울지않는벌새 : Security, Movie & Society

국내 유명 보안 블로그 접속을 체크하는 국내 악성 시스템 최적화 프로그램 (2015.3.14)

벌새::Analysis

최근 Ec0nomist's Lab. 블로그를 통해 국내에서 유포되는 스마트 프로세스(Smart Process)라는 시스템 최적화 프로그램이 보안 블로그 접속을 감시하는 등의 매우 의심스러운 동작을 한다는 정보가 공개되었습니다.

스마트 프로세스(Smart Process)는 2015년 2월경부터 유포가 이루어지고 있었던 것으로 기억되고 있으며, Ec0nomist님의 분석 내용처럼 전형적인 악성코드의 냄새를 풍기고 있기에 관련된 정보를 살펴보도록 하겠습니다.

대표적인 배포 방식을 확인해보면 블로그 또는 공개 자료실을 통해 다운로드되는 "Postmedia Co.,Ltd" 디지털 서명이 포함된 파일<SHA-1 : 561f271a720cbdfda96266906bfc9ac9e2e132c6 - AhnLab V3 365 Clinic : PUP/Win32.UtilTop.R66815 (VT : 16/57)> 실행시 사용자가 제대로 인지하지 못하는 좁은 영역에 다수의 제휴 프로그램을 설치하면서 "스마트프로세스"라는 이름으로 설치되고 있습니다.

  • h**p://118.103.126.141/*******/Setup_UT4.exe (SHA-1 : 40e7fc69b6d3ee7c4f7c0a9b8b7f9cf6115d496a) - AhnLab V3 365 Clinic : PUP/Win32.EasyClean.C722473, 알약(ALYac) : Gen:Variant.Graftor.179146 (VT : 27/57)
  • h**p://118.103.126.141/*******/Setup_RM4.exe (SHA-1 : 3283dca322c538274f38448f8f3ef0a98a40d5e3) - AhnLab V3 : Malware/Win32.Suspicious, Norton : Backdoor.Graybird (VT : 18/57)

확인된 대표적인 배포 파일 기준으로 수만대 수준으로 설치되었을 것으로 보이며, 최근 배포된 파일의 경우 AhnLab V3 보안 제품의 클라우드 평판 조작 활동이 있었던 것으로 추정됩니다.

 

설치 과정을 살펴보면 네이버(Naver) 서버와의 통신 확인을 통해 인터넷에 연결되어 있는지 확인한 후 일본(Japan)에 등록된 "118.103.126.141" IP 서버로부터 다음과 같은 통신을 통해 설치자 PC 정보를 체크합니다.

먼저 배포 파일 고유 ID값(SmartProcess_UT4, SmartProcess_RM4)을 체크하여 자신의 존재를 체크하며, 사용자가 사용하는 IP 주소를 기반으로 후이즈(Whois) 조회를 통해 설치 조건을 체크합니다.

  • ntmacc.exe :: 네티모(Netimo) PC방 관리 프로그램
  • pcwc_ag.exe :: PC-Wise PC방 관리 프로그램
  • pcwc.exe :: PC-Wise PC방 관리 프로그램
  • UPM.exe :: Ultimate Process Manager 프로세스 정보 확인 프로그램
  • dlc.exe
  • dlx5.exe :: ACT Deluxe PC방 관리 프로그램
  • dlxsvc.exe :: ACT Deluxe PC방 관리 프로그램
  • gtlexp.exe :: 게토골드(Geto Gold) PC방 관리 프로그램
  • OLLYDBG.EXE :: OllyDbg 디버거 프로그램
  • runscanner.exe :: 시스템 분석 프로그램
  • mzk.bat :: Malware Zero Kit 악성코드 제거 프로그램
  • picavncsvc.exe :: 피카툴즈(PicaTools) PC방 관리 프로그램
  • WindowexeLogMail.exe :: 프로세스 자료천국 블로그 운영자 개발 프로그램(시스템 분석)
  • WindowexeLog.exe :: 프로세스 자료천국 블로그 운영자 개발 프로그램(시스템 분석)
  • WindowexeAllkiller.exe :: 프로세스 자료천국 블로그 운영자 개발 프로그램(악성코드 제거 프로그램)
  • WindowexeFFkillerAdd.exe :: 프로세스 자료천국 블로그 운영자 개발 프로그램(악성코드 제거 프로그램)
  • WindowexeFFkiller.exe :: 프로세스 자료천국 블로그 운영자 개발 프로그램(악성코드 제거 프로그램)
  • Regshot-x64-ANSI.exe :: 시스템 분석 프로그램
  • Regshot-x64-Unicode.exe :: 시스템 분석 프로그램
  • Regshot-x86-ANSI.exe :: 시스템 분석 프로그램
  • Regshot-x86-Unicode.exe :: 시스템 분석 프로그램

