본문 바로가기

벌새::Analysis

DDoS 공격을 유발하는 PIF 확장자를 가진 성인 동영상 파일 주의 (2015.5.14)

국내 인터넷 사용자를 대상으로 서비스가 이루어지고 있는 성인 토렌트에 등록된 동영상 파일을 다운로드하여 실행할 경우 추가적인 악성 파일 다운로드를 통해 DDoS 공격, 정보 유출 등의 백도어(Backdoor) 기능을 수행하는 유포 행위가 확인되어 살펴보도록 하겠습니다.

해당 토렌트 사이트에 등록된 시드 파일(.torrent)을 통해 다운로드되는 파일을 확인해보면 "[국!nO]돈벌려고 이걸택하기엔 너무 아리따운뇽 !! 완벽에 가깝네.avi.pif" 확장자명을 가진 파일(SHA-1 : BEFCA4A22D2AF85E51844D9B4B3C16A34D0B1E58)임을 알 수 있습니다.

실제 다운로드가 완료되는 순간 AhnLab V3 보안 제품에서는 실시간 검사를 통해 Trojan/Win32.Generic.C238008 진단명으로 차단이 이루어지고 있습니다.

만약 실시간 검사 기능을 통해 차단되지 않은 경우 AhnLab V3 보안 제품의 경우 일반적인 동영상 파일에 대해서는 마우스 우클릭 검사를 수행할 수 있지만, 다운로드된 "[국!nO]돈벌려고 이걸택하기엔 너무 아리따운뇽 !! 완벽에 가깝네.avi.pif" 파일은 마우스 우클릭 검사를 수행할 수 없습니다.(※ 바로가기 파일은 마우스 우클릭 검사를 지원하지 않도록 설정되어 있기 때문입니다.)

 

특히 다운로드된 "[국!nO]돈벌려고 이걸택하기엔 너무 아리따운뇽 !! 완벽에 가깝네.avi.pif" 파일은 Windows 탐색기를 통해 확인해보면 "[국!nO]돈벌려고 이걸택하기엔 너무 아리따운뇽 !! 완벽에 가깝네.avi" 동영상 파일처럼 표시되지만 실제로는 "MS-DOS 프로그램으로 바로 가기" 파일(.pif)입니다.

  • [국!nO]돈벌려고 이걸택하기엔 너무 아리따운뇽 !! 완벽에 가깝네.avi :: 39분 37초 분량의 성인 동영상 파일
  • 쿠르마자료.pif (SHA-1 : 2514f5598e8e31d6b05e7e2ff50bb64ad88736b7) - AhnLab V3 : Trojan/Win32.Downloader, 알약(ALYac) : Trojan.Downloader.DDNS, AVG : Downloader.Rozena

동영상 파일로 위장한 악성 파일 내부를 확인해보면 정상적인 성인 동영상 파일과 함께 시스템 감염을 유발하는 쿠르마자료.pif (MS-DOS 프로그램으로 바로 가기) 악성 파일이 포함되어 있습니다.

사용자가 다운로드된 "[국!nO]돈벌려고 이걸택하기엔 너무 아리따운뇽 !! 완벽에 가깝네.avi.pif" 파일을 동영상 파일로 착각하여 실행할 경우 사용자 계정 컨트롤(UAC) 알림 기능이 활성화된 PC 환경에서는 실행 여부를 묻는 창이 생성되어 눈치챌 수 있습니다.(※ 일반적으로 정상적인 동영상 파일(.avi) 실행시에는 절대로 사용자 계정 컨트롤 창이 생성되지 않습니다.)

 

[생성 파일 및 진단 정보]

 

C:\Users\(사용자 계정)\AppData\Roaming\[국!nO]돈벌려고 이걸택하기엔 너무 아리따운뇽 !! 완벽에 가깝네.avi

 

C:\Users\(사용자 계정)\AppData\Roaming\쿠르마자료.pif
 - SHA-1 : 2514f5598e8e31d6b05e7e2ff50bb64ad88736b7
 - AhnLab V3 : Trojan/Win32.Downloader, 알약(ALYac) : Trojan.Downloader.DDNS (VT : 15/57)

파일 실행을 통해 화면상에 표시되는 모습은 동영상 재생 프로그램을 통해 "[국!nO]돈벌려고 이걸택하기엔 너무 아리따운뇽 !! 완벽에 가깝네.avi" 파일이 재생되어 사용자는 정상적인 동영상으로 판단하게 됩니다.

