국내 인터넷 사용자를 대상으로 서비스가 이루어지고 있는 성인 토렌트에 등록된 동영상 파일을 다운로드하여 실행할 경우 추가적인 악성 파일 다운로드를 통해 DDoS 공격, 정보 유출 등의 백도어(Backdoor) 기능을 수행하는 유포 행위가 확인되어 살펴보도록 하겠습니다.
해당 토렌트 사이트에 등록된 시드 파일(.torrent)을 통해 다운로드되는 파일을 확인해보면 "[국!nO]돈벌려고 이걸택하기엔 너무 아리따운뇽 !! 완벽에 가깝네.avi.pif" 확장자명을 가진 파일(SHA-1 : BEFCA4A22D2AF85E51844D9B4B3C16A34D0B1E58)임을 알 수 있습니다.
실제 다운로드가 완료되는 순간 AhnLab V3 보안 제품에서는 실시간 검사를 통해 Trojan/Win32.Generic.C238008 진단명으로 차단이 이루어지고 있습니다.
만약 실시간 검사 기능을 통해 차단되지 않은 경우 AhnLab V3 보안 제품의 경우 일반적인 동영상 파일에 대해서는 마우스 우클릭 검사를 수행할 수 있지만, 다운로드된 "[국!nO]돈벌려고 이걸택하기엔 너무 아리따운뇽 !! 완벽에 가깝네.avi.pif" 파일은 마우스 우클릭 검사를 수행할 수 없습니다.(※ 바로가기 파일은 마우스 우클릭 검사를 지원하지 않도록 설정되어 있기 때문입니다.)
특히 다운로드된 "[국!nO]돈벌려고 이걸택하기엔 너무 아리따운뇽 !! 완벽에 가깝네.avi.pif" 파일은 Windows 탐색기를 통해 확인해보면 "[국!nO]돈벌려고 이걸택하기엔 너무 아리따운뇽 !! 완벽에 가깝네.avi" 동영상 파일처럼 표시되지만 실제로는 "MS-DOS 프로그램으로 바로 가기" 파일(.pif)입니다.
- [국!nO]돈벌려고 이걸택하기엔 너무 아리따운뇽 !! 완벽에 가깝네.avi :: 39분 37초 분량의 성인 동영상 파일
- 쿠르마자료.pif (SHA-1 : 2514f5598e8e31d6b05e7e2ff50bb64ad88736b7) - AhnLab V3 : Trojan/Win32.Downloader, 알약(ALYac) : Trojan.Downloader.DDNS, AVG : Downloader.Rozena
동영상 파일로 위장한 악성 파일 내부를 확인해보면 정상적인 성인 동영상 파일과 함께 시스템 감염을 유발하는 쿠르마자료.pif (MS-DOS 프로그램으로 바로 가기) 악성 파일이 포함되어 있습니다.
사용자가 다운로드된 "[국!nO]돈벌려고 이걸택하기엔 너무 아리따운뇽 !! 완벽에 가깝네.avi.pif" 파일을 동영상 파일로 착각하여 실행할 경우 사용자 계정 컨트롤(UAC) 알림 기능이 활성화된 PC 환경에서는 실행 여부를 묻는 창이 생성되어 눈치챌 수 있습니다.(※ 일반적으로 정상적인 동영상 파일(.avi) 실행시에는 절대로 사용자 계정 컨트롤 창이 생성되지 않습니다.)
C:\Users\(사용자 계정)\AppData\Roaming\[국!nO]돈벌려고 이걸택하기엔 너무 아리따운뇽 !! 완벽에 가깝네.avi
C:\Users\(사용자 계정)\AppData\Roaming\쿠르마자료.pif
- SHA-1 : 2514f5598e8e31d6b05e7e2ff50bb64ad88736b7
- AhnLab V3 : Trojan/Win32.Downloader, 알약(ALYac) : Trojan.Downloader.DDNS (VT : 15/57)
파일 실행을 통해 화면상에 표시되는 모습은 동영상 재생 프로그램을 통해 "[국!nO]돈벌려고 이걸택하기엔 너무 아리따운뇽 !! 완벽에 가깝네.avi" 파일이 재생되어 사용자는 정상적인 동영상으로 판단하게 됩니다.
