본문 바로가기

벌새::Analysis

MS Office 인증 크랙으로 위장한 악성코드 유포 주의 (2014.3.28)

최근 해외에서 제작된 Windows, MS Office, WinRAR 등 유명 소프트웨어 키젠(Keygen) 또는 크랙(Crack) 파일로 위장한 악성코드가 토렌트(Torrent) 등 다양한 방식으로 유포가 이루어지고 있는 것으로 확인되고 있습니다.(※ 정보를 제공해주신 바이러스 제로 시즌 2 카페 매니저(ViOLeT)님에게 감사드립니다.)

특히 국내 토렌트(Torrent) 사이트를 통해 공유가 이루어짐에 따라 유료 소프트웨어를 불법적으로 사용하려는 사용자들은 쉽게 위험에 노출될 수 있으며, 크랙(Crack) 파일은 보안 제품에서 진단될 수 있다는 잘못된 편견으로 인해 진단을 무시할 수 있으므로 주의가 요구됩니다.

 

  • Office.2010- 2013.Toolkit.and.EZ-Activator.2.2.9.exe
  • windows 7 crack loader v.2.4 activation by daz january 2014.exe
  • Windows 7-8 Crack Loader v.2.4 Activation by DAZ January 2014.exe
  • WinRAR 4.20 Final keygen.exe
  • Youtube Downloader PRO (YTD) v5.9 Crack.exe

이번에 확인된 악성 파일은 Windows, MS Office, WinRAR, YouTube Downloader 등의 소프트웨어와 연관되어 있으며, 그 외에도 사용자들이 많이 찾는 다양한 키젠(Keygen) 또는 크랙(Crack) 파일로 위장되어 있으리라 생각됩니다.

이글에서는 MS Office 2010 / 2013 버전에서 사용할 수 있는 인증툴이 토렌트(Torrent) 방식으로 유포되는 것을 다운로드하여 확인하였으며, 대부분 이들 파일은 ZIP 압축 파일로 배포가 이루어지고 있는 것으로 추정됩니다.

다운로드된 ZIP 압축 파일 내부에는 4,615,168 Bytes 크기의 "Office.2010- 2013.Toolkit.and.EZ-Activator.2.2.9.exe" 파일<SHA-1 : dd610b34e20b3d277a9c9dd08d1ad3e8a1021305 - AhnLab V3 : Trojan/Win32.Injector.C286183 (VT : 34/51)>이 포함되어 있으며, 2014년 3월 13일경부터 해외에서 보고되고 있는 것으로 보입니다.

 

사용자가 해당 파일을 실행할 경우 화면상에서는 아무런 변화가 없으며 오직 악성파일을 생성하는 기능을 수행하며, 각종 유료 소프트웨어를 불법적으로 이용할 수 있는 기능은 포함되어 있지 않습니다.

 

[생성 폴더 / 파일 및 진단 정보]

 

C:\ProgramData\WinKernel :: 시스템(S) / 숨김(H) 속성
C:\ProgramData\WinKernel\WinKernel.exe :: 시스템(S) / 숨김(H) 속성
 - SHA-1 : dd610b34e20b3d277a9c9dd08d1ad3e8a1021305
 - AhnLab V3 : Trojan/Win32.Injector.C286183 (VT : 34/51)

 

C:\Users\(사용자 계정)\AppData\Local\Temp\6950 :: (4자리 숫자) 파일로 생성, 시스템(S) / 숨김(H) 속성
 - SHA-1 : dd610b34e20b3d277a9c9dd08d1ad3e8a1021305
 - AhnLab V3 : Trojan/Win32.Injector.C286183 (VT : 34/51)

 

C:\Users\(사용자 계정)\AppData\Roaming\Skype :: Skype 프로그램이 설치되지 않은 환경에서 폴더 생성
C:\Users\(사용자 계정)\AppData\Roaming\msconfig.ini

 

※ Windows XP 운영 체제에서는 "C:\WINDOWS\system32\WinKernel\WinKernel.exe" 파일로 생성됩니다.

 

사용자가 다운로드한 압축 파일 내에 존재하는 파일을 실행할 경우 시스템(S), 숨김(H) 속성값을 가진 "C:\ProgramData\WinKernel" 폴더를 생성하여 내부에 실행한 파일을 자가 복제합니다.

