울지않는벌새 : Security, Movie & Society

토렌트에 포함된 도움말(.chm) 파일을 통한 백도어(Backdoor) 감염 주의 (2015.6.3)

벌새::Analysis

2015년 5월경부터 보고되고 있는 토렌트(Torrent) 파일 공유 방식으로 다운로드된 도움말(.chm) 파일을 통해 백도어(Backdoor) 악성코드를 감염시키는 사례에 대해 살펴보도록 하겠습니다.

유포되는 대표적인 토렌트(Torrent) 파일 공유 사이트를 살펴보면 다양한 드라마, 영화 파일에 포함되어 있으며, 대표적으로 "★★감상전에 꼭 필독!!★★.chm" 도움말 파일<SHA-1 : 0f443132c3cf4071f62066315ded1f2ce314447c - AhnLab V3 : CHM/Dropper, avast! : JS:ADODB-BM [Expl] (VT : 12/57)>을 통해 사용자로 하여금 실행하도록 유도하고 있습니다.

동영상 파일과 함께 다운로드된 "★★감상전에 꼭 필독!!★★.chm" 도움말 파일은 2015년 5월 25일경 최초 보고되어 다수의 사용자에게 노출된 것으로 보입니다.

사용자가 "★★감상전에 꼭 필독!!★★.chm" 도움말 파일을 실행할 경우 "C:\Windows\hh.exe" 파일(Microsoft® HTML Help Executable) 실행을 통해 그림과 같은 화면이 표시되며 이 과정에서 백그라운드 방식으로 다음과 같은 악의적인 기능을 수행합니다.

"C:\Windows\hh.exe" 파일은 "C:\Windows\System32\cmd.exe" 파일을 로딩하여 위와 같은 스크립트 실행을 통해 "C:\Users\(사용자 계정)\AppData\Local\Temp\r1.vbs" 스크립트 파일(AhnLab V3 : VBS/Downloader)을 생성 및 실행합니다.

생성되어 실행된 r1.vbs 스크립트 파일은 특정 서버에 등록된 파일(mpathizeprincipl.exe)을 자동 다운로드하도록 구성되어 있습니다.

  • 2015년 5월 30일 : SHA-1 : 0e59c127066c7b9ad1e95918fa15c41d9037fde9 - Kaspersky : Trojan.MSIL.Crypt.bhgh, AVG : Atros.AVTD (VT : 12/56)
  • 2015년 6월 2일 : SHA-1 : 835fa9e5b92ebeade93a45c8b36917dcdf983bbd - AhnLab V3 : Trojan/Win32.Dynamer (VT : 10/57)

다운로드되는 파일은 동일한 서버(****.pw)와 파일명으로 변종을 배포하는 것으로 보이므로 "162.144.151.112" IP 서버 자체를 차단하는 것이 좋을 것으로 보입니다.

다운로드된 파일은 r1.vbs 스크립트 파일에서 지정된 것처럼 "C:\Users\(사용자 계정)\AppData\Local\Temp\ccleaner.exe" 파일로 저장되어 실행되는 구조입니다.

해당 악성코드와 매우 유사한 변종에 대하여 분석 정보가 공개되어 있으므로 참고하시기 바라며, 설치된 악성 파일(ccleaner.exe)은 추가 파일 생성을 통해 시스템 시작시 자동 실행되어 특정 C&C 서버(※ 추정 : server.knbswhbank.com)의 명령에 따라 원격 제어 및 정보 유출 등의 악의적인 행위가 있을 것으로 판단됩니다.

테스트 당시 ccleaner.exe 악성 파일에 대하여 AhnLab V3 보안 제품에서는 진단이 이루어지지 않았지만 "프로그램 실행 알림" 클라우드 보안 기능을 통해 악성 파일 실행을 차단할 수 있었으며, 감염으로 인해 좀비(Zombie) PC가 되지 않도록 토렌트(Torrent) 사용자는 각별히 주의하시기 바랍니다.