2014년 9월 9일경부터 특정 불법 게임 사이트 접속시 자동으로 다운로드되는 cassgameInstaller.exe 악성 파일을 통해 특정 게임 및 정보 유출, DDoS 공격 등 다양한 악의적 기능을 수행할 수 있는 악성코드 유포 사례에 대해 살펴보도록 하겠습니다.(※ 해당 정보는 분석글 작성하는 시점에서도 유효한 공격이므로 호기심에 접속하는 일이 없도록 주의하시기 바랍니다.)
문제의 불법 게임 웹 사이트 접속과 동시에 자동으로 웹 서버에서 cassgameInstaller.exe 악성 파일<SHA-1 : 44e07b70f71affd47e10a3358f48b2831d06574a - AhnLab V3 : Trojan/Win32.MalPack.R112913, 알약(ALYac) : Trojan.Dropper.DDoS.Agent.ulo (VT : 43/54)>이 다운로드되고 있으며, 실제 웹 사이트를 신뢰하는 불법 도박 게임 이용자는 파일을 실행할 가능성이 존재합니다.
해당 자동 다운로드 방식은 JQuery.js 스크립트 파일 내에 추가된 파일 다운로드 함수를 이용하여 구현되었다는 정보를 참고하시기 바랍니다.
C:\Windows\System32\RrmgtvC.dll
- SHA-1 : 7b7d3bf05d73bc732700e3e42b1c705188bdfce1
- AhnLab V3 : Trojan/Win32.Zegost.R118531, 알약(ALYac) : Gen:Variant.Zusy.106818 (VT : 31/54)
※ 생성된 파일은 "R(영문 소문자)m(영문 소문자)t(영문소문자)C.dll" 파일 패턴으로 랜덤(Random)한 파일명과 해시값을 가집니다.
[생성 레지스트리 등록 정보]
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\FastUserSwitchingCompatibility
감염된 환경에서는 "FastUserSwitchingCompatibility (표시 이름 : xqmomsyhgagiupjqbzxthtopotmitn)" 서비스 항목을 등록하여 시스템 시작시 "%SystemRoot%\System32\svchost.exe -k netsvcs" 파일을 자동 실행합니다.
이를 통해 자동 실행된 svchost.exe 시스템 파일은 "C:\Windows\System32\rundll32.exe" 시스템 파일(Windows 호스트 프로세스(Rundll32))을 로딩하여 "rundll32.exe c:\windows\system32\rrmgtvc.dll wintest" 명령을 통해 악성 모듈을 로딩하여 메모리에 상주합니다.
이를 통해 국내 IP로 확인되는 "180.210.53.113:15963" C&C 서버와 "GOLD" 시그니처 값이 포함된 통신을 시도하는 동작을 확인할 수 있습니다.
참고로 AhnLab V3 365 Clinic 보안 제품에서는 네트워크 침입 차단 기능을 통해 해당 통신을 "malware_rat_gh0st-13(TCP)" 해킹툴 차단 규칙에 따라 차단을 시도합니다.
해당 악성코드의 기능을 살펴보면 AhnLab V3 Lite, 알약(ALYac) 무료 백신의 설치 여부를 레지스트리 값과 프로세스 명을 기반으로 검색하여 체크를 수행합니다.
- HKEY_LOCAL_MACHINE\SOFTWARE\AhnLab\V3Lite, MUpdate2.exe
- HKEY_LOCAL_MACHINE\SOFTWARE\ESTsoft\ALYac, AYUpdate.aye
또한 도박성 게임(PMangAgent.exe, SUTDA.exe, POKER.exe, LASPOKER.exe, marpoker.exe, HOOLA3.exe, HIGHLOW2.exe, BADUKI.exe, POKER7.exe)과 관련된 프로세스를 모니터링하여 게임 동작시 화면 캡처, 원격 제어를 비롯한 악의적 기능을 통해 정보를 유출할 수 있으며, 추가적인 명령에 따라서는 DDoS 공격 기능이 포함되어 있습니다.
만약 해당 악성코드에 감염된 경우에 수동으로 문제를 해결하기 위해서는 다음과 같은 절차에 따라 제거하시기 바랍니다.
(a) "보조 프로그램 → 명령 프롬프트" 메뉴를 "관리자 권한으로 실행"하여 생성된 명령 프롬프트 창에 다음의 명령어를 순서대로 입력 및 실행하시기 바랍니다.
- sc stop "FastUserSwitchingCompatibility"
- sc delete "FastUserSwitchingCompatibility"
(b) Windows 작업 관리자를 실행하여 "모든 사용자의 프로세스 표시" 항목에 체크한 후 메모리에 상주하는 rundll32.exe 프로세스를 찾아 종료하시기 바랍니다.
(c) "C:\Windows\System32\RrmgtvC.dll" 파일을 찾아 삭제하시기 바랍니다.(※ 해당 파일명은 R(영문 소문자)m(영문 소문자)t(영문 소문자)C.dll 파일 패턴이므로 보안 제품으로 정밀 검사를 통해 찾으시길 권장합니다.)
근래 각종 도박성 웹 사이트를 표적으로 한 악성코드가 지속적으로 발견되고 있으므로 불법적 웹 사이트에서 파일을 다운로드하여 실행하는 일이 없도록 주의하시기 바랍니다.