울지않는벌새 : Security, Movie & Society

백도어(Backdoor) 설치를 시도하는 "mspop 1.0" 광고 위장 프로그램 유포 주의 (2014.4.19)

벌새::Analysis

2014년 4월 16일경부터 광고 프로그램의 설치가 이루어지는 제휴 프로그램 방식으로 광고 프로그램으로 위장한 악성코드가 유포되고 있는 부분을 발견하였으며, 주말을 이용하여 추가적인 악성 파일 다운로드 및 설치를 통해 원격 서버(C&C)와 통신을 시도하고 있기에 살펴보도록 하겠습니다.

대표적인 유포처는 스팸(Spam) 블로그 등을 통해 정상적인 소프트웨어를 다운로드하는 과정에서 추가적으로 설치를 유도하는 제휴 프로그램 중 "그리드" 항목을 통해 설치가 이루어지고 있으며, 해당 "줌파일 다운로더"는<SHA-1 : c2bc1533b6176548fa064ebdad0826539b9dc38b - avast! : Win32:PUP-gen [PUP] (VT : 15/50)>은 기존에도 "나라소프트"와 같이 유사 변종을 유포하였던 것으로 확인되고 있습니다.

 

  국내 악성코드 : Windows todayx86 (2012.11.29)

 

  국내 악성코드 : Windows ctpop (2013.2.19)

 

  국내 온라인 게임을 표적으로 한 Windows appcon(remove data) 프로그램 유포 주의 (2013.3.11)

 

  국내 악성코드 : hcpop win (2013.4.30)

 

  국내 악성코드 : shcpop 1.0 (2013.9.6)

 

  국내 악성코드 : bkpops 1.0 (2013.10.4)

 

  제휴 프로그램을 통해 유포되는 온라인 게임 악성코드 유포 주의 (2013.12.2)

제휴 프로그램을 통해 설치가 진행될 경우 국내 웹 호스팅 업체에 등록된 특정 계정에서 설치 파일<SHA-1 : 81a333f4005048b7c1f80b2cb260e3f0273ba7b1 - Kaspersky : not-a-virus:AdWare.Win32.Kraddare.ot (VT : 14/50)>을 다운로드하여 "C:\Users\(사용자 계정)\AppData\Local\Temp\part01.exe" 파일로 생성 및 실행됩니다.

 

참고로 해당 웹 호스팅 계정은 2013년 12월 초 "나라소프트" 제휴 프로그램으로 유포 당시에도 동일하게 사용되었던 계정으로 현재까지도 지속적으로 이용되고 있습니다.

 

또한 추가적인 조사를 통해 확인된 "그리드" 설치 파일 변종 9종이 확인되고 있으며 파일 정보는 다음과 같습니다.

  1. SHA-1 : 78d26a9ab92c5e3f8eb93787249adb1e434737e0 - BitDefender : Dropped:Generic.Malware.dld!.20F96D44 (VT : 13/50)
  2. SHA-1 : 727b5055f2355fe7431eb847f4f95bb9ab986999 - Hauri ViRobot : Adware.Mspop.104872 (VT : 20/51)
  3. SHA-1 : 73ca94c2c362b18da1d72afa043808c05589972e - nProtect : Trojan-Downloader/W32.Agent.104873.B (VT : 13/50)
  4. SHA-1 : d7d8be51d939f1f25e605b2c278e35a03ffd5646 - nProtect : Trojan-Downloader/W32.Agent.104874 (VT : 13/51)
  5. SHA-1 : 704dd1579c24c724c82de7a6978066e5c419965e - AhnLab V3 : Dropper/Downloader.104872 (VT : 14/50)
  6. SHA-1 : 1e0aea6a12920b37eba35dc1859224de127d18c3 - BitDefender : Dropped:Generic.Malware.dld!.91ED35F9 (VT : 13/50)
  7. SHA-1 : 475f44dfb321c9eab71321652ef7a7ac4ef15584 - BitDefender : Dropped:Generic.Malware.dld!.B1BE6E9D (VT : 13/50)
  8. SHA-1 : 644d4732dd0740de374a9fa8058bae18c58ceb7d - BitDefender : Dropped:Generic.Malware.dld!.38F96B7D (VT : 13/50)
  9. SHA-1 : 1735e215aaba3c55235fe01427c3e50dd594a2cd - BitDefender : Dropped:Generic.Malware.dld!.89AAB436 (VT : 13/51)
[생성 파일 등록 정보 : mspop 1.0 프로그램]

