본문 바로가기

벌새::Analysis

동영상 파일에 동봉된 악성 화면 보호기(scr) 파일 주의 (2015.1.17)

728x90
반응형

2014년 7월경부터 토렌트(Torrent) 파일 공유 사이트를 통해 영화, 드라마 동영상 파일과 함께 유포가 이루어지고 있는 화면 보호기(.scr) 파일로 제작된 악성코드에 대해 살펴보도록 하겠습니다.

 

참고로 해당 악성코드는 기존의 유사 유포 방식으로 확인된 XtremeRAT 백도어(Backdoor) 변종이므로 참고하시기 바랍니다.

대표적인 사례를 살펴보면 "명량.2014.720p.HDRip-Unknown" 이름의 토렌트(Torrent) 시드를 통해 유포가 이루어지고 있습니다.

  • 명량.2014.720p.HDRip-Unknown.mp4
  • 명량.2014.720p.HDRip-Unknown.scr (SHA-1 : 9801df5b8716f277301e058a6ba15eb512eee2e5) - 알약(ALYac) : Backdoor.Xtreme.gen, AhnLab V3 : Trojan/Win32.Injector (VT : 51/57)

해당 토렌트(Torrent) 시드를 통해 최종적으로 다운로드된 파일은 동영상 파일(.mp4)과 화면 보호기 파일(.scr)로 구성되어 있습니다.

다운로드된 동영상 파일(명량.2014.720p.HDRip-Unknown.mp4)을 재생할 경우 오류가 발생하며, 세부적으로 확인해보면 정상적인 동영상 포맷이 아닌 ZIP 압축 파일임을 알 수 있습니다.

 

  • [TV조선] 강적들.E46.140924.반전 미스터리.HDTV.H264.720p-WITH.mp4
  • 036_3xplanet_mesubuta  140815_833_01.wmv

동영상 파일로 조작된 "명량.2014.720p.HDRip-Unknown.mp4" 압축 파일을 해제해보면 내부에는 TV 및 일본 성인 동영상 파일이 포함되어 있는 것을 알 수 있습니다.

 

"명량.2014.720p.HDRip-Unknown.scr" 화면 보호기 파일 분석 정보

곰플레이어 아이콘으로 위장한 "명량.2014.720p.HDRip-Unknown.scr" 화면 보호기 파일을 실행할 경우 1분 44초 분량의 국내 음란 동영상 파일을 "C:\Users\(사용자 계정)\AppData\Local\Temp\944138554687638.mp4" 형태로 생성하여 자동으로 재생이 되며, 이 과정에서 백그라운드 방식으로 다음과 같은 악성코드가 설치됩니다.

 

[생성 폴더 / 파일 및 진단 정보]

 

C:\Users\(사용자 계정)\AppData\Roaming\InstallDir

C:\Users\(사용자 계정)\AppData\Roaming\InstallDir\win31.exe
 - SHA-1 : 9801df5b8716f277301e058a6ba15eb512eee2e5
 - 알약(ALYac) : Backdoor.Xtreme.gen (VT : 51/57)

 

C:\Windows\System32\InstallDir

C:\Windows\System32\InstallDir\win31.exe

 - SHA-1 : 9801df5b8716f277301e058a6ba15eb512eee2e5
 - 알약(ALYac) : Backdoor.Xtreme.gen (VT : 51/57)

해당 악성코드는 Windows 시작시 다양한 시작 프로그램 등록값을 기반으로 "C:\Users\(사용자 계정)\AppData\Roaming\InstallDir\win31.exe" 파일을 자동 실행하도록 구성되어 있습니다.

 

  • C:\Windows\System32\svchost.exe
  • C:\Program Files\Internet Explorer\iexplore.exe

이를 통해 2개의 정상적인 파일을 로딩하여 자신의 모습을 숨긴 채 동작하여 사용자는 감염 여부를 인지하기 매우 어렵습니다.

실행된 iexplore.exe 파일은 지속적으로 "118.176.10.232:81" IP 서버와 통신을 시도하며 이를 통해 추가적인 악성 파일 다운로드 및 업로드, 정보 유출 등의 다양한 악의적 행위를 수행할 수 있습니다.

특히 해당 악성코드는 실행 후 "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components" 영역에 기존에 존재하는 다양한 등록값(.NET Framework, Browsing Enhancements, Internet Explorer Setup Tools, Microsoft Windows Script 5.6 등)을 활용하여 강제 종료되는 것을 방해하는 동작을 확인할 수 있습니다.

 

■ 악성코드 수동 제거 방법

 

(a) 해당 악성코드에 감염된 경우 악의적 기능을 수행하는 프로세스는 모두 정상적인 프로세스이므로 Internet Explorer 웹 브라우저를 모두 종료한 상태에서 Windows 작업 관리자를 실행한 후 "모든 사용자의 프로세스 표시" 항목을 클릭(체크)하지 마시고 다음과 같이 종료하시기 바랍니다.

해당 악성코드는 악의적 기능을 수행하는 iexplore.exe 프로세스에 대한 자가 보호 기능이 존재하므로 "svchost.exe → iexplore.exe" 프로세스 순서로 종료를 시도하시기 바랍니다.

 

(b) 다음의 폴더(파일)를 찾아 삭제하시기 바랍니다.

 

  • C:\Users\(사용자 계정)\AppData\Roaming\InstallDir
  • C:\Users\(사용자 계정)\AppData\Roaming\InstallDir\win31.exe
  • C:\Windows\System32\InstallDir
  • C:\Windows\System32\InstallDir\win31.exe

(c) 레지스트리 편집기(regedit)를 실행하여 다음의 레지스트리 값을 찾아 삭제하시기 바랍니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\--((Mutex))--
HKEY_CURRENT_USER\Software\Classes\VirtualStore\MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{470686HO-N115-HF27-6L2C-3DFW12L07TF3}
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - HKCU = C:\Users\AdminPC2013\AppData\Roaming\InstallDir\win31.exe
HKEY_CURRENT_USER\Software\XtremeRAT

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - HKLM = C:\Users\AdminPC2013\AppData\Roaming\InstallDir\win31.exe

 

토렌트(Torrent) 파일 공유 서비스를 사용한다고 무조건 악성코드에 감염되는 것은 아니지만 토렌트(Torrent) 시드를 통해 최종적으로 다운로드된 파일 중에서는 악의적으로 제작된 파일이 있다는 점을 명심하시기 바라며, 특히 백신만을 의존하여 진단되지 않는다고 의심스러운 파일을 함부로 실행하는 일이 없도록 주의하시기 바랍니다.

 

 
728x90
반응형