본문 바로가기

벌새::Analysis

토렌트를 통한 백도어(Backdoor)가 포함된 "VMware Workstation 11" 버전 주의 (2015.6.17)

최근 국내 토렌트(Torrent) 파일 공유 사이트를 통해 악성코드가 포함된 VMware Workstation 11 버전이 유포되고 있는 것을 확인하였습니다.

유포 방식을 살펴보면 2015년 6월 15일 게시된 "VMware Workstation 11.1.1 Build 2771112 (x64) [Serial]" 제목으로 작성된 게시물이며, 이를 통해 조작된 설치 파일(VMware-workstation-full-11.1.1-2771112.exe)과 시리얼 번호가 포함된 텍스트 파일(S.n.txt)을 다운로드합니다.

  • 정상 파일 : VMware-workstation-full-11.1.1-2771112.exe (303MB) - SHA-1 : 66bdf7548433e0b6948553d438052b820831bd5b
  • 조작된 유포 파일 : VMware-workstation-full-11.1.1-2771112.exe (289MB) - SHA-1 : 38c6d183324090cd84aac47f245a5d6373c6e891

정상적인 VMware Workstation 11 설치 파일과 차이점을 비교해보면 파일 아이콘은 동일하지만 정상적인 설치 파일에 포함된 "VMware, Inc." 디지털 서명이 존재하지 않는 것을 알 수 있습니다.

 

일반적으로 상용 소프트웨어의 설치 파일 상당수는 유효한 디지털 서명이 포함되어 있다는 점을 명심하시고 인터넷 상에서 파일을 다운로드한 경우에는 반드시 확인하는 습관을 가지시기 바랍니다.

  • VMware-workstation-full-11.1.1-2771112.exe (정상 파일)
  • Windows System.exe (SHA-1 : 325b5b120d499a69ababf3213ea61eb3a917d4c5) - AhnLab V3 : Win-Trojan/Msil.148480.B, 알약(ALYac) : Backdoor.Agent.246D, MSE : Backdoor:MSIL/Bladabindi (VT : 17/57)

토렌트(Torrent)를 통해 다운로드된 조작된 "VMware-workstation-full-11.1.1-2771112.exe" 파일 내부에는 정상적인 VMware Workstation 설치 파일과 악성 파일(Windows System.exe)이 포함되어 있습니다.

 

다운로드된 조작된 "VMware-workstation-full-11.1.1-2771112.exe" 파일을 최초 실행하면 임시 폴더(%Temp%)에 파일을 압축 해제하며, 화면 상에서는 VMware Workstation 설치 화면이 표시되지만 백그라운드 방식으로 다음과 같은 악의적인 행위를 수행합니다.

 

[생성 파일 및 진단 정보]

 

C:\Users\(사용자 계정)\AppData\Local\Temp\System.exe
 - SHA-1 : 325b5b120d499a69ababf3213ea61eb3a917d4c5
 - AhnLab V3 : Win-Trojan/Msil.148480.B, 알약(ALYac) : Backdoor.Agent.246D (VT : 17/57)

 

C:\Users\(사용자 계정)\AppData\Local\Temp\VMware-workstation-full-11.1.1-2771112.exe :: 정상 파일

 

C:\Users\(사용자 계정)\AppData\Local\Temp\Windows System.exe
 - SHA-1 : 325b5b120d499a69ababf3213ea61eb3a917d4c5
 - AhnLab V3 : Win-Trojan/Msil.148480.B, 알약(ALYac) : Backdoor.Agent.246D (VT : 17/57)

Windows System.exe 악성 파일은 "C:\Users\(사용자 계정)\AppData\Local\Temp\System.exe" 파일명으로 자신을 복제한 후 자신은 자동 종료 처리됩니다.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules
 - {C3CC4D16-4F38-4A19-A4E6-0C49C17FFE5F} = v2.10|Action=Allow|Active=TRUE|Dir=In|Protocol=17|Profile=Private|App=C:\Users\(사용자 계정)\AppData\Local
\Temp\System.exe|Name=System.exe|
 - {F1678C3D-E05A-488D-8F73-48140DFBE4DC} = v2.10|Action=Allow|Active=TRUE|Dir=In|Protocol=6|Profile=Private|App=C:\Users\(사용자 계정)\AppData\Local\Temp
\System.exe|Name=System.exe|

생성된 System.exe 악성 파일은 "C:\Windows\System32\netsh.exe" 시스템 파일(네트워크 명령 셸, Network Command Shell)을 실행하여 [netsh firewall add allowedprogram "C:\Users\(사용자 계정)\AppData\Local\Temp\System.exe" "System.exe" ENABLE] 명령어를 통해 Windows 방화벽의 허용 프로그램으로 자신을 등록합니다.

