본문 바로가기

벌새::Analysis

동영상 파일에 동봉된 악성 화면 보호기(scr) 파일 주의 (2015.1.17)

2014년 7월경부터 토렌트(Torrent) 파일 공유 사이트를 통해 영화, 드라마 동영상 파일과 함께 유포가 이루어지고 있는 화면 보호기(.scr) 파일로 제작된 악성코드에 대해 살펴보도록 하겠습니다.

 

참고로 해당 악성코드는 기존의 유사 유포 방식으로 확인된 XtremeRAT 백도어(Backdoor) 변종이므로 참고하시기 바랍니다.

대표적인 사례를 살펴보면 "명량.2014.720p.HDRip-Unknown" 이름의 토렌트(Torrent) 시드를 통해 유포가 이루어지고 있습니다.

  • 명량.2014.720p.HDRip-Unknown.mp4
  • 명량.2014.720p.HDRip-Unknown.scr (SHA-1 : 9801df5b8716f277301e058a6ba15eb512eee2e5) - 알약(ALYac) : Backdoor.Xtreme.gen, AhnLab V3 : Trojan/Win32.Injector (VT : 51/57)

해당 토렌트(Torrent) 시드를 통해 최종적으로 다운로드된 파일은 동영상 파일(.mp4)과 화면 보호기 파일(.scr)로 구성되어 있습니다.

다운로드된 동영상 파일(명량.2014.720p.HDRip-Unknown.mp4)을 재생할 경우 오류가 발생하며, 세부적으로 확인해보면 정상적인 동영상 포맷이 아닌 ZIP 압축 파일임을 알 수 있습니다.

 

  • [TV조선] 강적들.E46.140924.반전 미스터리.HDTV.H264.720p-WITH.mp4
  • 036_3xplanet_mesubuta  140815_833_01.wmv

동영상 파일로 조작된 "명량.2014.720p.HDRip-Unknown.mp4" 압축 파일을 해제해보면 내부에는 TV 및 일본 성인 동영상 파일이 포함되어 있는 것을 알 수 있습니다.

 

"명량.2014.720p.HDRip-Unknown.scr" 화면 보호기 파일 분석 정보

곰플레이어 아이콘으로 위장한 "명량.2014.720p.HDRip-Unknown.scr" 화면 보호기 파일을 실행할 경우 1분 44초 분량의 국내 음란 동영상 파일을 "C:\Users\(사용자 계정)\AppData\Local\Temp\944138554687638.mp4" 형태로 생성하여 자동으로 재생이 되며, 이 과정에서 백그라운드 방식으로 다음과 같은 악성코드가 설치됩니다.

 

[생성 폴더 / 파일 및 진단 정보]

 

C:\Users\(사용자 계정)\AppData\Roaming\InstallDir

C:\Users\(사용자 계정)\AppData\Roaming\InstallDir\win31.exe
 - SHA-1 : 9801df5b8716f277301e058a6ba15eb512eee2e5
 - 알약(ALYac) : Backdoor.Xtreme.gen (VT : 51/57)

 

C:\Windows\System32\InstallDir

C:\Windows\System32\InstallDir\win31.exe

 - SHA-1 : 9801df5b8716f277301e058a6ba15eb512eee2e5
 - 알약(ALYac) : Backdoor.Xtreme.gen (VT : 51/57)

해당 악성코드는 Windows 시작시 다양한 시작 프로그램 등록값을 기반으로 "C:\Users\(사용자 계정)\AppData\Roaming\InstallDir\win31.exe" 파일을 자동 실행하도록 구성되어 있습니다.

 

  • C:\Windows\System32\svchost.exe
  • C:\Program Files\Internet Explorer\iexplore.exe

이를 통해 2개의 정상적인 파일을 로딩하여 자신의 모습을 숨긴 채 동작하여 사용자는 감염 여부를 인지하기 매우 어렵습니다.

실행된 iexplore.exe 파일은 지속적으로 "118.176.10.232:81" IP 서버와 통신을 시도하며 이를 통해 추가적인 악성 파일 다운로드 및 업로드, 정보 유출 등의 다양한 악의적 행위를 수행할 수 있습니다.