 

이 과정에서 "C:\Users\(사용자 계정)\AppData\Roaming\쿠르마자료.pif" 악성 파일은 백그라운드 방식으로 사용자 몰래 다음과 같은 악의적인 기능을 수행할 수 있습니다.

일본(Japan)에 위치한 "hae2djxor.ddns.net:*" 서버(191.238.85.210)에서 10개의 파일을 다운로드 시도하며 테스트 당시에는 3개의 악성 파일이 등록되어 다운로드가 진행되고 있었습니다.

 

[생성 파일 및 진단 정보]

 

C:\Users\(사용자 계정)\AppData\Local\Temp\6.pif

 - SHA-1 : ce2a99a0c62f45fce3e11233697751fbcdfba3ca

 - AhnLab V3 : Trojan/Win32.Injector, 알약(ALYac) : Trojan.Keylogger.1171456

 

C:\Users\(사용자 계정)\AppData\Local\Temp\7.pif

 - SHA-1 : bf2f893c1412c5c4dfdbb60788258bad41137834

 - AhnLab V3 : Trojan/Win32.Nitol, 알약(ALYac) : Trojan.DDoS.Nitol.gen

 

C:\Users\(사용자 계정)\AppData\Local\Temp\10.pif

 - SHA-1 : 08c0ab5237f49b0271d244bc70e97b4da444a3b0

 - AhnLab V3 : Trojan/Win32.Nitol, 알약(ALYac) : Trojan.DDoS.Nitol.gen

다운로드된 악성 파일은 가상 환경(VMware, VirtualPC, Sandboxie, Oracle VM VirtualBox)을 체크하여 분석을 방해할 목적으로 실행이 이루어지지 않도록 제작되어 있으며, 정상적으로 감염된 경우에는 다운로드된 파일은 자가 삭제 처리됩니다.(※ 이 글에서는 7.pif 파일만을 확인해 보았습니다.)

 

7.pif 파일(SHA-1 : bf2f893c1412c5c4dfdbb60788258bad41137834) 분석 정보

 

[생성 파일 및 진단 정보]

 

C:\Windows\vmjfmc.exe
 - SHA-1 : bf2f893c1412c5c4dfdbb60788258bad41137834
 - AhnLab V3 : Trojan/Win32.Nitol, 알약(ALYac) : Trojan.DDoS.Nitol.gen

 

※ 해당 파일은 (6자리 영문).exe 파일 패턴입니다.

다운로드된 7.pif 파일이 실행되면 Windows 폴더 내에 랜덤(Random)한 파일명으로 자신을 복사한 후 원본 파일은 자가 삭제 처리됩니다.

서비스 이름 및 표시 이름은 랜덤(Random)하게 생성될 수 있습니다.

"Vwxyab Defghijk Mno (표시 이름 : Vwxyab Defghijk Mnopqrst Vwxy)" 서비스 항목을 등록하여 시스템 시작시 "C:\Windows\vmjfmc.exe" 파일이 자동 실행되어 메모리에 상주하도록 구성되어 있습니다.

  • hae2djxor.ddns.net (191.238.85.210) - 일본(Japan)
  • base8.gyddos.com (43.240.51.237) - 중국(China)

이를 통해 메모리에 상주하는 "C:\Windows\vmjfmc.exe" 악성 파일은 일본(Japan)과 중국(China)에 위치한 서버와 통신을 유지합니다.

이 과정에서 감염된 PC의 시스템 정보(운영 체제 종류, 메모리, CPU, 네트워크 환경)를 전송합니다.

이후 상당 시간 경과 후 C&C 서버로부터 특정 웹 사이트 정보를 받아올 경우 DDoS 공격이 진행되는 모습을 확인할 수 있으며, 해당 웹 사이트는 중국(China)에 위치한 해킹/보안 포럼 사이트로 보입니다.