 

C:\Program Files\mspop
C:\Program Files\mspop\mpop.exe :: 시작 프로그램(mspop) 등록 파일, 메모리 상주 프로세스
C:\Program Files\mspop\uninst.exe :: 프로그램 삭제 파일
C:\Users\(사용자 계정)\AppData\Roaming\mpopup.exe :: 시작 프로그램(mspops) 등록 파일, 메모리 상주 프로세스
C:\Users\(사용자 계정)\AppData\Roaming\ver.ini

 

[생성 파일 진단 정보]

 

C:\Users\(사용자 계정)\AppData\Roaming\mpopup.exe
 - SHA-1 : 8a14b063950372eab3fa458a899afca7628e4b1c
 - AhnLab V3 : Trojan/Win32.BHO (VT : 3/50)

"mspop 1.0" 이름으로 설치된 프로그램은 "C:\Program Files\mspop" 폴더와 "C:\Users\(사용자 계정)\AppData\Roaming" 폴더 내에 파일을 각각 생성하며, 다음과 같은 시작 프로그램 등록값을 통해 자동 실행되도록 구성되어 있습니다.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - mspop = C:\Program Files\mspop\mpop.exe
 - mspops = C:\Users\(사용자 계정)\AppData\Roaming\mpopup.exe

1. "mspop" 시작 프로그램 등록 파일 : C:\Program Files\mspop\mpop.exe

Windows 시작시 "mspop" 시작 프로그램 등록값으로 등록된 "C:\Program Files\mspop\mpop.exe" 파일(SHA-1 : 89986865a1e48313266d99175febfc19da7d6861)을 자동 실행하여 메모리에 상주하며, 특정 조건에서 추천인 ID가 포함된 특정 웹하드를 오픈하도록 되어 있지만 실제 광고 기능은 확인되지 않고 있습니다.

 

2. "mspops" 시작 프로그램 등록 파일 : C:\Users\(사용자 계정)\AppData\Roaming\mpopup.exe

Windows 시작시 "mspops" 시작 프로그램 등록값으로 등록된 "C:\Users\(사용자 계정)\AppData\Roaming\mpopup.exe" 파일을 자동 실행하여 메모리에 상주하며, "그리드" 악성 프로그램 설치 파일을 받아온 웹 호스팅의 다른 계정에 등록된 특정 주소로 연결을 시도합니다.

해당 주소에는 명령을 수행할 스크립트(Script) 값과 사용자 몰래 추가적으로 다운로드할 악성 파일 다수가 등록되어 있으며, 테스트 당시에는 2개의 악성 파일이 다운로드되고 있습니다.

 

  "211.55.29.46" IP를 통해 유포된 WindowsDriver.dll 악성코드 정보 (2013.10.5)

 

  "112.121.188.18" IP를 통해 유포된 백도어(Backdoor) 정보 (2013.10.10)

 

참고로 위와 같은 방식은 2013년경에도 제휴 프로그램을 통해 설치한 후 추가 다운로드를 통해 악성 프로그램을 설치하는 방식과 유사하다고 할 수 있으므로 참고하시기 바랍니다.

 

3. h**p://119.***.40.**/1.exe (SHA-1 : a371d1ded7d174e75d9534acf089522be44ae663) - Dr.Web : BackDoor.Xtreme.9 (VT : 6/49)

"C:\Users\(사용자 계정)\AppData\Roaming\mpopup.exe" 파일에 의해 특정 IP 서버에서 다운로드된 파일은 "C:\Users\(사용자 계정)\AppData\Local\Temp\test.exe" 파일로 생성 및 실행됩니다.

 

이를 통해 "C:\Users\(사용자 계정)\AppData\Local\Temp\WindowsHelp.exe" 파일로 임시 생성된 후 최종적으로 "C:\Windows\system32\WindowsHelp.exe" 파일로 복사된 후 임시 폴더에 생성된 파일은 자가 삭제 처리됩니다.

