울지않는벌새 : Security, Movie & Society

MS Office 인증 크랙으로 위장한 악성코드 유포 주의 (2014.3.28)

벌새::Analysis

최근 해외에서 제작된 Windows, MS Office, WinRAR 등 유명 소프트웨어 키젠(Keygen) 또는 크랙(Crack) 파일로 위장한 악성코드가 토렌트(Torrent) 등 다양한 방식으로 유포가 이루어지고 있는 것으로 확인되고 있습니다.(※ 정보를 제공해주신 바이러스 제로 시즌 2 카페 매니저(ViOLeT)님에게 감사드립니다.)

특히 국내 토렌트(Torrent) 사이트를 통해 공유가 이루어짐에 따라 유료 소프트웨어를 불법적으로 사용하려는 사용자들은 쉽게 위험에 노출될 수 있으며, 크랙(Crack) 파일은 보안 제품에서 진단될 수 있다는 잘못된 편견으로 인해 진단을 무시할 수 있으므로 주의가 요구됩니다.

  • Office.2010- 2013.Toolkit.and.EZ-Activator.2.2.9.exe
  • windows 7 crack loader v.2.4 activation by daz january 2014.exe
  • Windows 7-8 Crack Loader v.2.4 Activation by DAZ January 2014.exe
  • WinRAR 4.20 Final keygen.exe
  • Youtube Downloader PRO (YTD) v5.9 Crack.exe

이번에 확인된 악성 파일은 Windows, MS Office, WinRAR, YouTube Downloader 등의 소프트웨어와 연관되어 있으며, 그 외에도 사용자들이 많이 찾는 다양한 키젠(Keygen) 또는 크랙(Crack) 파일로 위장되어 있으리라 생각됩니다.

이글에서는 MS Office 2010 / 2013 버전에서 사용할 수 있는 인증툴이 토렌트(Torrent) 방식으로 유포되는 것을 다운로드하여 확인하였으며, 대부분 이들 파일은 ZIP 압축 파일로 배포가 이루어지고 있는 것으로 추정됩니다.

다운로드된 ZIP 압축 파일 내부에는 4,615,168 Bytes 크기의 "Office.2010- 2013.Toolkit.and.EZ-Activator.2.2.9.exe" 파일<SHA-1 : dd610b34e20b3d277a9c9dd08d1ad3e8a1021305 - AhnLab V3 : Trojan/Win32.Injector.C286183 (VT : 34/51)>이 포함되어 있으며, 2014년 3월 13일경부터 해외에서 보고되고 있는 것으로 보입니다.

 

사용자가 해당 파일을 실행할 경우 화면상에서는 아무런 변화가 없으며 오직 악성파일을 생성하는 기능을 수행하며, 각종 유료 소프트웨어를 불법적으로 이용할 수 있는 기능은 포함되어 있지 않습니다.

 

[생성 폴더 / 파일 및 진단 정보]

 

C:\ProgramData\WinKernel :: 시스템(S) / 숨김(H) 속성
C:\ProgramData\WinKernel\WinKernel.exe :: 시스템(S) / 숨김(H) 속성
 - SHA-1 : dd610b34e20b3d277a9c9dd08d1ad3e8a1021305
 - AhnLab V3 : Trojan/Win32.Injector.C286183 (VT : 34/51)

 

C:\Users\(사용자 계정)\AppData\Local\Temp\6950 :: (4자리 숫자) 파일로 생성, 시스템(S) / 숨김(H) 속성
 - SHA-1 : dd610b34e20b3d277a9c9dd08d1ad3e8a1021305
 - AhnLab V3 : Trojan/Win32.Injector.C286183 (VT : 34/51)

 

C:\Users\(사용자 계정)\AppData\Roaming\Skype :: Skype 프로그램이 설치되지 않은 환경에서 폴더 생성
C:\Users\(사용자 계정)\AppData\Roaming\msconfig.ini

 

※ Windows XP 운영 체제에서는 "C:\WINDOWS\system32\WinKernel\WinKernel.exe" 파일로 생성됩니다.

사용자가 다운로드한 압축 파일 내에 존재하는 파일을 실행할 경우 시스템(S), 숨김(H) 속성값을 가진 "C:\ProgramData\WinKernel" 폴더를 생성하여 내부에 실행한 파일을 자가 복제합니다.

"C:\ProgramData\WinKernel" 폴더 내부를 확인해보면 Windows 기본 설정에서는 비어있는 것으로 표시되며, 사용자가 폴더 옵션의 "보호된 운영 체제 파일 숨기기(권장)" 체크 해제와 "숨김 파일, 폴더 및 드라이브 표시" 항목에 체크를 한 경우에 폴더와 내부 파일(WinKernel.exe)을 발견할 수 있습니다.

HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
 - shell = explorer.exe,"C:\ProgramData\WinKernel\WinKernel.exe"

생성된 "C:\ProgramData\WinKernel\WinKernel.exe" 파일은 Windows 시작시 자동 실행되도록 Winlogon 레지스트리 값에 shell 값을 추가하여 자동 실행되도록 구성되어 있습니다.

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
 - ShowSuperHidden = 0

이를 통해 Windows 부팅시마다 자동 실행되는 "C:\ProgramData\WinKernel\WinKernel.exe" 파일은 "ShowSuperHidden" 레지스트리 값을 수정하여 폴더 옵션의 "보호된 운영 체제 파일 숨기기(권장)" 항목을 기본값으로 변경하여 악성 폴더 및 파일이 표시되지 않도록 하고 있습니다.

자동 실행되어 메모리에 상주하는 "C:\ProgramData\WinKernel\WinKernel.exe" 악성 파일은 관리자 권한으로 실행되어 주기적으로 PC에서 발생하는 이벤트 정보를 "C:\Users\(사용자 계정)\AppData\Roaming\msconfig.ini" 파일에 Base64 암호화 방식으로 저장을 하는 키로깅(Keylogging) 기능을 수행합니다.

또한 영국에 위치한 "fbchat.sytes.net (195.191.219.245 :187)" C&C 서버와 지속적인 연결을 통해 정보 유출이 가능할 것으로 파악되고 있습니다.

사용자가 악성 파일의 기능 중지 및 삭제를 위해서는 Windows 작업 관리자를 실행하여 WinKernel.exe 프로세스를 찾아 종료하셔야 하며, 반드시 "모든 사용자의 프로세스 표시" 버튼을 클릭한 후 종료를 진행하시기 바랍니다.

 

위와 같이 악성 프로그램 유포를 목적으로 사용자들이 많이 이용할 수 있는 유명 소프트웨어의 키젠(Keygen), 크랙(Crack) 파일로 위장하여 실행시 감염을 통해 추가적인 악성코드 다운로드, 정보 유출 등의 악의적인 기능을 수행할 수 있다는 점을 명심하시기 바랍니다.