본문 바로가기

벌새::Analysis

토렌트에 포함된 도움말(.chm) 파일을 통한 백도어(Backdoor) 감염 주의 (2015.6.3)

2015년 5월경부터 보고되고 있는 토렌트(Torrent) 파일 공유 방식으로 다운로드된 도움말(.chm) 파일을 통해 백도어(Backdoor) 악성코드를 감염시키는 사례에 대해 살펴보도록 하겠습니다.

유포되는 대표적인 토렌트(Torrent) 파일 공유 사이트를 살펴보면 다양한 드라마, 영화 파일에 포함되어 있으며, 대표적으로 "★★감상전에 꼭 필독!!★★.chm" 도움말 파일<SHA-1 : 0f443132c3cf4071f62066315ded1f2ce314447c - AhnLab V3 : CHM/Dropper, avast! : JS:ADODB-BM [Expl] (VT : 12/57)>을 통해 사용자로 하여금 실행하도록 유도하고 있습니다.

동영상 파일과 함께 다운로드된 "★★감상전에 꼭 필독!!★★.chm" 도움말 파일은 2015년 5월 25일경 최초 보고되어 다수의 사용자에게 노출된 것으로 보입니다.

사용자가 "★★감상전에 꼭 필독!!★★.chm" 도움말 파일을 실행할 경우 "C:\Windows\hh.exe" 파일(Microsoft® HTML Help Executable) 실행을 통해 그림과 같은 화면이 표시되며 이 과정에서 백그라운드 방식으로 다음과 같은 악의적인 기능을 수행합니다.

"C:\Windows\hh.exe" 파일은 "C:\Windows\System32\cmd.exe" 파일을 로딩하여 위와 같은 스크립트 실행을 통해 "C:\Users\(사용자 계정)\AppData\Local\Temp\r1.vbs" 스크립트 파일(AhnLab V3 : VBS/Downloader)을 생성 및 실행합니다.

생성되어 실행된 r1.vbs 스크립트 파일은 특정 서버에 등록된 파일(mpathizeprincipl.exe)을 자동 다운로드하도록 구성되어 있습니다.

  • 2015년 5월 30일 : SHA-1 : 0e59c127066c7b9ad1e95918fa15c41d9037fde9 - Kaspersky : Trojan.MSIL.Crypt.bhgh, AVG : Atros.AVTD (VT : 12/56)
  • 2015년 6월 2일 : SHA-1 : 835fa9e5b92ebeade93a45c8b36917dcdf983bbd - AhnLab V3 : Trojan/Win32.Dynamer (VT : 10/57)

다운로드되는 파일은 동일한 서버(****.pw)와 파일명으로 변종을 배포하는 것으로 보이므로 "162.144.151.112" IP 서버 자체를 차단하는 것이 좋을 것으로 보입니다.

다운로드된 파일은 r1.vbs 스크립트 파일에서 지정된 것처럼 "C:\Users\(사용자 계정)\AppData\Local\Temp\ccleaner.exe" 파일로 저장되어 실행되는 구조입니다.

해당 악성코드와 매우 유사한 변종에 대하여 분석 정보가 공개되어 있으므로 참고하시기 바라며, 설치된 악성 파일(ccleaner.exe)은 추가 파일 생성을 통해 시스템 시작시 자동 실행되어 특정 C&C 서버(※ 추정 : server.knbswhbank.com)의 명령에 따라 원격 제어 및 정보 유출 등의 악의적인 행위가 있을 것으로 판단됩니다.

테스트 당시 ccleaner.exe 악성 파일에 대하여 AhnLab V3 보안 제품에서는 진단이 이루어지지 않았지만 "프로그램 실행 알림" 클라우드 보안 기능을 통해 악성 파일 실행을 차단할 수 있었으며, 감염으로 인해 좀비(Zombie) PC가 되지 않도록 토렌트(Torrent) 사용자는 각별히 주의하시기 바랍니다.

  • 비밀댓글입니다

    • cmd.exe 파일은 정상적인 시스템 파일이므로 삭제하시면 안되고 실제 일반 모드에서 쉽게 삭제할 수 없을텐데...ㅠ

      r1.vbs 파일이 ccleaner.exe 파일을 다운로드하는 방식이므로 동시에 생성됩니다. 하지만 서버에서 파일을 변경한 경우 또 다른 이름과 아이콘 모양으로 설치될 수 있으리라 추정됩니다.

  • kaka 2015.06.09 22:11 댓글주소 수정/삭제 댓글쓰기

    늦게 답변드려서 죄송합니다 일단은 제가 엘지 노트북을 사용하는 자가적으로 제공하는 복구프로그램을 사용해서 컴퓨터 초기화를 하였습니다 그럼 더이상
    해킹에대한 문제는 없는건가요?

  • 크래아 2015.06.13 15:48 댓글주소 수정/삭제 댓글쓰기

    *필독*.chm 파일을 모르고 실행해서
    도스창이 번쩍하고 열리더니
    r1.vbs파일이 생성되었습니다

    r1.vbs파일을 워드패드로 열어봤더니
    "http://qm0gaar9ula4f5.pw/mpathizeprincipl.exe"
    파일을 다운하고
    "darling.exe" 을 생성 실행하는거 같던데...

    지금은 검색해봐도 두파일 모두 존재하질 않습니다.r1.vbs파일은 삭제했구요

    이미 chm파일을 실행한 상태인데...딱히 해결방법 없을까요? PC포맷말고 방법 없을까요?

    • 백신으로 검사해 보시기 바랍니다. 그리고 mpathizeprincipl.exe 파일 다운로드는 현재 차단된 걸 봐서는 감염으로 연결되지 않았을 수 있습니다.

  • 크래아 2015.06.13 15:57 댓글주소 수정/삭제 댓글쓰기

    V3(최신상태)로 검사해봤는데...발견된건 없습니다....그냥 안심하고 있어도 될런지 모르겠네요

  • ㅇㅇ 2015.06.25 23:39 댓글주소 수정/삭제 댓글쓰기

    r1.vbs까지 생성되서 r1.vbs는 지웠는데(생성된이후 재부팅 없었음)...
    해당 tmp?폴더안에 exe파일은 없던데... 이경우 포맷하는게 좋을까요?? 아니면 별도의 조치를 취해햐 할겠있을까요?

    • 유포자가 파일 배포 방식을 변경하였든가 아니면 해당 서버가 죽어서 더 이상 악성 파일이 실제 다운로드되지 않았을 가능성이 있습니다.

      제 생각에는 아마 악성 파일이 존재하던 서버가 죽은게 아닐까 생각됩니다.

  • 철이 2015.07.22 10:50 댓글주소 수정/삭제 댓글쓰기

    날짜도 비슷하고 이거같은데..
    토렌트 파일 5월인가 6월짜리에 '영상 감상전에 필독~~~~~.chm' 이 붙어있는게 있더군요.

    받아 보았더니 v3는 미진.. 생성되는 r1.vbs도 미진 신고해서 추가시켰습니다. ㅋ
    변형이었나봅니다 ㄷ;

    Exploit/Chm
    Malware/VBS.Psyme

    카스퍼스키는 r1.vbs 휴리스틱으로 진단 하더군요