 

[생성 파일 및 진단 정보]

 

C:\Windows\System32\WindowsHelp.exe :: 서비스(WindowsHelp) 등록 파일
 - SHA-1 : 53359f14c783c2db2b743161d51ceab0512de2e8
 - BitDefender : Gen:Variant.Strictor.53772 (VT : 12/51)

"WindowsHelp" 서비스 항목으로 등록되어 시스템 시작시 "C:\Windows\System32\WindowsHelp.exe" 파일을 자동 실행하여 다음과 같은 동작을 수행한 후 자동 중지됩니다.

실행된 "C:\Windows\System32\WindowsHelp.exe" 악성 파일은 무료 동적 DNS 서비스에 등록된 "winhelp.25u.com" 서버에서 난독화된 정보를 불러와 네트워크 구성을 변경하도록 제작되어 있습니다.

이를 통해 TCP/IP 네트워크의 DNS 서버 주소를 사용자의 통신사가 아닌 Google DNS 주소(8.8.8.8)로 변경을 하며, 이를 통해 인터넷 접속시 Google DNS 서버를 통해 웹 사이트 주소를 호출하여 IP 차단을 우회하려는 목적으로 판단됩니다.

또한 서버에서 불러온 난독화된 IP 주소를 통해 Windows 방화벽의 인바운드와 아웃바운드 규칙에 각각 12개의 차단(Blockit) 규칙을 추가하여 국내외 ISP, CDN IP를 차단하는 것으로 추정됩니다.

특히 Windows 부팅시마다 자동 실행되는 "C:\Windows\System32\WindowsHelp.exe" 서비스 파일은 "C:\Windows\Temp\finalchangedns.vbs" 파일을 생성한 후, CMD 모드(C:\Windows\system32\cmd.exe /c wscript //B C:\Windows\TEMP\finalchangedns.vbs)로 실행하여 변경된 DNS 서버로 네트워크가 이루어지게 합니다.

 

4. h**p://pds27.egloos.com/pds/201404/18/**/update.exe (SHA-1 : 498b360987dd397958a694b09226e984c1ce2580) - MSE : Backdoor:Win32/Xyligan.B (VT : 29/49)

"C:\Users\(사용자 계정)\AppData\Roaming\mpopup.exe" 파일에 의해 특정 이글루스(egloos) 블로그 계정에 등록된 파일을 다운로드하여 "C:\Users\(사용자 계정)\AppData\Local\Temp\test2.exe" 파일로 임시 생성한 후, "C:\Windows\System32\okdhaq.exe" 파일로 복제한 후 임시 폴더 파일은 자가 삭제 처리됩니다.

 

[생성 파일 및 진단 정보]

 

C:\Windows\System32\okdhaq.exe :: 서비스(rcmdsvc) 등록 파일, 메모리 상주 프로세스
 - SHA-1 : 498b360987dd397958a694b09226e984c1ce2580
 - BitDefender : Gen:Trojan.Heur.GM.0144412022 (VT : 29/49)

 

※ 생성된 파일명은 운영 체제(OS)에 따라 (6자리 영문).exe 파일로 생성될 수 있습니다.

"rcmdsvc (표시 이름 : Remote Command Service)" 서비스 항목을 등록하여 시스템 시작시 "C:\Windows\System32\okdhaq.exe" 파일을 자동 실행 및 메모리에 상주하여 다음과 같은 동작을 수행합니다.

해당 파일은 Google DNS 서버를 통해 "hojin2987.codns.com" C&C 서버와 통신을 지속적으로 시도하도록 되어 있으며, 이를 통해 차후 공격자의 명령에 따라 파일 다운로드 및 정보 유출 등의 피해를 유발할 수 있으리라 판단됩니다. 특히 기존부터 해당 공격자는 국내 도박성 온라인 게임을 표적으로 한 돈벌이에 하는 것으로 알고 있습니다.

 

5. "mspop 1.0" 프로그램 삭제 및 악성코드 제거 방법

 

우선 제어판에 등록된 "mspop 1.0" 삭제 항목이 존재할 경우 악성코드 감염이 발생한 것으로 판단할 수 있습니다.

특히 제어판의 "mspop 1.0" 삭제 항목을 통해 프로그램 삭제를 진행할 경우 "C:\Program Files\mspop" 폴더 및 내부 파일만 삭제할 뿐, 실질적인 악성코드 추가 다운로드 기능을 수행하는 "C:\Users\(사용자 계정)\AppData\Roaming\mpopup.exe" 파일을 삭제하지 않습니다.

