본문 바로가기

벌새::Analysis

PornTube와 허위 코덱

반응형

해외에서 YouTube 동영상 사이트 방식으로 꾸며진 악성코드 유포 사이트로 유명한 곳으로 PornTube가 있습니다.

해당 동영상을 보기 위해서 반드시 설치해야 한다는 방식으로 허위 코덱을 다운로드하여 사용자 컴퓨터에 설치를 유도하는 방식은 이제 일반적인 배포 방식이 된 것 같습니다.

여기에서 한 걸음 더 나아가 PornTube v2.0 이라는 또 다른 유사 사이트를 통해 유사한 방식으로 악성코드를 유포하고 있습니다.

해당 사이트에서 제공하는 코덱은 실제로는 허위 보안 제품의 추가적인 다운로드와 각종 애드웨어/스파이웨어 등이 설치될 수 있습니다.

[zcodec.1459.exe] - 허위 코덱 설치 파일

Antivirus Version Last Update Result
AhnLab-V3 2008.10.18.0 2008.10.21 -
AntiVir 7.9.0.5 2008.10.21 TR/Renos.NET
Authentium 5.1.0.4 2008.10.21 -
Avast 4.8.1248.0 2008.10.15 -
AVG 8.0.0.161 2008.10.20 -
BitDefender 7.2 2008.10.21 Trojan.Renos.NET
CAT-QuickHeal 9.50 2008.10.21 -
ClamAV 0.93.1 2008.10.21 -
DrWeb 4.44.0.09170 2008.10.21 -
eSafe 7.0.17.0 2008.10.19 Suspicious File
eTrust-Vet 31.6.6161 2008.10.21 -
Ewido 4.0 2008.10.20 -
F-Prot 4.4.4.56 2008.10.20 -
F-Secure 8.0.14332.0 2008.10.21 -
Fortinet 3.113.0.0 2008.10.21 -
GData 19 2008.10.21 Trojan.Renos.NET
Ikarus T3.1.1.44.0 2008.10.20 Trojan-Downloader.Win32.Renos.AY
K7AntiVirus 7.10.500 2008.10.20 -
Kaspersky 7.0.0.125 2008.10.21 Trojan-Downloader.Win32.CodecPack.cw
McAfee 5409 2008.10.21 -
Microsoft 1.4005 2008.10.21 -
NOD32 3540 2008.10.21 -
Norman 5.80.02 2008.10.20 Zlob.CTCQ
Panda 9.0.0.4 2008.10.20 Suspicious file
PCTools 4.4.2.0 2008.10.20 -
Prevx1 V2 2008.10.21 Malware Dropper
Rising 20.67.11.00 2008.10.21 -
SecureWeb-Gateway 6.7.6 2008.10.21 Trojan.Renos.NET
Sophos 4.34.0 2008.10.21 -
Sunbelt 3.1.1741.1 2008.10.21 -
Symantec 10 2008.10.21 -
TheHacker 6.3.1.0.121 2008.10.21 -
TrendMicro 8.700.0.1004 2008.10.21 Possible_DLDER
VBA32 3.12.8.8 2008.10.21 -
ViRobot 2008.10.21.1429 2008.10.21 -
VirusBuster 4.5.11.0 2008.10.20 -
Additional information
File size: 71168 bytes
MD5...: 7db0cd1ea7b611b9891dad609bd620bb
SHA1..: 735d967105f93deaebc4ca8fb8b5a6d34801a445

해당 악성코드는 설치시 특정 서버와 연결하여 추가적인 다운로드를 제공하고 있습니다.

요즘 국내외에서 무차별적으로 유포되고 있는 허위 보안 제품을 다운로드하여 컴퓨터 사용자에게 허위 정보를 제공하고 결제를 유도하는 FakeAV를 설치합니다.