프로그램 설치(동작)시 프로세스 정보를 체크하여 PC방, 분석 환경인 경우 프로그램 동작이 이루어지지 않도록 제작된 것으로 보입니다.(※ 국내 보안 블로그에 작성된 글을 예전부터 꾸준하게 감시하는 느낌입니다.)

 

특히 울지않는벌새 블로그에서 악성(광고) 프로그램 문의시 활용하는 Runscanner 프로그램바이러스 제로 시즌 2 보안 카페 매니저님이 제공하는 Malware Zero Kit 도구에 대한 체크를 한다는 점은 자신의 존재를 매우 숨기고 싶어한다는 것을 알 수 있습니다.

  • C:\Program Files\Wireshark\Wireshark.exe
  • C:\Program Files (x86)\Fiddler2\Fiddler.exe
  • C:\Program Files\Fiddler2\Fiddler.exe
  • c:\program files\ida\ida.exe
  • C:\Program Files(x86)\ida\ida.exe
  • C:\Program Files\trend micro\rubotted\rubotsrv.exe
  • C:\Program Files (x86)\trend micro\rubotted\rubotsrv.exe
  • C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
  • C:\Program Files (x86)\Trend Micro\HijackThis\HijackThis.exe
  • c:\Program Files\Sysinternals\Process Explorer\procexp.exe
  • c:\Program Files (x86)\Sysinternals\Process Explorer\procexp.exe
  • C:\Program Files\RootkitRemover\rootkitremover.exe
  • C:\Program Files (x86)\RootkitRemover\rootkitremover.exe
  • C:\Program Files (x86)\Microsoft Virtual PC\Virtual PC.exe
  • C:\Program Files\Microsoft Virtual PC\Virtual PC.exe
  • C:\Program Files\Oracle\VirtualBox\VirtualBox.exe
  • C:\Program Files (x86)\Oracle\VirtualBox\VirtualBox.exePC\Virtual PC.exe
  • c:\program files (x86)\WMware\VMware Workstation\vmware-vdiskmanager.exe
  • c:\program files\WMware\VMware Workstation\vmware-diskmanager.exe

또한 분석 도구(네트워크, 루트킷(Rootkit), 프로세스 정보 확인)와 가상 환경(Microsoft Virtual PC, VMware, Oracle VM VirtualBox)을 체크하여 설치(동작)을 중지합니다.

그러므로 설치시 분석 도구 및 가상 환경을 체크하는 경우를 역이용하는 방법을 통해 설치를 방해하는 방법도 있으므로 참고하시기 바랍니다.

  • h**p://www.police.go.kr/main.html
  • h**p://cyberbureau.police.go.kr/
  • h**p://www.wwwcap.or.kr/
  • h**p://cyber112.police.go.kr/cyber112/main.do
  • h**p://www.nuricops.org/
  • h**p://www.boho.or.kr/
  • h**p://spam.kisa.or.kr/kor/main.jsp
  • h**p://privacy.kisa.or.kr/kor/main.jsp
  • h**p://www.krcert.or.kr/
  • h**ps://www.ecmc.or.kr/home.it
  • h**p://hummingbird.tistory.com
  • h**p://www.windowexe.com/
  • h**p://windowexe.tistory.com/
  • h**p://www.spamcop.or.kr/
  • h**p://www.singo.or.kr/
  • h**p://intumyself.tistory.com/
  • h**p://www.ahnlab.com/kr/site/support/notice/noticeList.do
  • h**p://alyac.altools.co.kr/Customer/CS/Notice.aspx
  • h**p://tools.naver.com/service/vaccine#secufityNotice
  • h**ps://www.viruschaser.com/02_center/center01_board_lst.jsp
  • h**p://www.nprotect.com/v7/cs/sub.html?mode=notice
  • h**p://www.ahnlab.com/kr/site/support/virus/virus.do
  • h**p://alyac.altools.co.kr/Customer/CS/Report.aspx
  • h**ps://help.naver.com/support/contents/contents.nhn?serviceNo=1037&categoryNo=10248
  • h**ps://www.viruschaser.com/03_security/security05.jsp
  • h**p://www.nprotect.com/v7/cs/sub.html?mode=virus
  • h**p://alyac.altools.co.kr