"C:\ProgramData\WinKernel" 폴더 내부를 확인해보면 Windows 기본 설정에서는 비어있는 것으로 표시되며, 사용자가 폴더 옵션의 "보호된 운영 체제 파일 숨기기(권장)" 체크 해제와 "숨김 파일, 폴더 및 드라이브 표시" 항목에 체크를 한 경우에 폴더와 내부 파일(WinKernel.exe)을 발견할 수 있습니다.

 

HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
 - shell = explorer.exe,"C:\ProgramData\WinKernel\WinKernel.exe"

생성된 "C:\ProgramData\WinKernel\WinKernel.exe" 파일은 Windows 시작시 자동 실행되도록 Winlogon 레지스트리 값에 shell 값을 추가하여 자동 실행되도록 구성되어 있습니다.

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
 - ShowSuperHidden = 0

이를 통해 Windows 부팅시마다 자동 실행되는 "C:\ProgramData\WinKernel\WinKernel.exe" 파일은 "ShowSuperHidden" 레지스트리 값을 수정하여 폴더 옵션의 "보호된 운영 체제 파일 숨기기(권장)" 항목을 기본값으로 변경하여 악성 폴더 및 파일이 표시되지 않도록 하고 있습니다.

자동 실행되어 메모리에 상주하는 "C:\ProgramData\WinKernel\WinKernel.exe" 악성 파일은 관리자 권한으로 실행되어 주기적으로 PC에서 발생하는 이벤트 정보를 "C:\Users\(사용자 계정)\AppData\Roaming\msconfig.ini" 파일에 Base64 암호화 방식으로 저장을 하는 키로깅(Keylogging) 기능을 수행합니다.

또한 영국에 위치한 "fbchat.sytes.net (195.191.219.245 :187)" C&C 서버와 지속적인 연결을 통해 정보 유출이 가능할 것으로 파악되고 있습니다.

사용자가 악성 파일의 기능 중지 및 삭제를 위해서는 Windows 작업 관리자를 실행하여 WinKernel.exe 프로세스를 찾아 종료하셔야 하며, 반드시 "모든 사용자의 프로세스 표시" 버튼을 클릭한 후 종료를 진행하시기 바랍니다.

 

위와 같이 악성 프로그램 유포를 목적으로 사용자들이 많이 이용할 수 있는 유명 소프트웨어의 키젠(Keygen), 크랙(Crack) 파일로 위장하여 실행시 감염을 통해 추가적인 악성코드 다운로드, 정보 유출 등의 악의적인 기능을 수행할 수 있다는 점을 명심하시기 바랍니다.

 

  • 불법적으로 하면 위험한 듯 합니다...

  • 바이러스제로 2014.03.30 18:10 댓글주소 수정/삭제 댓글쓰기

    유익한 포스팅 감사드립니다~!!!

    토렌트로 자료는 쉽게 구할수 있지만 출처가 불분명하니...믿고 사용할수가

    없더라구요.....

    혹시 사전에....이 파일이 안전한건지 혹은 불안전한건지 확인할 방법은 없을까요

    ㅠ.ㅠ

    • 개인이 가장 빠르게 확인할 수 있는 방법은 검사를 원하는 파일을 https://www.virustotal.com/ 웹 사이트에 업로드하면 국내외 51개 백신 프로그램을 통해 자동으로 검사해서 결과를 알려줍니다.

      이를 통해 어느 정도 악성 여부를 판단할 수 있으리라 생각됩니다.

  • 바이러스제로 2014.03.30 19:27 댓글주소 수정/삭제 댓글쓰기

    감사합니다^^ 혹시....개인 백신으로 해당파일(압축된상태)을 검사하더라도...
    악성코드 판단은 힘들까요?..ㅠ.ㅠ 한번 악성코드가 설치가 되버리니...윈도우가
    완전 망가져서..ㅠ.ㅠ 제가할수 있는 방법은 결국 포맷밖에 없었네요.ㅠ.ㅠ

    • 특정 백신 프로그램으로는 결국 검사해서 진단하지 않는다면 악성이 아니라고 밖에는 생각할 수 없으므로 더 다양한 제품에서 검사하여 판단하기 위해서는 저런 웹 서비스를 이용할 수 밖에 없습니다.