Antivirus Version Last Update Result
AhnLab-V3 2008.10.18.0 2008.10.21 -
AntiVir 7.9.0.5 2008.10.21 TR/Dldr.FakeAl.AX.1
Authentium 5.1.0.4 2008.10.21 -
Avast 4.8.1248.0 2008.10.15 -
AVG 8.0.0.161 2008.10.20 -
BitDefender 7.2 2008.10.21 -
CAT-QuickHeal 9.50 2008.10.21 -
ClamAV 0.93.1 2008.10.21 -
DrWeb 4.44.0.09170 2008.10.21 -
eSafe 7.0.17.0 2008.10.19 Suspicious File
eTrust-Vet 31.6.6161 2008.10.21 -
Ewido 4.0 2008.10.20 -
F-Prot 4.4.4.56 2008.10.20 -
F-Secure 8.0.14332.0 2008.10.21 -
Fortinet 3.113.0.0 2008.10.21 -
GData 19 2008.10.21 -
Ikarus T3.1.1.44.0 2008.10.20 -
K7AntiVirus 7.10.500 2008.10.20 -
Kaspersky 7.0.0.125 2008.10.21 -
McAfee 5409 2008.10.21 -
Microsoft 1.4005 2008.10.21 -
NOD32 3540 2008.10.21 -
Norman 5.80.02 2008.10.20 -
Panda 9.0.0.4 2008.10.20 -
PCTools 4.4.2.0 2008.10.20 -
Prevx1 V2 2008.10.21 Malicious Software
Rising 20.67.11.00 2008.10.21 -
SecureWeb-Gateway 6.7.6 2008.10.21 Trojan.Dldr.FakeAl.AX.1
Sophos 4.34.0 2008.10.21 -
Sunbelt 3.1.1741.1 2008.10.21 -
Symantec 10 2008.10.21 -
TheHacker 6.3.1.0.121 2008.10.21 -
TrendMicro 8.700.0.1004 2008.10.21 PAK_Generic.001
VBA32 3.12.8.8 2008.10.21 -
ViRobot 2008.10.21.1429 2008.10.21 -
VirusBuster 4.5.11.0 2008.10.20 -
Additional information
File size: 74244 bytes
MD5...: 1a62caf94b266bff514a6f3beba2c733
SHA1..: b38a5fcf42b4aa08074a0ce5855befd60f64ddce

워낙 매일 단위로 변종이 출현하고 있는 수준으로 발전하여 장기적으로 악성코드의 한 축을 담당하게 되었습니다.

또 다른 추가적인 악성코드는 특정 광고 툴 삭제 파일로 위장하고 있습니다. 아마 이미 설치된 악성코드를 삭제해 준다는 식으로 사용자를 기만하고 있는 것으로 보입니다.


Antivirus Version Last Update Result
AhnLab-V3 2008.10.18.0 2008.10.21 Win-Trojan/Zlob.190216
AntiVir 7.9.0.5 2008.10.21 -
Authentium 5.1.0.4 2008.10.21 -
Avast 4.8.1248.0 2008.10.15 -
AVG 8.0.0.161 2008.10.20 Adload_r.CL
BitDefender 7.2 2008.10.21 -
CAT-QuickHeal 9.50 2008.10.21 -
ClamAV 0.93.1 2008.10.21 -
DrWeb 4.44.0.09170 2008.10.21 -
eSafe 7.0.17.0 2008.10.19 -
eTrust-Vet 31.6.6161 2008.10.21 -
Ewido 4.0 2008.10.20 -
F-Prot 4.4.4.56 2008.10.20 -
F-Secure 8.0.14332.0 2008.10.21 -
Fortinet 3.113.0.0 2008.10.21 -
GData 19 2008.10.21 Win32:Adload-LN
Ikarus T3.1.1.44.0 2008.10.20 Trojan.Win32.Shutdowner.awy
K7AntiVirus 7.10.500 2008.10.20 -
Kaspersky 7.0.0.125 2008.10.21 -
McAfee 5409 2008.10.21 -
Microsoft 1.4005 2008.10.21 -
NOD32 3540 2008.10.21 -
Norman 5.80.02 2008.10.20 Zlob.CTFV
Panda 9.0.0.4 2008.10.20 -
PCTools 4.4.2.0 2008.10.20 -
Prevx1 V2 2008.10.21 -
Rising 20.67.11.00 2008.10.21 Trojan.Win32.Undef.rqu
SecureWeb-Gateway 6.7.6 2008.10.21 -
Sophos 4.34.0 2008.10.21 -
Sunbelt 3.1.1741.1 2008.10.21 -
Symantec 10 2008.10.21 Trojan.Zlob
TheHacker 6.3.1.0.121 2008.10.21 Trojan/Shutdowner.azi
TrendMicro 8.700.0.1004 2008.10.21 -
VBA32 3.12.8.8 2008.10.21 -
ViRobot 2008.10.21.1429 2008.10.21 -
VirusBuster 4.5.11.0 2008.10.20 -
Additional information
File size: 190278 bytes
MD5...: 2cb6019aadef294db85ee5b42ebd7e3e
SHA1..: f7f2fb513d06ef4824de7b1b7cf533607bbb452a


