본문 바로가기

벌새::Analysis

게임 방송 소리가 나오는 백도어(Backdoor) 악성코드 주의 (2015.6.30)

반응형

2014년경부터 컴퓨터를 사용하는 과정에서 아프리카TV에서 게임 방송하는 목소리, 광고/음악/마우스 소리 등이 흘러나오는 증상에 대한 네이버 지식인 질문이 심심찮게 발견되고 있었습니다.

 

관련된 질문에 대해 처음에는 사용자 몰래 설치된 광고 프로그램으로 인한 문제로 의심하여 정보를 수집하고 있던 중 가장 신뢰할 수 있는 정보를 기반으로 추적을 해보았습니다.

사용자의 동작과는 무관하게 컴퓨터에서 소리가 발생하는 PC의 볼륨 믹서 정보를 확인해보면 사운드를 출력하는 MSN 메신저 아이콘으로 위장한 파일(syayy.exe, nflxf.exe) 또는 "사용할 수 없는 이름"이라는 항목으로 표시되는 특징이 있습니다.

 

그러던 중 최근 관련 증상으로 문의가 들어와서 수집된 로그(Log) 파일에서 다음과 같은 악성 파일을 발견할 수 있었습니다.(※ 이 글에서 표시한 파일 및 레지스트리 값은 모두 랜덤(Random)하게 생성되며, x64 비트 운영 체제 기준으로 설명합니다.)

 

파일 경로

 C:\Windows\SysWOW64\npmzfa.exe

SHA-1

 64f582a3e974cedb9d286fe30f2e9091076b13d9

진단명

 Trojan/Win32.Scar (AhnLab V3)

레지스트리

등록값

 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\daunawkm

비고

 서비스(daunawkm) 등록 파일, 메모리 상주 프로세스

 

파일 경로

 C:\Windows\SysWOW64\cgccwk.exe

MD5

 848F85F5DE83DA4BA212D8848A48613A

제품 이름

 Microsoft Server

파일 설명

 Server

레지스트리

등록값

 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Nationalyay

비고

 서비스(Nationalyay) 등록 파일, 메모리 상주 프로세스

  • x86 비트 운영 체제 : C:\Windows\System32 폴더 내에 생성
  • x64 비트 운영 체제 : C:\Windows\SysWOW64 폴더 내에 생성

해당 악성코드는 랜덤(Random)한 파일명과 서비스 등록값을 가지고 있으며 특히 서버(Server) 파일을 비롯한 다수의 파일들은 NSIS 패킹으로 제작되어 있습니다.

 

[생성 가능 레지스트리 등록 정보]

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run

 - (8자리 영문+숫자) = C:\Windows\SysWOW64\csrss.exe(공란)(8자리 영문+숫자).exe

 - (8자리 영문+숫자) = C:\Windows\SysWOW64\dwm.exe(공란)(8자리 영문+숫자).exe

 - (8자리 영문+숫자) = C:\Windows\SysWOW64\msconfig.exe(공란)(8자리 영문+숫자).exe

 

※ 시작 프로그램 등록 파일은 "(시스템 파일명).exe ~ 긴 공란 처리 ~ (8자리 영문+숫자).exe" 파일 패턴입니다.

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\National***

 

또한 감염된 환경에서는 위와 같은 다양한 시작 프로그램 등록값과 백도어(Backdoor)에서 많이 사용하는 서비스 레지스트리 값을 확인할 수 있습니다.

