울지않는벌새 : Security, Movie & Society

FedEx 스팸 메일을 통해 유포되는 AVC Plus 해외 가짜 백신 주의 (2014.12.16)

벌새::Analysis

최근 FedEx 해외 화물 배송 업체에서 발송한 것처럼 위장한 악성 스팸 메일의 첨부 파일을 실행할 경우 해외 가짜 백신(FakeAV)에 감염되는 문제가 발견되고 있기에 관련 정보를 살펴보도록 하겠습니다.

 

특히 해외 직구가 국내에서 활발하게 이루어짐에 따라 해외 배송 관련 메일 수신시 첨부 파일 또는 메일 본문에 포함된 URL 주소를 클릭하여 악성코드에 감염되는 사례가 증가할 것으로 보입니다.

□ 메일 제목 : ○○○, Problems with item delivery, n.000636619

 

□ 메일 내용

 

Dear ○○○,

 

Support Agent.
Please, open email attachment to print shipment label.

 

Yours trully,
Raul Schultz,
Support Agent.

 

문제의 FedEx 메일에서는 소포 배달을 할 수 없는 문제에 대해 선적 라벨 인쇄를 위해 이메일 첨부 파일(FedEx_ID_000636619.zip)을 실행하도록 유도하고 있습니다.

ZIP 압축 파일로 첨부된 파일 내부에는 FedEx_ID_000636619.doc.js 악성 스크립트 파일이 포함되어 있지만, Windows 탐색기 기본값에서는 FedEx_ID_000636619.doc 문서 파일로 표시되는 문제로 압축 내의 파일을 실행할 수 있습니다.(※ 반드시 폴더 옵션에서 "알려진 파일 형식의 파일 확장명 숨기기" 항목을 체크 해제한 상태로 PC를 사용하시기 바랍니다.)

  • FedEx_ID_000636619.doc.js (SHA-1 : 4f3cc9578c499da8cbf45dc2447ecf75d69ac3c8) - Kaspersky : Trojan-Downloader.JS.Agent.hch (VT : 6/54)

첨부 파일에 동봉된 난독화된 스크립트 파일의 중요 부분을 풀어보면 특정 서버에서 3종의 파일을 다운로드하여 86578069.exe, 50386228.exe, 42062552.exe 파일로 생성되도록 제작된 것을 알 수 있습니다.

  • h**p://www.land*****sea.com/document.php?id=5450525E06160500081D552401091405174A070B09&rnd=5464701 :: 3543.jpg (SHA-1 : cb2a7e81b46e45daa3f9316ca485417cc2a7c06a) - AhnLab V3 : Trojan/Win32.XPack (VT : 6/54) → C:\Users\(사용자 계정)\AppData\Local\Temp\86578069.exe
  • h**p://www.land*****sea.com/document.php?id=5450525E06160500081D552401091405174A070B09&rnd=5478212 :: 6129.jpg → C:\Users\(사용자 계정)\AppData\Local\Temp\50386228.exe
  • h**p://www.land******sea.com/document.php?id=5450525E06160500081D552401091405174A070B09&rnd=4722383 :: 938.jpg (SHA-1 : de64fe6fc32ef1785ef9f667d225a171b6da20bc) - Kaspersky : Trojan.Win32.Staser.gn (VT : 7/55) → C:\Users\(사용자 계정)\AppData\Local\Temp\42062552.exe

실제 악성 스크립트 파일을 실행할 경우 "C:\Windows\System32\WScript.exe" 파일(Microsoft Windows Based Script Host) 실행을 통해 특정 서버로부터 3종의 JPG 그림 파일로 위장한 악성 파일을 다운로드하여 임시 폴더에 파일 생성 및 실행합니다.

938.jpg

특히 다운로드된 파일 중 938.jpg (= 42062552.exe) 파일은 유효한 "LTD VAL" 디지털 서명이 포함되어 있습니다.

다운로드되어 실행된 악성 파일은 특정 IP 서버에서 추가적인 악성 파일(exe.exe)을 다운로드 및 실행하며, 이 과정에서 사용자 계정 컨트롤(UAC) 알림 기능을 통해 UpdateFlashPlayer_fb24a2ac.exe 악성 파일<SHA-1 : 16eff4cb60d4933ada7f88af8fb8e10823d40248 - MSE : VirTool:Win32/CeeInject.gen!KK (VT : 6/51)>을 실행할지 묻습니다.

또한 추가적인 악성 파일(exe.exe)을 다운로드하여 UpdateFlashPlayer_8f5dbd29.exe 악성 파일<SHA-1 : ee387e8058e8e0169187f0266e0bb484ebb74653 - AhnLab V3 : Trojan/Win32.Necurs (VT : 12/54)>을 생성 및 실행하여 예약 작업 등록을 위한 파일 생성 및 "Security Center Update - 2631139774" 작업 스케줄러 값을 등록합니다.

