울지않는벌새 : Security, Movie & Society

해킹된 블로그 접속시 자동 납치를 통한 Win32/Virut 감염 주의 (2014.6.18)

벌새::Analysis

최근 해킹된 블로그 접속시 자동 납치 태그를 이용하여 바이러스(Win32/Virut) 감염 기능을 가진 악성 파일을 다운로드하는 유포 행위가 확인되고 있습니다.(※ 관련 정보를 제공해주신 "스벨괴"님께 감사드립니다. )

 

Win32/Virut 바이러스에 감염된 경우에는 단순히 악성 파일 삭제만으로는 해결되지 않으며, 전용 백신을 통해 감염된 정상 파일(.exe, .scr)을 치료해야 하는 문제로 인하여 치료가 쉽지 않을 수 있습니다.

유포 방식을 살펴보면 사용자가 인터넷 검색을 통해 해킹된 블로그에 접속하는 과정에서 다음과 같은 연결이 이루어질 수 있습니다.

사용자가 해킹된 블로그 접속 과정에서 리퍼러(Referrer) 값을 체크하여 네이버(Naver), 구글(Google), 다음(Daum) 검색을 통해 접속한 경우 특정 도메인(yes****.info)으로 자동 납치를 시도합니다.

참고로 예전부터 블로그 계정 정보를 탈취하여 악용되는 사례에서는 블로그 접속시 리퍼러(Referrer) 체크를 통해 불법 도박 사이트, 성인 사이트 홍보를 하는 경우가 있었으므로 참고하시기 바랍니다.

연결된 도메인에서는 단축 URL(tinyurl.com) 주소를 통해 특정 IP 주소에 등록된 story.exe 악성 파일을 불러오도록 설정되어 있습니다.

이를 통해 사용자 화면에서는 해킹된 블로그 접속시 블로그로 연결되는 것이 아니라 특정 파일을 다운로드하는 동작이 자동으로 발생하게 됩니다.

다운로드되는 story.exe 악성 파일 아이콘이 깡통 모양을 하고 있는데, 최근 공개된 정보에 따르면 국내 인터넷뱅킹을 표적으로 한 사이버 범죄 조직이 활발하게 사용하고 있다는 내용이 있습니다.

실제 해킹된 블로그에서는 중국(China) 사이버 범죄 조직에서 잘 사용하는 카운터(Counter) 체크 부분을 발견할 수 있으며, 자동 연결되는 도메인(yes****.info) 역시 Yessign(금융결제원 전자인증센터)과 매우 유사한 점에서 감염을 통한 인터넷뱅킹 정보를 수집할 목적이 아닐까 추정됩니다.

  • h**p://115.**.17.**:9898/story.exe (SHA-1 : bc7f97e9ee79b6b2ae5561508636b8b2a1e75cb4) - AhnLab V3 : Win32/Virut.F (VT : 48/54)

다운로드된 story.exe 악성 파일은 Win32/Virut 바이러스 감염 기능을 포함하고 있기 때문에 대부분의 안티 바이러스(Anti-Virus) 제품에서 차단이 이루어지고 있으므로 실제적인 감염은 극히 적을 것으로 판단됩니다.

 

또한 Windows 7 운영 체제 기준으로 사용자 계정 컨트롤(UAC) 보안 기능이 활성화된 환경에서는 정상적인 감염이 이루어지지 않으며, 비활성화된 환경에서는 정상적으로 감염이 이루어지는 것으로 확인되므로 반드시 사용자 계정 컨트롤(UAC)을 비활성화하지 마시고 사용하시기 바랍니다.

 

만약 사용자가 다운로드된 악성 파일을 실행한 경우 어떤 동작이 발생할 수 있는지 간단하게 알아보도록 하겠습니다.