이 과정에서 "C:\Users\(사용자 계정)\AppData\Roaming\쿠르마자료.pif" 악성 파일은 백그라운드 방식으로 사용자 몰래 다음과 같은 악의적인 기능을 수행할 수 있습니다.
일본(Japan)에 위치한 "hae2djxor.ddns.net:*" 서버(191.238.85.210)에서 10개의 파일을 다운로드 시도하며 테스트 당시에는 3개의 악성 파일이 등록되어 다운로드가 진행되고 있었습니다.
C:\Users\(사용자 계정)\AppData\Local\Temp\6.pif
- SHA-1 : ce2a99a0c62f45fce3e11233697751fbcdfba3ca
- AhnLab V3 : Trojan/Win32.Injector, 알약(ALYac) : Trojan.Keylogger.1171456
C:\Users\(사용자 계정)\AppData\Local\Temp\7.pif
- SHA-1 : bf2f893c1412c5c4dfdbb60788258bad41137834
- AhnLab V3 : Trojan/Win32.Nitol, 알약(ALYac) : Trojan.DDoS.Nitol.gen
C:\Users\(사용자 계정)\AppData\Local\Temp\10.pif
- SHA-1 : 08c0ab5237f49b0271d244bc70e97b4da444a3b0
- AhnLab V3 : Trojan/Win32.Nitol, 알약(ALYac) : Trojan.DDoS.Nitol.gen
다운로드된 악성 파일은 가상 환경(VMware, VirtualPC, Sandboxie, Oracle VM VirtualBox)을 체크하여 분석을 방해할 목적으로 실행이 이루어지지 않도록 제작되어 있으며, 정상적으로 감염된 경우에는 다운로드된 파일은 자가 삭제 처리됩니다.(※ 이 글에서는 7.pif 파일만을 확인해 보았습니다.)
■ 7.pif 파일(SHA-1 : bf2f893c1412c5c4dfdbb60788258bad41137834) 분석 정보
C:\Windows\vmjfmc.exe
- SHA-1 : bf2f893c1412c5c4dfdbb60788258bad41137834
- AhnLab V3 : Trojan/Win32.Nitol, 알약(ALYac) : Trojan.DDoS.Nitol.gen
※ 해당 파일은 (6자리 영문).exe 파일 패턴입니다.
다운로드된 7.pif 파일이 실행되면 Windows 폴더 내에 랜덤(Random)한 파일명으로 자신을 복사한 후 원본 파일은 자가 삭제 처리됩니다.
"Vwxyab Defghijk Mno (표시 이름 : Vwxyab Defghijk Mnopqrst Vwxy)" 서비스 항목을 등록하여 시스템 시작시 "C:\Windows\vmjfmc.exe" 파일이 자동 실행되어 메모리에 상주하도록 구성되어 있습니다.
- hae2djxor.ddns.net (191.238.85.210) - 일본(Japan)
- base8.gyddos.com (43.240.51.237) - 중국(China)
이를 통해 메모리에 상주하는 "C:\Windows\vmjfmc.exe" 악성 파일은 일본(Japan)과 중국(China)에 위치한 서버와 통신을 유지합니다.
이 과정에서 감염된 PC의 시스템 정보(운영 체제 종류, 메모리, CPU, 네트워크 환경)를 전송합니다.
이후 상당 시간 경과 후 C&C 서버로부터 특정 웹 사이트 정보를 받아올 경우 DDoS 공격이 진행되는 모습을 확인할 수 있으며, 해당 웹 사이트는 중국(China)에 위치한 해킹/보안 포럼 사이트로 보입니다.
이번 악성코드 유포와 같이 토렌트(Torrent)를 통해 동영상 파일을 다운로드할 때에는 파일 확장자 뿐만 아니라 파일 유형(Type)을 반드시 확인하여 수상한 파일 확장자를 가진 파일은 절대로 실행하는 일이 없도록 주의하시기 바랍니다.