 

[생성 폴더 / 파일 및 진단 정보]

 

C:\Users\(사용자 계정)\AppData\Local\6u4g3zcgt.exe :: 시작 프로그램(qcgce2mrvjq91kk1e7pnbb19m52fx1956jc03il0h) 등록 파일, 메모리 상주 프로세스

 - SHA-1 : cb2a7e81b46e45daa3f9316ca485417cc2a7c06a
 - AhnLab V3 : Trojan/Win32.XPack (VT : 6/54)


C:\Users\(사용자 계정)\AppData\Local\Temp\42062552.exe

 - SHA-1 : de64fe6fc32ef1785ef9f667d225a171b6da20bc
 - Kaspersky : Trojan.Win32.Staser.gn (VT : 7/55)


C:\Users\(사용자 계정)\AppData\Local\Temp\UpdateFlashPlayer_8f5dbd29.exe

 - SHA-1 : ee387e8058e8e0169187f0266e0bb484ebb74653
 - AhnLab V3 : Trojan/Win32.Necurs (VT : 12/54)


C:\Users\(사용자 계정)\AppData\Local\Temp\UpdateFlashPlayer_fb24a2ac.exe

 - SHA-1 : 16eff4cb60d4933ada7f88af8fb8e10823d40248
 - MSE : VirTool:Win32/CeeInject.gen!KK (VT : 6/51)


C:\Users\(사용자 계정)\AppData\Roaming\Ycogwa
C:\Users\(사용자 계정)\AppData\Roaming\Ycogwa\irqaf.exe :: 예약 작업(Security Center Update - 2631139774) 등록 파일

 - SHA-1 : 4744b85ea1c82c4e81dbf54e8b2ee69c0645990d
 - AhnLab V3 : Trojan/Win32.Necurs (VT : 10/54)


C:\Windows\System32\Tasks\Security Center Update - 2631139774
C:\Windows\Tasks\Security Center Update - 2631139774.job

특히 추가적으로 다운로드된 UpdateFlashPlayer_(영문+숫자).exe 파일 2종은 폴더 옵션의 "보호된 움영 체제 파일 숨기기(권장) → 체크 해제", "숨김 파일, 폴더 및 드라이브 표시 → 체크" 항목에 대한 설정을 변경하지 않으면 보이지 않으므로 주의하시기 바랍니다.

감염이 성공적으로 이루어진 후에는 "C:\Users\(사용자 계정)\AppData\Local\6u4g3zcgt.exe" 파일이 실행되어 시스템 트레이 알림 아이콘 영역에 "Severe system damage!" 경고 풍선창을 생성합니다.

그 후 AVC Plus 가짜 백신이 자동 실행되어 허위 악성코드 검사를 통해 허위 정보를 기반으로 사용자 협박이 시작되며, Windows 탐색기(explorer.exe)와 Internet Explorer 웹 브라우저(iexplore.exe) 등 일부 중요 시스템 프로세스 외에는 모든 프로그램의 실행이 차단됩니다.

특히 Internet Explorer 웹 브라우저를 실행하여 웹 사이트 접속을 시도할 경우 허위 보안 경고만을 표시할 뿐 정상적인 웹 사이트 접속이 이루어지지 않습니다.

최종적으로 AVC Plus 가짜 백신은 유료 결제를 할 경우 시스템을 정상적으로 복구를 해주고 결제를 하지 않을 경우에는 자신 이외의 대부분의 프로그램 실행을 차단하는 악의적인 기능을 수행합니다.

 

"AVC Plus" 가짜 백신 자동 실행 정보

 

(1) qcgce2mrvjq91kk1e7pnbb19m52fx1956jc03il0h 시작 프로그램 정보

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - qcgce2mrvjq91kk1e7pnbb19m52fx1956jc03il0h = C:\Users\(사용자 계정)\AppData\Local\6u4g3zcgt.exe

Windows 시작시 qcgce2mrvjq91kk1e7pnbb19m52fx1956jc03il0h 시작 프로그램 등록값을 통해 "C:\Users\(사용자 계정)\AppData\Local\6u4g3zcgt.exe" 파일을 자동 실행하여 AVP Plus 가짜 백신을 실행합니다.

 

(2) "Security Center Update - 2631139774" 예약 작업 정보

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{1EE2C145-0089-4E6B-8618-25E7BD7FF67B}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Security Center Update - 2631139774

예약 작업 영역에 "Security Center Update - 2631139774" 작업 스케줄러 값을 등록하여 시스템 시작 후 1시간 단위로 "C:\Users\(사용자 계정)\AppData\Roaming\Ycogwa\irqaf.exe" 파일을 자동 실행하여 AVC Plus 가짜 백신의 동작을 유지합니다.

 

그러므로 FedEx 관련 메일이 수신된 경우에는 함부로 첨부 파일을 다운로드 및 실행하거나 URL 링크를 클릭하여 취약점(Exploit)을 이용한 악성코드에 감염되지 않도록 각별히 주의하시기 바랍니다.