울지않는벌새 : Security, Movie & Society

스포츠 배팅 사이트에서 배포하는 Win24 업데이트 파일 주의 (2014.9.16)

벌새::Analysis

국내인을 대상으로 운영되고 있는 스포츠 배팅 정보 및 동영상을 제공하는 것으로 추정되는 웹 사이트 접속시 다음과 같은 업데이트 메시지 창을 생성하는 사례가 발견되고 있습니다.

생성된 업데이트 메시지 창은 웹 사이트 접속자의 쿠키 파일을 체크하여 생성 여부를 결정하며, 사이트를 이용을 위해 Win24_Update를 실행 후 접속하도록 안내하고 있습니다.

사용자가 메시지 창의 "확인" 버튼을 클릭할 경우 해당 웹 서버에서 파일을 자동 다운로드 시도하는 동작을 확인할 수 있습니다.

다운로드되는 파일에 대하여 AhnLab V3 365 Clinic 보안 제품에서는 "악성 사이트 접근 차단" 창을 통해 다운로드를 차단하고 있으며, 해당 파일은 2014년 9월 16일 오전 3시 41분경에 배포가 시작된 흥미를 유발하는 악성 파일로 보이기에 살펴보도록 하겠습니다.

  • h**p://www.*******.***/data/file/notice/win_24.exe (SHA-1 : b9bb566c4ace6817de6c3fe2a740a3f262943b1d) - AhnLab V3 : Trojan/Win32.Sniffer (VT : 15/55)
[생성 파일 및 진단 정보]

 

C:\Windows\Winpcapture.exe
 - SHA-1 : b9bb566c4ace6817de6c3fe2a740a3f262943b1d
 - AhnLab V3 : Trojan/Win32.Sniffer (VT : 15/55)

다운로드한 파일(win_24.exe)을 실행하면 자신을 Windows 폴더 내에 자가 복제를 시도하며, 다음과 같은 레지스트리 값 등록을 통해 시스템 시작시 자동 실행하도록 구성되어 있습니다

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{4f645220-306d-11d2-995d-00c04f98bbc9}
 - StubPath = C:\Windows\Winpcapture.exe

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
 - Shell = explorer.exe :: 기본값
 - Shell = Explorer.exe C:\Windows\Winpcapture.exe :: 변경값

이를 통해 Windows 부팅을 통한 로그온 과정에서 Winpcapture.exe 파일 실행을 위한 사용자 계정 컨트롤 창이 생성되어 실행을 유발할 수 있으며(※ 테스트 환경에서는 Windows 화면으로 진입하지 못하는 문제가 발생하였습니다.), 실행될 경우 메모리에 상주하여 다음과 같은 동작을 수행합니다.

실행된 Winpcapture.exe 파일은 스니핑(Sniffing)을 위한 소켓 세팅을 통해 사용자가 해당 파일을 배포한 웹 사이트 접속시까지 대기를 합니다.

이후 사용자가 웹 브라우저를 이용하여 스포츠 배팅 사이트에 접속하여 로그인을 시도할 경우 관련 네트워크 패킷을 수집하여 일본(Japan)에 위치한 "sniffer.ddns.info (103.1.249.204)" 서버로 전송을 시도합니다.

유출되는 정보는 로그인 아이디(ID), 비밀번호 등의 정보가 포함되어 있을 것으로 추정되며, 해당 웹 사이트 이외의 정보는 수집되지 않는 것으로 보이지만 감염된 환경에서는 다양한 네트워크 통신 정보가 유출될 가능성이 매우 높습니다.

 

해당 악성코드를 수동으로 제거하기 위해서는 다음과 같은 절차에 따라 진행하시기 바랍니다.

 

(a) Windows 작업 관리자를 실행하여 Winpcapture.exe 프로세스를 찾아 종료하시기 바랍니다.

 

(b) 레지스트리 편집기(regedit)를 실행하여 다음의 레지스트리 값을 찾아 수정하시기 바랍니다.

"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{4f645220-306d-11d2-995d-00c04f98bbc9}" 레지스트리 값을 찾아 우측의 "StubPath" 문자열을 삭제하시기 바랍니다.

"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" 레지스트리 값을 찾아 우측의 "Shell" 문자열에 등록된 "C:\Windows\Winpcapture.exe" 데이터 값을 삭제하여 기본값으로 수정하시기 바랍니다.

 

(c) Windows 탐색기를 이용하여 "C:\Windows\Winpcapture.exe" 파일을 찾아 삭제를 하시기 바랍니다.

 

이번 악성코드 유포는 최초 유포 시간대를 봐서는 외부 해킹에 의한 것으로 추정되며, 과거부터 동영상 재생을 위한 파일처럼 위장한 악성코드 유포 사례가 존재하였으므로 해당 사이트 이용자들은 제공되는 파일을 함부로 실행하는 일이 없도록 각별히 주의하시기 바랍니다.