 다운로드된 파일은 "VMware-workstation-full-9.0.2-1031769.zip" 압축 파일로 되어 있으며, 내부에는 "VMware-workstation-full-9.0.2-1031769.exe" 실행 파일이 포함되어 있습니다.

압축 해제를 한 VMware Workstation 설치 파일(MD5 : c19efa555652b1ab806e74286a342baa)을 확인해보면 공식 사이트에서 배포하는 VMware Workstation 설치 파일과 비교하여 디지털 서명이 포함되지 않은 415MB 용량의 리팩된 파일임을 알 수 있습니다.

VMware Workstation 설치 파일을 실행하면 위와 같은 설치 단계가 표시되며 "C:\Program Files\VM Ware workstation 9" 폴더에 프로그램을 설치한다고 안내되어 있습니다.(※ 정상적인 설치 폴더는 "C:\Program Files\VMware" 입니다.)

이를 통해 설치가 진행되면 "C:\Program Files\VM Ware workstation 9" 폴더에 파일을 생성하는 것으로 표시되며 사용자 몰래 추가적인 악성 프로그램을 설치하게 됩니다.

우선 사용자의 눈을 속일 목적으로 VMware Workstation 9 버전의 설치 파일과 Keygen 파일을 "C:\Program Files\VM Ware workstation 9" 폴더 내에 생성한 후, 바탕 화면에 바로가기 아이콘을 등록하여 클릭시 생성된 파일이 동작하도록 제작되어 있습니다.

  • C:\Program Files\VM Ware workstation 9\keygen.exe
  • C:\Program Files\VM Ware workstation 9\VMware-workstation-full-9.0.2-1031769.exe
  • C:\Users\(사용자 계정)\Desktop\keygen.LNK :: "C:\Program Files\VM Ware workstation 9\keygen.exe" 파일 연결
  • C:\Users\(사용자 계정)\Desktop\VMware-workstation-full-9.0.2-1031769.LNK :: "C:\Program Files\VM Ware workstation 9\VMware-workstation-full-9.0.2-1031769.exe" 파일 연결

이로 인하여 사용자는 바로가기 아이콘을 실행하여 VMware Workstation 9 버전을 설치하게 됨으로 인해 추가적인 악성코드 감염 사실을 인지하기 힘들 수 있습니다.

 

[악성 프로그램 생성 폴더 / 파일 등록 정보]

 

C:\Windows\IFinst27.exe
C:\Windows\System32\COMCTL32.OCX
C:\Windows\System32\divxcs
C:\Windows\System32\divxcs\divxcc.exe
C:\Windows\System32\divxcs\divxcs.exe
C:\Windows\System32\EasySocketX.ocx
C:\Windows\System32\EzSendImageXX.ocx
C:\Windows\System32\MSWINSCK.OCX
C:\Windows\System32\RICHTX32.OCX
C:\Windows\System32\SmartUpdateXX.ocx
C:\Windows\System32\vb6ko.dll

 

[생성 파일 진단 정보]

 

C:\Windows\System32\divxcs\divxcc.exe
 - MD5 : 1e8665cc21166658f0d317360bdeb644
 - AhnLab V3 : Packed/Win32.Morphine (VT : 30/48)

 

C:\Windows\System32\divxcs\divxcs.exe
 - MD5 : 49af85a86b70b70b0414422fc63ae7fb
 - AhnLab V3 : Trojan/Win32.Agent (VT : 36/48)

사용자 몰래 설치된 악성코드는 "C:\Windows\System32\divxcs" 폴더를 생성하여 내부에 텍스트 문서 아이콘 모양으로 위장한 2개의 악성 파일을 추가합니다.

참고로 생성된 2개의 악성 파일은 2013년 9월 19일 새벽(※ 추석날 새벽에 이런 짓이나 하고 있으니...)에 국내인에 의해 제작된 것으로 추정됩니다.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - divxcs = C:\windows\system32\divxcs\divxcs.exe

감염이 이루어진 환경에서는 Windows 시작시 "C:\windows\system32\divxcs\divxcs.exe" 파일을 시작 프로그램으로 등록하여 자동 실행되어 메모리에 상주합니다.

시스템 시작 후 자동 실행된  divxcs.exe 파일은 IP 체크 서비스를 이용하여 감염된 PC의 리얼 IP 정보를 체크합니다.

또한 구글(Google)에서 서비스하는 리니지 서버 관련 홍보 목적으로 등록된 특정 Blogger 계정에 연결됩니다.

이렇게 실행된 divxcs.exe 파일은 국내 "119.71.59.98:707" IP 서버로 지속적인 연결을 유지하는 동작을 확인할 수 있으며, 테스트 시점에서는 추가적인 악의적 동작은 이루어지지 않고 있습니다.

해당 IP 서버에 대해 확인을 해보면 자신의 PC를 웹서버처럼 이용할 수 있는 Berryz WebShare 프로그램을 구동하고 있는 것으로 보이며, 현재 등록된 파일은 특정 IP 정보를 포함하고 있습니다.

 

그렇다면 사이버 범죄자는 무엇을 노리고 VMware Workstation 9 버전의 파일을 토렌트(Torrent)를 통해 유포하고 있는지 살펴보도록 하겠습니다.

자동 실행되는 "C:\Windows\System32\divxcs\divxcs.exe" 파일은 시작 프로그램에 등록된 레지스트리 값을 작성합니다.

또한 특정 시점에서는 온라인 게임 커뮤니티로 알려진 팝올(POPALL) 웹 사이트에 특정 계정 정보로 로그인을 시도할 수 있습니다.

로그인이 이루어진 환경에서는 팝리니지 자유 게시판을 타켓으로 한 홍보글을 자동 등록할 수 있을 것으로 보입니다.

실제 해당 자유 게시판에 등록된 게시글은 대부분 리니지 프리 서버와 관련된 홍보 게시글로 도배가 이루어져 있으며, 이 글에서 분석하는 위와 같은 악성코드로 인해 자동 등록이 될 것으로 추정됩니다.

 

그러므로 토렌트(Torrent)를 통해 다운로드된 유명 소프트웨어 설치 파일, 동영상 파일처럼 제작된 파일 등과 같은 경우에는 사용자에게 정상적으로 프로그램 또는 동영상을 보여주는 것처럼 화면상으로 속이면서 악성 프로그램을 몰래 설치하여 다양한 악의적인 기능을 수행할 수 있으므로 주의하시기 바랍니다.