특히 해당 악성코드는 실행 후 "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components" 영역에 기존에 존재하는 다양한 등록값(.NET Framework, Browsing Enhancements, Internet Explorer Setup Tools, Microsoft Windows Script 5.6 등)을 활용하여 강제 종료되는 것을 방해하는 동작을 확인할 수 있습니다.

 

■ 악성코드 수동 제거 방법

 

(a) 해당 악성코드에 감염된 경우 악의적 기능을 수행하는 프로세스는 모두 정상적인 프로세스이므로 Internet Explorer 웹 브라우저를 모두 종료한 상태에서 Windows 작업 관리자를 실행한 후 "모든 사용자의 프로세스 표시" 항목을 클릭(체크)하지 마시고 다음과 같이 종료하시기 바랍니다.

해당 악성코드는 악의적 기능을 수행하는 iexplore.exe 프로세스에 대한 자가 보호 기능이 존재하므로 "svchost.exe → iexplore.exe" 프로세스 순서로 종료를 시도하시기 바랍니다.

 

(b) 다음의 폴더(파일)를 찾아 삭제하시기 바랍니다.

 

  • C:\Users\(사용자 계정)\AppData\Roaming\InstallDir
  • C:\Users\(사용자 계정)\AppData\Roaming\InstallDir\win31.exe
  • C:\Windows\System32\InstallDir
  • C:\Windows\System32\InstallDir\win31.exe

(c) 레지스트리 편집기(regedit)를 실행하여 다음의 레지스트리 값을 찾아 삭제하시기 바랍니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\--((Mutex))--
HKEY_CURRENT_USER\Software\Classes\VirtualStore\MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{470686HO-N115-HF27-6L2C-3DFW12L07TF3}
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - HKCU = C:\Users\AdminPC2013\AppData\Roaming\InstallDir\win31.exe
HKEY_CURRENT_USER\Software\XtremeRAT

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - HKLM = C:\Users\AdminPC2013\AppData\Roaming\InstallDir\win31.exe

 

토렌트(Torrent) 파일 공유 서비스를 사용한다고 무조건 악성코드에 감염되는 것은 아니지만 토렌트(Torrent) 시드를 통해 최종적으로 다운로드된 파일 중에서는 악의적으로 제작된 파일이 있다는 점을 명심하시기 바라며, 특히 백신만을 의존하여 진단되지 않는다고 의심스러운 파일을 함부로 실행하는 일이 없도록 주의하시기 바랍니다.

 

 
  • 비밀댓글입니다

  • 비밀댓글입니다

  • 비밀댓글입니다

    • 난독화된 악성 스크립트가 있었나 봅니다. 아마 어떤 컴퓨터 사이트 접속시 해당 외부 스크립트가 추가되어 취약점을 통해 악성 파일이 자동 다운로드가 되는 구조 같습니다.

  • 비밀댓글입니다

  • 비밀댓글입니다

  • 아ㅠㅠ 제가 노트북으로 온디스크에서 동영상을 다운받아서 생각없이 실행을 했어요 근데 순간 확장자가 scr이길래 뭔가 수상쩍어서 바로 삭제하고 휴지통비웠거든요 그리고 인터넷검색하니 님 블로그가 나오더라구여 그래서 바이러스 삭제하려고 해봤는데 작업관리자에서 인터넷 브라우저를 모두 끄니까 iexplorer가 실행중이던게 둘 다 꺼지던데요 ㅠㅠ 바이러스 감염된게 아닌가요? 그리고 제가 처음에 다운받을때 외장하드 연결한 상태에서 외장하드로 바로 다운을받고 실행시켰거든요. 이렇게 해도 바이러스 감염된건가요?ㅠㅠ 윈8이라 appdata도 안보이고... 포멧해야하는건가요?ㅠㅠ 감염직후에 어베스트 쌀아서 전체검사실행했는데 바이러스는 안뜨던데 ㅠㅠ

    • 이 글에서 언급한 것과 질문하신 분이 실행함 파일은 다른 것일 가능성이 매우 높습니다. 유명 백신으로 정밀 검사를 하시기 바랍니다.