 

그러므로 "mspop 1.0" 프로그램 삭제를 위해서는 다음과 같은 절차에 따라 프로그램을 삭제하시기 바랍니다.

 

(a) Windows 작업 관리자를 실행하여 mpop.exe, mpopup.exe 2개의 프로세스를 찾아 종료하시기 바랍니다.

 

(b) 다음과 같은 파일 및 레지스트리 편집기(regedit)를 실행하여 mspops 시작 프로그램 등록값을 찾아 삭제하시기 바랍니다.

  • C:\Users\(사용자 계정)\AppData\Roaming\mpopup.exe
  • C:\Users\(사용자 계정)\AppData\Roaming\ver.ini
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

 - mspops = C:\Users\AdminPC2013\AppData\Roaming\mpopup.exe

그 후 추가적으로 다운로드되어 설치된 악성 파일을 제거하기 위해서는 다음과 같은 절차를 참고하시기 바랍니다.

 

(a) "보조 프로그램 → 명령 프롬프트" 메뉴를 "관리자 권한으로 실행"하여 생성된 명령 프롬프트 창에 [sc stop "rcmdsvc"] 명령어를 입력 및 실행하여 실행 중인 okdhaq.exe 프로세스를 자동 종료하시기 바랍니다.

(b) 이후 해당 명령 프롬프트 창에 [sc delete "rcmdsvc"], [sc delete "WindowsHelp"] 명령어를 각각 입력 및 실행하여 등록된 서비스 값을 자동으로 삭제하시기 바랍니다.

(c) 다음의 파일을 찾아 삭제하시기 바랍니다.

  • C:\Windows\System32\okdhaq.exe
  • C:\Windows\System32\WindowsHelp.exe

(d) "제어판 → 네트워크 및 인터넷 → 네트워크 및 공유 센터"에 표시된 "로컬 영역 연결" 메뉴를 실행하여 생성된 "로컬 영역 연결 상태" 창의 "속성" 버튼을 클릭하여 "Internet Protocol Version 4 (TCP/IPv4)" 항목을 더블 클릭하시기 바랍니다.

생성된 창에서 악성코드 감염으로 인해 변경된 Google DNS 서버(8.8.8.8) 설정을 "자동으로 DNS 서버 주소 받기" 값으로 체크를 변경하시기 바랍니다.

 

(e) "제어판 → 시스템 보안 → Windows 방화벽" 메뉴를 실행하여 좌측 메뉴의 "고급 설정" 항목을 선택하여 생성된 "고급 보안이 포함된 Windows 방화벽" 창에서 "인바운드 규칙""아웃바운드 규칙"을 각각 선택하여 "Blockit" 값으로 추가된 12개의 규칙을 찾아 삭제하시기 바랍니다.

 

참고로 레지스트리 편집기(regedit)를 통해 삭제를 원하시는 분들은 다음의 값을 찾아 삭제하시기 바랍니다.