 

이번 악성코드 유포와 같이 토렌트(Torrent)를 통해 동영상 파일을 다운로드할 때에는 파일 확장자 뿐만 아니라 파일 유형(Type)을 반드시 확인하여 수상한 파일 확장자를 가진 파일은 절대로 실행하는 일이 없도록 주의하시기 바랍니다.

  • 벌새님 언제 이런 동영상까지 보셨대요?? ㅋㅋㅋ

  • 님 바이러스파일 없애면 동영상정상적임?? 그리고 바이러스 파일 없앨려면 어떻해요??

    • 다운로드된 악성 파일을 실행할 경우 정상적인 음란 동영상을 감상할 수 있지만 자동으로 감염이 발생합니다.

      해당 악성코드는 감염시 다양한 파일명과 서비스 이름으로 설치가 이루어질 수 있으므로 백신 프로그램을 이용하여 문제를 해결하시기 바랍니다.

    • 그러면 영상은 못본다는건가요?? 바이러스 삭제해도??

    • 영상을 볼 수는 있지만 대신 악성 파일에 감염되는건 필수라는 것입니다.

      저런 영상을 보고 싶다면 가상환경에서 실행해서 영상을 보시기 바랍니다. 어차피 가상이라서 감염되어도 롤백하시면 쉽게 해결되니...

  • asd123 2015.06.21 00:48 댓글주소 수정/삭제 댓글쓰기

    혹시 이걸 실행하여 동영상까지 보게되었다면 어떻게되나요?
    얼마전에 영화파일이 저런게있었는데 그냥 실행하였는데..
    보면서 먼가 구려서 바로삭제하긴했습니다.
    이후 어떻게 조치할방법은 없을까요?
    참고로 V3라이트 정밀검사에서는 걸리는게 없네요;;
    그리고 최초실행했을때 v3창이 떳는데 한번만차단을 체크하고 플레이시켯습니다..

    • 아마 최초 실행시 V3에서 프로그램 실행창(클라우드 평판) 보안 기능을 통해 실행할지를 물어본 것 같습니다.

      여기에서 사용자가 한 번만 차단을 한 경우 파일이 실행되지 않았을 것으로 보이며, 이후에도 사용자가 다운로드한 동영상 위장 파일을 재실행하지 않았다면 감염되지 않았을겁니다.

      그러므로 토렌트에서 다운로드한 폴더에 존재하는 파일을 찾아서 삭제하시면 될 듯합니다.

  • saladin0063 2016.02.24 16:53 댓글주소 수정/삭제 댓글쓰기

    부끄럽지만 성인동영상 보다가 대수롭지 않게 생각해서 클릭 후 실행했습니다.
    실행되자마자 Microsoft Security Essential에서 바로 찾아서 격리시켰고, MSE 창에서 삭제를 시킨 뒤 해당 동영상 파일도 제거했습니다.
    하지만 재부팅하고 난 뒤에도, 윈도부팅이 종료되자마자 MSE에서 감지하여 격리시켰다고 뜨는데, "검색된 모든 항목"에는 나오지만, "격리된 모든 항목"에는 나오질 않습니다.
    불안하여 MSE의 전체검사를 한번 돌렸고, 또 알약의 전체검사를 한 번 더 돌렸으나 해당 악성코드는 잡히지 않는 겁니다.

    이런 경우는, 악성코드가 지워진건지 아니면 백그라운드로 계속 실행되기 때문에 MSE가 계속 잡는건지 궁금합니다.

    • 내용으로는 어떤 파일로 문제가 되는지 전혀 알기 어렵습니다.

      http://hummingbird.tistory.com/notice/4859

      내용을 확인하시고 run 파일을 제작하여 보내주시면 확인해 보겠습니다.

    • saladin0063 2016.02.25 01:06 댓글주소 수정/삭제

      말씀대로 해당포스트 가서 Runscanner 실행한 뒤,

      Run 파일과 기타 이미지캡쳐파일 2개를 첨부하여

      hummingbird@tistory.com 이메일로 보내드렸습니다.

      확인해 주시면 감사하겠습니다.