해당 악성코드는 다음과 같은 활동을 하고 있습니다.

1. 프로세서 생성

Au_.exe - %Temp%\~nsu.tmp\Au_.exe
rryjzzwhinv.exe - %System%\rryjzzwhinv.exe

2. 타 프로세서에 모듈 로딩

azhuaikvguinvuk.dll - %System%\azhuaikvguinvuk.dll
 Process name : [generic host process]
 Process filename : [generic host process filename]
 Address space : 0xAA0000 - 0xACF000

azhuaikvguinvuk.dll - %System%\azhuaikvguinvuk.dll
 Process name : IEXPLORE.EXE
 Process filename : %ProgramFiles%\internet explorer\iexplore.exe
 Address space : 0xF80000 - 0xFAF000

3. 레지스트리 생성

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8FFE07DB-AA85-370C-B84A-20958D3DE81E}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8FFE07DB-AA85-370C-B84A-20958D3DE81E}\InProcServer32
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{8FFE07DB-AA85-370C-B84A-20958D3DE81E}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\rryjzzwhinv
HKEY_CURRENT_USER\Software\{8446438A-39C2-4406-3859-B1FA3B4F7CC4}

* 특정 서버와 연결

인터넷 상에서 조금만 확인해 보면 각종 사이트의 게시판에 해외에서의 공격으로 각종 광고성 링크가 무차별적으로 삽입되어 있는 경우를 쉽게 찾아볼 수 있습니다.

특히 관리가 제대로 되지 않는 사이트는 물론이고 정부에서 관리하는 사이트 역시 이런 공격에 많이 노출되어 있는 상태에서 해당 사이트 방문자들이 호기심에 클릭을 하고 자신도 모르게 설치되는 경우가 많으리라 보여집니다.

인터넷 속도가 빨라지는 만큼이나 악성코드의 유포 방식도 점점 빨라지고 변해가는 상황에서 보안에 대한 기초적인 마인드를 가지고 인터넷을 이용하는 것이 이런 위험에서 스스로 보호하는 올바른 인터넷 생활이 아닐까 생각됩니다.


728x90
반응형
  • 아~ 글씨~
    그런 이상한 싸이툰 가지 말라니깐~~~~~~ㄷㄷ ㅎㅎㅎ

  • ㅎㅎㅎ~잘 보았습니다.저는 개인적으로 저런류의 성인사이트가 싫어서 opendns로 차단설정해 놓고 있습니다.솔직히 한국쪽은 차단이 잘되는지 모르겠지만 보니까 해외쪽에 있는 것은 대부분 차단 되는 것 같습니다.그리고 짧은 지식으로는 야후측과 http://www.stbernard.com 에서 자료을 사용하는 걸로 알고 있습니다.보니까 PornTube도 차단이 된다는..가끔은 일본 가수 OOO양 공식 사이트을 성인 사이트로 오진을 하기는 하지만요..

  • 담아갑니다. ^^

  • 궁금 2008.12.03 15:16 댓글주소 수정/삭제 댓글쓰기

    치료는 간단한 프로그램들 입니까?

    • 저런 류의 악성코드에 감염되는 경우 추가적으로 다운로드되는 악성코드가 다수 있을 수 있기에 전문적인 보안제품으로 치료를 하셔야 편할 것으로 보입니다.