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules
 - {01FAEEB8-6DEB-41E6-8464-1AE24584DB0B} = v2.10|Action=Block|Active=TRUE|Dir=In|RA4=61.110.213.0/255.255.255.0|Name=Blockit|
 - {1528E9F8-6620-4F62-A014-26135CE10784} = v2.10|Action=Block|Active=TRUE|Dir=Out|RA4=182.162.156.0/255.255.255.0|Name=Blockit|
 - {180F2EB8-077C-4BB0-B4E4-A051055076AA} = v2.10|Action=Block|Active=TRUE|Dir=In|RA4=211.115.106.0/255.255.255.0|Name=Blockit|
 - {1E9F0710-8FD0-44ED-A3D1-76EA880886E0} = v2.10|Action=Block|Active=TRUE|Dir=Out|RA4=182.162.11.0/255.255.255.0|Name=Blockit|
 - {26D4FB98-A0D7-4D99-8FEA-F150F41A8C45} = v2.10|Action=Block|Active=TRUE|Dir=In|RA4=61.110.251.0/255.255.255.0|Name=Blockit|
 - {26EA0671-E08A-4180-9F4C-04DD108AE64C} = v2.10|Action=Block|Active=TRUE|Dir=Out|RA4=218.153.8.0/255.255.255.0|Name=Blockit|
 - {277A6CB7-FA57-416E-B641-0762484D8AAC} = v2.10|Action=Block|Active=TRUE|Dir=Out|RA4=182.162.157.0/255.255.255.0|Name=Blockit|
 - {2B258308-4AC2-4052-A9C7-A9D4F7705904} = v2.10|Action=Block|Active=TRUE|Dir=In|RA4=39.112.242.0/255.255.255.0|Name=Blockit|
 - {2BBBA9B7-4EF1-4637-8CD2-7CB7E74246C9} = v2.10|Action=Block|Active=TRUE|Dir=Out|RA4=64.62.151.0/255.255.255.0|Name=Blockit|
 - {2D339EF4-9DC5-4288-9717-EAFF61C556CC} = v2.10|Action=Block|Active=TRUE|Dir=In|RA4=1.1.1.0/255.255.255.0|Name=Blockit|
 - {4D18C373-31AD-4625-9E54-850EE0C12558} = v2.10|Action=Block|Active=TRUE|Dir=In|RA4=182.162.157.0/255.255.255.0|Name=Blockit|
 - {523712D9-9C26-48FD-8BCD-B6F06B1A6A79} = v2.10|Action=Block|Active=TRUE|Dir=In|RA4=182.162.11.0/255.255.255.0|Name=Blockit|
 - {61CA6F36-DBF5-467C-BAA4-25BF90647FC6} = v2.10|Action=Block|Active=TRUE|Dir=Out|RA4=184.51.198.0/255.255.255.0|Name=Blockit|
 - {6EC8CC2F-FFD1-4C34-890B-FF4F1E3A200E} = v2.10|Action=Block|Active=TRUE|Dir=In|RA4=218.153.8.0/255.255.255.0|Name=Blockit|
 - {79845C80-AF12-46A8-914C-3453455417C1} = v2.10|Action=Block|Active=TRUE|Dir=In|RA4=182.162.156.0/255.255.255.0|Name=Blockit|
 - {8339DE2D-A9AC-44D2-8E74-03F095C08D16} = v2.10|Action=Block|Active=TRUE|Dir=In|RA4=64.62.151.0/255.255.255.0|Name=Blockit|
 - {867989BE-4CC6-46A5-BDB3-AA9E34EAB824} = v2.10|Action=Block|Active=TRUE|Dir=In|RA4=184.51.198.0/255.255.255.0|Name=Blockit|
 - {8853B98D-AAD4-4B9E-B8A1-2E64FFC8856D} = v2.10|Action=Block|Active=TRUE|Dir=In|RA4=61.111.53.0/255.255.255.0|Name=Blockit|
 - {923FAF45-ADEC-4ED8-B07E-DA3C52875A9B} = v2.10|Action=Block|Active=TRUE|Dir=Out|RA4=211.115.106.0/255.255.255.0|Name=Blockit|
 - {9E26EE42-D479-4407-82B0-68384D6902E2} = v2.10|Action=Block|Active=TRUE|Dir=Out|RA4=61.110.213.0/255.255.255.0|Name=Blockit|
 - {B644E5A9-3F72-4760-9DEC-D34B4B8CE487} = v2.10|Action=Block|Active=TRUE|Dir=Out|RA4=61.110.251.0/255.255.255.0|Name=Blockit|
 - {D6CB8C61-5457-4DC4-A180-8A8CBE530AAB} = v2.10|Action=Block|Active=TRUE|Dir=Out|RA4=61.111.53.0/255.255.255.0|Name=Blockit|
 - {E07B0DC0-D42E-4CFA-8D32-ADAF1A3FD47E} = v2.10|Action=Block|Active=TRUE|Dir=Out|RA4=39.112.242.0/255.255.255.0|Name=Blockit|
 - {E260AFB6-E7F8-4543-B38A-438A00227734} = v2.10|Action=Block|Active=TRUE|Dir=Out|RA4=1.1.1.0/255.255.255.0|Name=Blockit|

 

위와 같이 제휴 프로그램으로 설치되는 광고성 수익 프로그램 중에서는 악의적인 목적으로 제작된 경우가 존재할 수 있으므로 인터넷 상에서 파일을 다운로드하여 실행하는 경우 제휴 프로그램이 포함되어 있는지 꼼꼼하게 살피는 습관을 가지시기 바랍니다.