 

[생성 파일 및 진단 정보]

 

C:\Users\(사용자 계정)\AppData\Local\Temp\4027440.dll
 - SHA-1 : 8abf6b32c13ddf2c68632baf23b09aab923e13e8
 - AhnLab V3 : Win-Trojan/Agent.80896.FV (VT : 19/54)

 

C:\Windows\System32\LruNpstf.dsy

 

C:\Windows\335903.dll
 - SHA-1 : bc7f97e9ee79b6b2ae5561508636b8b2a1e75cb4
 - BitDefender : Win32.Virtob.Gen.12 (VT : 48/54)

 

C:\Windows\336403.dll
 - SHA-1 : 8abf6b32c13ddf2c68632baf23b09aab923e13e8
 - MSE : Backdoor:Win32/Zegost.BZ (VT : 19/54)

 

악성 파일이 실행되면 사용자 계정의 임시 폴더에 (숫자).dll 악성 파일을 생성한 후 Windows 폴더 내에 자가 복제를 하며, 다운로드된 악성 파일 역시 Windows 폴더에 DLL 파일 형태로 자가 복제를 합니다.

"Mnopqr Tuvwxyab Def (표시 이름 : Mnopqr Tuvwxyab Defghijk Mnop)" 서비스 항목을 등록하여 시스템 시작시 [%SystemRoot%\System32\svchost.exe -k "Mnopqr Tuvwxyab Def"] 파일을 자동 실행하도록 구성되어 있습니다.

자동 실행된 서비스 파일(svchost.exe)은 "C:\Windows\System32\rundll32.exe" 시스템 파일을 "Rundll32.exe c:\windows\336403.dll,Launch Mnopqr Tuvwxyab Def" 명령어로 프로세스 인젝션을 통해 악성 파일을 로딩합니다.

이를 통해 "xldos.publicvm.com (115.68.17.83)" C&C 서버로 연결을 시도하며, 해당 서버는 국내 업체의 스팸/바이러스 메일 차단 솔루션과 연결되어 있는 부분을 발견할 수 있습니다.

 

감염된 환경에서는 공격자의 추가적인 명령에 따라 인터넷뱅킹 정보 탈취를 위한 정보 수집, 추가적인 악성 파일 다운로드 등의 백도어(Backdoor) 기능을 수행할 수 있습니다.

 

만약 감염된 PC 환경에서 보안 제품을 통해 악성 파일을 정상적으로 삭제하기 어려운 경우에는 다음의 절차대로 진행하시기 바랍니다.

 

(a) Windows 폴더에 생성된 2개의 (숫자).dll 악성 파일을 찾아 확장자명을 변경하시기 바랍니다.

참고로 (숫자).dll 악성 파일은 감염시 랜덤(Random)한 숫자로 구성되며, 확장자명은 (숫자).dll-Malware 형태로 변경하시면 됩니다.

 

(b) 해당 악성코드는 프로세스 보호 기능이 존재하므로 서비스 종료와 동시에 프로세스 종료를 진행하시길 권장합니다.

먼저 "보조 프로그램 → 명령 프롬프트" 메뉴를 "관리자 권한으로 실행"하여 생성된 명령 프롬프트 창에 [sc stop "Mnopqr Tuvwxyab Def"] 명령어를 입력 및 실행하여 서비스 프로세스를 자동 종료하시기 바랍니다.

서비스 종료 후 즉시 Windows 작업 관리자를 실행하여 rundll32.exe 프로세스를 찾아 종료하시기 바랍니다.

 

(c) "보조 프로그램 → 명령 프롬프트" 메뉴를 "관리자 권한으로 실행"하여 생성된 명령 프롬프트 창에 [sc delete "Mnopqr Tuvwxyab Def"] 명령어를 입력 및 실행하여 서비스 등록값을 자동 삭제하시기 바랍니다.

(d) Windows 재부팅을 한 후 Windows 폴더에 존재하는 확장자명을 변경한 악성 DLL 파일을 찾아 삭제하시기 바랍니다.

 

그 후에는 정상적인 실행 파일이 Win32/Virut 바이러스에 감염되었을 수도 있으므로 안랩(AhnLab)에서 제공하는 Win32/Virut 전용 백신을 통해 안전 모드(F8)에서 치료하시기 바랍니다.

 

이번 사례와 같이 블로그 운영자는 외부에서 블로그를 악용하지 않도록 계정 관리에 신경쓰기 바라며, 웹 사이트 접속시 자동으로 다운로드되는 파일을 호기심에 실행하는 일이 없도록 각별히 주의하시기 바랍니다.