  • ㅠㅠ 2015.02.07 03:43 댓글주소 수정/삭제 댓글쓰기

    어베스트로 그 파일 삭제하기전에 검사했을때 파일이름~.scr l>$TEMP/Server.exe이고 상태는 MSIL:GenMalicious-v [Trj] 라고 떴구요 윈8이라서 그런진 모르겠는데 레지스트리 편집기로 봤는데 가르쳐주신 파일이 없더라구요 어베스트로 빠른검사 말고 전체검사 했는데 감염 0 이라고 나오는데 괜찮은 걸까요...?

    • 진단된 정황을 보니 scr 파일 실행을 통해 악성 파일이 생성될때 avast! 백신이 차단을 한 것 같습니다. 그러므로 scr 파일만 삭제하시면 해결될 것 같습니다.

  • 와.ㄷㄷ 2015.03.14 22:21 댓글주소 수정/삭제 댓글쓰기

    진짜로 무섭네요.ㄷㄷ
    저도 주의해야겠군요.

  • 헐.... 2015.05.01 02:02 댓글주소 수정/삭제 댓글쓰기

    토렌트 내용물이 이상해서 검색해봤는데;; 이런거였다니 식겁했네요... 근데 윈도우 사용자가 아니라 맥북인데 이것도 뭐 감영된게 있을까요 ㅠㅠ

  • 불안해서 안철수 백신으로 돌리겠습니다. scr이 개인정보 유출도 하나요??

  • 33434 2015.05.02 15:59 댓글주소 수정/삭제 댓글쓰기

    백신으로 돌리면 잡을 수 있나요??안철수백신이면 좀 쎈건데.

  • ddd 2015.06.14 18:12 댓글주소 수정/삭제 댓글쓰기

    실행안하고 다운만 받은거면 괜찮은가요?

  • 님 바이러스파일 없애면 동영상정상적임?? 그리고 바이러스 파일 없앨려면 어떻해요??

    • 다운로드된 악성 파일을 실행할 경우 정상적인 음란 동영상을 감상할 수 있지만 자동으로 감염이 발생합니다.

      해당 악성코드는 감염시 다양한 파일 형태로 설치가 이루어질 수 있으므로 백신 프로그램을 이용하여 문제를 해결하시기 바랍니다.

  • 비밀댓글입니다

    • 아마 다른 하드 디스크에 복사하려는 파일이 영상, 사진, 문서와 같은 경우일꺼라 생각되는데 이 글에서 언급한 것은 바이러스는 아니고 Trojan 계열의 백도어이므로 문제없을겁니다.

      불안하시면 복사한 파일에 대한 백신 검사를 진행하시기 바랍니다.

    • BlogIcon 곡스 2015.07.21 17:57 댓글주소 수정/삭제

      감사합니다
      윈도우 xp 쓰고있구요
      악성코드. 감염파일명
      Trojan/Win32.scar wyusqo.exe
      Orphaned Toolbar Toolbar(4B4D
      Trojan/Win32.Scar O.exe
      치료내역이 위에처럼 돼있구요
      가운데는 치료됨이고
      Trojan 2개는 격리되었습니다
      따로 찾아서 제거해야될께 있나요
      그리고 다른 문서 사진 영상 파일들
      괜찮을지 모르겠습니다

    • 진단명을 보니 해외 광고 프로그램과 트로이목마입니다. 그러므로 문제되는 악성 파일만 제거하면 나머지 파일에는 영향이 없습니다.

    • 2015.07.21 18:37 댓글주소 수정/삭제

      비밀댓글입니다

  • 아이피를 알아내실때 사용하신 프로그램은 와이어샤크로 보여지는데 와이어샤크로 숙주 컴퓨터에 연결된 아이피 어떻게 확인하나요 급합니다 ㅠ

  • 디본 2016.04.04 21:35 댓글주소 수정/삭제 댓글쓰기

    안녕하세요 시간이많이지났지만 궁금한것이있어 혹시나해서질문드려요
    "C:\Users\(사용자 계정)\AppData\Roaming\InstallDir\win31.exe" 이것을확인할수있어야만
    감염된것인가요 비슷한것을 다운받았는데 위에경로가없어서요
    혹시나 감염된뒤에도 백신을 이용해 치료가가능한가도궁금합니다

  • 디본 2016.04.04 23:15 댓글주소 수정/삭제 댓글쓰기

    백신으로 치료가가능한가보군요 노턴으로 검색결과 별다른문제는 없는듯합니다 빠른답변감사합니다 좋은하루되세요