또한 경찰청, 보호나라(KISA), 국내 유명 보안 블로그, 포털 사이트 고객센터, 국내 보안 업체 등에 대한 URL 감시를 통해 접속 방해 또는 접속시 프로그램 동작을 중지할 것으로 추정됩니다.

  • C:\Hangame\KOREAN\Baduki.exe
  • C:\Hangame\KOREAN\poker7.exe
  • C:\NEOWIZ\PMang\baduki\Baduki.dll
  • C:\Neowiz\Pmang\newhighlow\NewHighLow.dll
  • C:\Neowiz\Pmang\poker\Poker.dll
  • C:\Program Files (x86)\OlympicGame\Poker.exe
  • C:\Program Files\OlympicGame\Poker.exe
  • C:\Program Files (x86)\HEROGAMEH\Poker.exe
  • C:\Program Files\HEROGAMEH\Poker.exe
  • C:\Program Files (x86)\HEROGAMEJ\Poker.exe
  • C:\Program Files\HEROGAMEJPoker.exe

특히 설치되는 PC에서 한게임, 피망 등의 도박성 온라인 게임에 대한 프로그램 체크를 수행합니다.

해당 체크값을 기반으로 유추해보면 과거 제휴(광고) 프로그램을 통해 고포류 게임을 표적으로 한 악성코드 유포가 있었던 것을 연상시킵니다.

  • C:\Program Files\AVAST Software\Avast\AvastSvc.exe
  • C:\Program Files\AVAST Software\Avast\avastui.exe
  • C:\Program Files\ESTsoft\ALYac\AYAgent.aye
  • C:\Program Files\ESTsoft\ALYac\AYRTSrv.aye
  • C:\Program Files\ESTsoft\ALYac\AYUpdSrv.aye
  • C:\Program Files\AhnLab\V3Lite30\V3Lite.exe
  • C:\Program Files\Daum\Cleaner\DaumCleaner.exe
  • C:\Program Files\naver\NaverVaccine\NVCAgent.npc
  • C:\Program Files\naver\NaverVaccine\nsvmon.npc
  • C:\Program Files\naver\NaverVaccine\Nsavsvc.npc
  • C:\Program Files (x86)\AVAST Software\Avast\AvastSvc.exe
  • C:\Program Files (x86)\AVAST Software\Avast\avastui.exe
  • C:\Program Files (x86)\ESTsoft\ALYac\AYAgent.aye
  • C:\Program Files (x86)\ESTsoft\ALYac\AYRTSrv.aye
  • C:\Program Files (x86)\ESTsoft\ALYac\AYUpdSrv.aye
  • C:\Program Files (x86)\AhnLab\V3Lite30\V3Lite.exe
  • C:\Program Files (x86)\Daum\Cleaner\DaumCleaner.exe
  • C:\Program Files (x86)\naver\NaverVaccine\NVCAgent.npc
  • C:\Program Files (x86)\naver\NaverVaccine\nsvmon.npc
  • C:\Program Files (x86)\naver\NaverVaccine\Nsavsvc.npc
  • C:\Program Files\AhnLab\V3IS80\V3SP.exe
  • C:\Program Files (x86)\AhnLabV3IS80\V3SP.exe

또한 국내에서 가장 사용자가 많은 AhnLab V3, 알약(ALYac), 네이버 백신(Naver Vaccine), Daum V3, avast! 보안 제품에 대한 체크값이 포함되어 있습니다.

특히 해당 백신 체크를 위해 사용된 암호화 값을 확인하던 중 기존에 확인된 악성 바로가기 아이콘 생성 프로그램과 연관된 조직에서 스마트 프로세스(Smart Process)를 유포하는 것이 아닌가 생각됩니다.