      개인이 파일 분석 능력이 있다면 모를까..

  • 바이러스제로 2014.03.30 20:13 댓글주소 수정/삭제 댓글쓰기

    감사합니다^^
    그런데...파일올릴수 있는 용량이 64메가까지네요 ㅠ.ㅠ.

    용량이 1기가이상인 압축파일은..흠....애매하겠네요 ㅠ.ㅠ.

    용량이 많은 압축파일의 경우 그 안에 많은 파일들이 있을텐데...

    보통 어떤 파일을 검사하면 될까요?....exe파일만 검사하면될까요?..ㅇ.ㅇ;;;;

    • 대용량 파일은 내부에 다수의 파일이 존재하는 압축 형태로 보입니다.

      그런 경우에는 프로그램 설치시 압축 해제되는 과정에서 생성된 파일을 모니터링하여 검증을 해야 합니다.

      현재로서는 설치 전에는 확인하기 매우 어려우므로 사용자가 불법적인 소프트웨어를 사용하지 않는 방법 외에는 어려울 것 같습니다.

      만약 어쩔 수 없이 이용하려면 사전에 가상 환경에서 프로그램 설치를 통해 생성된 파일을 대상으로 검사를 할 수 밖에는 없을 것 같습니다.

  • 바이러스제로 2014.03.31 14:06 댓글주소 수정/삭제 댓글쓰기

    감사합니다~!!!

    iso파일이나 압축파일이 exe로 된경우....압축을 풀면서..악성코드가 설치가 되는건가요?.....그럼 exe압축파일상태에선 확인할 길이 없겠네요 ㅠ.ㅠ.

    능력자(?)가 이미 손을 댄 파일이라..해시값도 틀려있겠죠?....

    혹시..가상공간에...프로그램을 설치해서 유해프로그램인지 확인하는..그런게있다던데.. 샌드박스라고 하던가..ㅇ.ㅇ;;;혹시 사용하시는 프로그램있으시면...추천좀부탁드려요 ㅠ.ㅠ. 사용하기 쉬운걸루 ㅠ.ㅠ

    • 일종의 실행 압축 파일이라고 말하는데 백신에 따라서 대용량 파일인 경우에는 검사를 skip 하는 경우가 있습니다.

      가상 환경은 Oracle VM VirtualBox가 무료이므로 한 번 사용해 보시기 바랍니다.

      https://www.virtualbox.org/

      한글을 지원하므로 사용에 큰 어려움은 없을겁니다.

  • 바이러스제로 2014.03.31 14:35 댓글주소 수정/삭제 댓글쓰기

    감사합니다^^ ~!!! 그런데...가상공간에 프로그램을 설치하더라도...
    악성코드가 설치된건지..아닌지..확인할수있는방법을 제가 몰라서 ㅠ.ㅠ.;
    전문가님들은...레지스트리가 변경된것을 찾으시는데...컴초보가 할수 있는
    가상공간에서 프로그램의 악성유뮤 확인방법~!!추처좀해주세요잉~!!

    • 지식이 없으면 가상 환경을 통해 확인할 방법이 없습니다.

      사용자가 불법 소프트웨어를 사용하지 않는 방법 외에는 없을 것으로 보입니다.

  • 바이러스제로 2014.03.31 14:41 댓글주소 수정/삭제 댓글쓰기

    넵 감사합니다 많은도움이되었습니다^^
    결론은 정품사용이네요..^^:;;; 당연한 말인데....ㅠ.ㅠ

  • 뉴뉴 2014.05.17 13:50 댓글주소 수정/삭제 댓글쓰기

    안녕하세요?
    저 프로그램 깔았는데 사용하는 백신에서 위험성을 발견하고 삭제 처리했으면 된건가요?
    그러니까 작업관리자에 저 프로그램이 나와 있지는 않은데 찝찝하네요...
    아니면 포맷을 해야 안전한건가요?
    정말 뭐든지 정품을 써야겠군요 ㅠ

  • 쿠쿠 2015.12.11 01:17 댓글주소 수정/삭제 댓글쓰기

    궁금한게 있는대 해외사이트로 정보는 내보내는 저창은 어디서 볼 수 있는건가여??

  • 결론 : 정품을 사용합시다!