  • C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\f1601c33744de6dbc8f9e8c6f0ed4be6.exe (= Windows System.exe, System.exe) - AhnLab V3 : Win-Trojan/Msil.148480.B, 알약(ALYac) : Backdoor.Agent.246D (VT : 17/57)

이후 Windows 시작시 자동 실행되도록 시작프로그램 영역에 f1601c33744de6dbc8f9e8c6f0ed4be6.exe 파일명으로 자신을 복제하여 등록합니다.

이를 통해 시스템 시작시마다 자동 실행된 f1601c33744de6dbc8f9e8c6f0ed4be6.exe 악성 파일은 일정 시간이 경과하면 "C:\Users\(사용자 계정)\AppData\Local\Temp\System.exe" 악성 파일을 로딩하여 메모리에 상주하며, 이 과정에서 Windows 방화벽 허용 프로그램 등록 및 시작프로그램 등록값을 재생성합니다.

실행된 악성 파일(System.exe)은 요르단(Jordan)에 위치한 "chrome.blogsite.org (149.200.219.131:1166)" 서버와 통신을 시도하며 원격 제어를 통한 추가적인 파일 다운로드(업데이트) 등의 명령 수행을 통해 정보 유출과 같은 좀비PC로 활용될 수 있습니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER
 - di = !
HKEY_CURRENT_USER\Environment
 - SEE_MASK_NOZONECHECKS = 1
HKEY_CURRENT_USER\Software\f1601c33744de6dbc8f9e8c6f0ed4be6

 

그러므로 토렌트(Torrent) 파일 공유 방식을 통해 유료 소프트웨어를 다운로드할 경우에는 유효한 디지털 서명이 포함되어 있는지 여부를 잘 확인하시기 바라며, 신뢰할 수 없는 출처를 통한 다운로드를 통해 정체를 알 수 없는 공격자로부터 시스템 제어권을 뺏기는 일이 없도록 각별히 주의하시기 바랍니다.

 

 
  • 토렌트는 왠지 멀리하게 되더군요! ^^;

  • 김우리 2015.06.21 13:18 댓글주소 수정/삭제 댓글쓰기

    실수로 프로그램을 설치해 버렸는데 지우는 법을 모르겠네요.. ㅠㅠ

  • windows10k 2015.07.10 22:09 댓글주소 수정/삭제 댓글쓰기

    SolidWorks Premium Edition 2015 SP3 х64 [MultiRu]
    이것도 바이러스 인지 확인 해주실수 있을까요?
    왠지 크랙버젼을 깔고 나니 계속 탐색기가 응답없음 뜨고 솔리드워크 문제인지..

  • 내딸서영이 2015.07.22 20:06 댓글주소 수정/삭제 댓글쓰기

    감사합니다 ~!

    이런 악성코드가 심어져 있는 파일을 예견하는 방법은 없겠죠?..^^:;;

    정품사면 이런 걱정 할 필요가 없긴 하지만 ㅠㅠ


    인간의 욕심이란..ㅠ......ㅠ

    바이로봇 apt 쉴드 같은 프로그램으로도 사전에 막을 순 없겠죠?....

    ㅠ.....ㅠ

    • 바이로봇 APT Shield는 사용자 PC에 설치된 프로그램의 취약점을 통한 악성코드 감염을 예방하는 것이므로, 사용자가 악성 파일을 다운로드하여 직접 실행하는 것은 차단하지 못합니다.

      그러므로 이런 방식으로부터 조금 더 안전하려면 공유 사이트에서 받은 파일을 최초 설치시 사용자 PC가 아닌 가상 PC에서 한 번 설치하여 악성 파일에 감염되는지 점검하는 것도 좋은 방법입니다.

  • ViOLET 2015.08.26 13:49 댓글주소 수정/삭제 댓글쓰기

    벌새님 좋은 정보 정말 감사합니다.
    vmware 가 절실히 필요하여 검색하다가 겨우 구하여
    토렌트에 씨앗 파일을 다운 걸었지만 사용중인 백신 카스퍼스키가
    자꾸 다운 도중에 차단 및 삭제를 해버려서 이유를 모른체
    vmware도 구하질 못하고 있었습니다..
    헌데 오늘 검색을 다시 하다보니 이곳 블로그까지 오게 되었습니다.
    정말 벌새님 블로그의 글을 보지 못했다면 계속...
    구하다가 백신을 꺼버리고 다운을 받았을거 같네요...
    다시 한번 감사드립니다.ㅠ0ㅠ

  • ViOLET 2015.08.26 20:22 댓글주소 수정/삭제 댓글쓰기

    사칭일리가 없지요 ㅎㅎ

  • victim 2015.09.22 00:26 댓글주소 수정/삭제 댓글쓰기

    HKEY_CURRENT_USER\Software\f1601c33744de6dbc8f9e8c6f0ed4be6
    이곳에 kl이라는 변수가 만들어져서 키로그 남기네요...
    저도 당했습니다...

  • 정품을 구입해서 사용하면 이러한 위험을 피할 수 있습니다.