울지않는벌새 : Security, Movie & Society

인터넷 쇼핑몰 바로가기 아이콘(shopbacon.exe)을 이용한 정보 유출 악성코드 유포 주의 (2013.11.8)

벌새::Analysis

최근 즐겨찾기 및 바탕 화면에 11번가, G마켓, 옥션 바로가기 아이콘을 등록하면서 사용자 몰래 도박성 온라인 게임 정보를 수집할 목적으로 제작된 악성코드를 함께 설치하는 사례가 확인되고 있습니다.

 

  11번가 바로가기 아이콘 프로그램에 추가된 정보 유출 악성코드 주의 (2013.6.24)

 

  ehantk 바로가기 아이콘을 이용한 악성코드 유포 주의 (2013.6.29)

 

위와 같이 인터넷 쇼핑몰 바로가기 아이콘 설치시 악성코드를 추가하는 방식은 기존에도 발견된 적이 있으므로 참고하시기 바랍니다.

대표적인 유포 방식으로는 블로그 또는 파일 자료실 첨부 파일<MD5 : 9a5f6d0a53f1c6a742b0745db12bac82 - ESET : probably a variant of Win32/Adware.Kraddare.EZ (VT : 14/47)>을 다운로드하여 실행시 추가적으로 등록된 제휴 프로그램 중 "아이콘바탕" 프로그램을 통해 설치가 이루어지고 있는 것으로 확인되고 있습니다.

해당 제휴 프로그램의 설치 파일<MD5 : acc74f339a6703c026e787f392d431b5 - Hauri ViRobot : Adware.Agent.650303 (VT : 17/47)>이 특정 서버로부터 다운로드되어 "C:\Users\(사용자 계정)\AppData\Local\Temp\nshopbacon.exe" 파일로 생성된 후 다음과 같은 삭제를 지원하지 않는 프로그램을 설치합니다.

 

[생성 파일 등록 정보]

 

C:\Users\(사용자 계정)\AppData\Local\Temp\nshopbacon.exe
C:\Users\(사용자 계정)\AppData\Roaming\nplog.log
C:\Users\(사용자 계정)\AppData\Roaming\shopbacon.exe
C:\Users\(사용자 계정)\Desktop\11번가.url
C:\Users\(사용자 계정)\Desktop\옥션.url
C:\Users\(사용자 계정)\Desktop\G마켓.url
C:\Users\(사용자 계정)\Favorites\11번가.url
C:\Users\(사용자 계정)\Favorites\옥션.url
C:\Users\(사용자 계정)\Favorites\G마켓.url
C:\Windows\11st.ico
C:\Windows\aution.ico
C:\Windows\gmarket.ico

 

[생성 파일 진단 정보]

 

C:\Users\(사용자 계정)\AppData\Local\Temp\nshopbacon.exe
 - MD5 : acc74f339a6703c026e787f392d431b5
 - Hauri ViRobot : Adware.Agent.650303 (VT : 17/47)

 

C:\Users\(사용자 계정)\AppData\Roaming\nplog.log
 - MD5 : 52c42a247682524667a35e8060702bad
 - avast! : Win32:Agent-ASFY [Trj] (VT : 1/46)

 

C:\Users\(사용자 계정)\AppData\Roaming\shopbacon.exe
 - MD5 : dfa8e12c921c01dee0a191a01040f6d4
 - ESET : a variant of Win32/Adware.Kraddare.EO (VT : 14/47)

프로그램이 설치된 환경에서는 바탕 화면, 즐겨찾기 영역에 11번가, G마켓, 옥션 바로가기 아이콘이 생성됩니다.

해당 바로가기 아이콘을 이용하여 인터넷 쇼핑몰에 접속하는 과정에서 "click.interich.com" 제휴 코드가 추가되는 형태로 연결이 이루어지는 것을 확인할 수 있습니다.

그런데 프로그램 설치로 인해 생성된 파일 중에 "C:\Users\(사용자 계정)\AppData\Roaming\nplog.log" 파일을 확인해보면, 로그(Log) 파일 확장자를 가지고 있지만 비정상적인 파일 크기임을 알 수 있습니다.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - nplog3 = rundll32 C:\Users\(사용자 계정)\AppData\Roaming\nplog.log,rdl

파일 헤더를 확인해보면 로그(Log) 포맷이 아닌 PE 포맷을 가진 실행 파일로 확인되며, 시작 프로그램 레지스트리 값에서도 "nplog3" 등록값을 통해 시스템 시작시 자동 실행되도록 되어있습니다.

파일을 오픈해보면 국내 IP 서버(211.115.90.**)로부터 정보를 체크하는 부분을 발견할 수 있습니다.

 

그럼 인터넷 쇼핑몰 바로가기 아이콘을 통해 사용자 몰래 추가된 "C:\Users\(사용자 계정)\AppData\Roaming\nplog.log" 악성 파일이 어떤 목적을 수행하는지 확인해 보도록 하겠습니다.

먼저 Windows 시작시 시작 프로그램으로 등록된 "rundll32 C:\Users\(사용자 계정)\AppData\Roaming\nplog.log,rdl" 파일은 "C:\Windows\System32\rundll32.exe" 시스템 파일을 불러와 자신을 실행하여 메모리에 상주합니다.

 

이를 통해 국내 "211.115.90.**" IP 서버와 20분 주기로 통신을 시도하는 동작을 확인할 수 있습니다.

연결된 IP 서버를 확인해보면 한게임(로우바둑이, 7포커, 하이로우2, 라스베가스 포커, 맞포커, 파티훌라), 피망(로우바둑이), 넷마블(세븐포커, 훌라, 맞포커)와 같은 도박성 온라인 게임을 체크합니다.

 

즉, 감염된 시스템 환경에서 사용자가 지정된 온라인 게임을 오픈하고 있을 경우 추가적으로 다음과 같은 악성 프로그램을 다운로드 및 실행할 수 있습니다.

  • h**p://211.115.90.**/svchost.exe (MD5 : 9070ba0fe2b10cc82af7091f5e6cb53d) - ESET : a variant of Win32/Packed.Themida (VT : 6/47)

이를 통해 다운로드된 악성 프로그램은 "C:\Windows\Temp/winlog.exe" 파일을 생성하여 추가적인 악의적 행위(게임 화면 훔쳐보기 등의 정보 유출 행위)를 통해 사이버 범죄를 수행할 수 있습니다.

 

그러므로 위와 같은 제휴 프로그램을 통해 설치되는 광고 프로그램 중에는 또 다른 악성 프로그램을 추가하여 정보 유출 등의 범죄로 연결될 수 있으므로, 광고 프로그램 자체가 PC에 설치되지 않도록 블로그에 등록된 파일은 절대로 다운로드하지 않도록 하시기 바랍니다.