  • h**p://118.103.126.141/***/acter/main.exe (= SmartUT.exe)
  • h**p://118.103.126.141/***/acter/delete.exe
  • h**p://118.103.126.141/***/acter/Loader.exe (= SmartProcess_UT4Loader.exe)

이를 통해 설치 환경의 조건이 부합될 경우 일본(Japan)에 위치한 IP 서버로부터 생성 파일을 다운로드하여 다음과 같은 폴더 내에 파일을 생성할 수 있습니다.(※ 배포 파일 변종에 따라 생성 폴더 및 생성 파일명이 달라질 수 있습니다.)

  • C:\Users\(사용자 계정)\AppData\Roaming\SmartFG
  • C:\Users\(사용자 계정)\AppData\Roaming\SmartRM
  • C:\Users\(사용자 계정)\AppData\Roaming\SmartUT
  • C:\Users\(사용자 계정)\AppData\Roaming\SmartUJ
  • C:\Users\(사용자 계정)\AppData\Roaming\SmartZZ
[생성 폴더 / 파일 및 진단 정보]

 

C:\Users\(사용자 계정)\AppData\Roaming\SmartUT\delete.exe
 - SHA-1 : 85aec3102ad2f033a7a09857deafa21dc4fa9e88

 

C:\Users\(사용자 계정)\AppData\Roaming\SmartUT\SmartUT.exe :: 메모리 상주 프로세스
 - SHA-1 : 3e0f1fafa58384a12efc2a1b5f805abd383be71e
 - AhnLab V3 365 Clinic : PUP/Win32.PCClear.C747795 (VT : 19/57)

 

C:\Windows\System32\SmartProcess_UT4Loader.exe :: 서비스(WBSLoader) 등록 파일, 메모리 상주 프로세스
 - SHA-1 : e881a00179aa83da8ae5dcca5603d5c84df2f95d
 - Avira : ADWARE/Adware.Gen (VT : 1/57)

 

※ 그 외에 프로그램 목록에 SmartProcess.lnk 바로가기 메뉴가 생성될 수 있을 것으로 추정됩니다.

해당 프로그램은 숨김(H) 속성값을 가진 폴더 내의 "C:\Users\(사용자 계정)\AppData\Roaming\SmartUT" 폴더와 Windows 시스템 폴더에 파일을 생성합니다.

 

"WBSLoader (표시 이름 : Windows System WBSLoader)" 서비스 항목을 등록하여 시스템 시작시 "C:\Windows\System32\SmartProcess_UT4Loader.exe" 파일을 자동 실행하여 "C:\Users\(사용자 계정)\AppData\Roaming\SmartUT\SmartUT.exe" 파일을 로딩하여 모두 메모리에 상주하도록 구성되어 있습니다.

  • h**p://118.103.126.141/***/acter/vinstall.exe (SHA-1 : 72dafc0a88b8f536df8cee07b8b7038c8b1d70b4) - AhnLab V3 365 Clinic : PUP/Win32.EasyClean.C752367, Norton : Suspicious.MH690.A (VT : 11/57)

특히 서비스 파일(SmartProcess_UT4Loader.exe)은 추가적인 파일 다운로드 기능이 존재하며, AhnLab V3 클라우드 정보에서는 최초 발견 지역이 중국(China)으로 발견되고 있습니다.

 

이들 파일은 ① 분석을 방해할 목적으로 Themida로 패킹되어 있으며, ② 제어판에 표시되지 않는 방식으로 사용자로 하여금 프로그램 설치 여부를 인지하지 못하게 하고 있으며, ③ 제공되는 삭제 파일(delete.exe)은 프로그램 삭제 기능을 수행하지 못할 수 있습니다.

 

또한 프로그램은 시스템 최적화 기능 수행을 위한 모양(/cleaner_db/startup.db, /cleaner_db/process.db, /cleaner_db/service.db)은 갖추고 있지만 외형적으로 표시되지 않는 것으로 보입니다.

 

또한 광고 기능으로는 바로가기 아이콘 생성 기능이 존재할 수 있지만 실제적으로는 추가적인 프로그램 설치를 통해 온라인 게임을 표적으로 한 악의적인 기능을 수행할 수 있을 것으로 추정됩니다.

그러므로 다양한 변종이 지속적으로 유포되고 있는 스마트 프로세스(Smart Process) 프로그램의 설치 및 동작을 차단하기 위해서는 웹 보안 및 침입 차단(방화벽)에 "118.103.126.141" IP 정보를 차단값으로 추가하시기 바랍니다.