  1. C:\Windows\SysWOW64\aiqiic.exe (SHA-1 : ad3fc637ac757d4a79211b65d4257f2fb54bea4b) - MSE : Trojan:Win32/Bagsu!rfn
  2. C:\Windows\SysWOW64\bsxxgc.exe (MD5 : E418D6B52BCE1DCB4470F240D0EE7E7D)
  3. C:\Windows\SysWOW64\ckqwks.exe (MD5 : F75FF895236E63E783172CF21A734DE1)
  4. C:\Windows\SysWOW64\dafhsk.exe (MD5 : 06BB0711FD12A026985B74EF51AAB4C7)
  5. C:\Windows\SysWOW64\fybvqa.exe (MD5 : 33DAE7A7AEA8683EB9673245B13B240A)
  6. C:\Windows\SysWOW64\imgkme.exe (MD5 : 3A0260BAAC43E5BD45DE048E71F92D07)
  7. C:\Windows\SysWOW64\jqxdbt.exe (MD5 : 532A395B587D96545135144444C4A01E)
  8. C:\Windows\SysWOW64\lgvhgy.exe (MD5 : BA671BEBB3A9127BF03F863B316B216F)
  9. C:\Windows\SysWOW64\mqiaqq.exe (MD5 : F3CAE5A86DC2975DE0289C535518F164)
  10. C:\Windows\SysWOW64\qqegiq.exe (MD5 : 10324E4B7F41EE6F6569FC501329A13A)
  11. C:\Windows\SysWOW64\qywcmg.exe (MD5 : 89CF4A9B26539212BC844B434FAADBFF)
  12. C:\Windows\SysWOW64\ugcecq.exe (MD5 : 848F85F5DE83DA4BA212D8848A48613A)

대표적으로 감염이 이루어진 사용자 PC의 프로세스 정보를 확인해보면 랜덤(Random)한 파일명으로 생성된 Microsoft 업체에서 제작한 것처럼 위장한 서버(Server) 파일 및 관련 악성 파일이 다수 설치되어 시스템 시작시 자동 실행되어 메모리에 상주하고 있는 것을 알 수 있습니다.

 

  • cdh0878.codns.com
  • qpzm471471.codns.com (103.43.122.65 / 183.90.139.158)
  • zmfkdltmxmapdltm4299.codns.com
  • zombiserver.codns.com (125.180.11.112)

해당 악성코드를 통해 확인 가능한 C&C 서버 및 생성된 서버 이름으로 유추해보면 국내인이 기존에 공개된 제작툴을 이용하여 유포하는 것으로 판단할 수 있으며, 수집된 정보를 기반으로 확인 가능한 변종 정보는 다음과 같습니다.

 

  1. SHA-1 : 0a53ddb3ebcfd05053add0ea91c2534342bd5177 - Hauri ViRobot : Trojan.Win32.S.Agent.864768.K[h]
  2. SHA-1 : 11bac6a87dceb178db31907914f23807434f55e6 - 알약(ALYac) : Dropped:Generic.ServStart.F607E0E6
  3. SHA-1 : 42a8c433f95d9f4f401459c8634e66d9ca120d2c - AhnLab V3 : Win32/Virut.F
  4. SHA-1 : 4b195dbf0f09655f033f5c960b499fde22d81046 - MSE : DDoS:Win32/Nitol.A
  5. SHA-1 : 55c4201914022eddde56561d906fc899a4cccb64 - Hauri ViRobot : Trojan.Win32.S.Agent.873472.M[h]
  6. SHA-1 : 5a85c9d8f8fb7c7bd21388232fee0dff1cf06322 - avast! : Win32:Malware-gen
  7. SHA-1 : 5dad70c677a3b28071004b017c1ddc7ccb9e76ae - MSE : Virus:Win32/Virut.BN
  8. SHA-1 : 5fb76f397a014cfd998cc1eba5b3488314eaad78 - AhnLab V3 : Trojan/Win32.Scar
  9. SHA-1 : 6061f38149618a1794eb9e4e2be58b3a7de24397 - MSE : Backdoor:Win32/Bezigate.B
  10. SHA-1 : 6ccb4d7ac9beab10146c74b3366beae47bd803d4 - nProtect : GenPack:Generic.ServStart.4A528000
  11. SHA-1 : 71bc79bfd96226a75d9513e63d4f44281040d286 - MSE : Trojan:Win32/Peals.B!gfc
  12. SHA-1 : 74eb65f1c2a1e67cf1666f64e596de659f36e2fb - AhnLab V3 : Win-Trojan/Scar.109568.U
  13. SHA-1 : 8a94d7500b60aed1292726f3e411915fcdb4c542 - Hauri ViRobot : Trojan.Win32.S.Agent.1726608[h]
  14. SHA-1 : 8d3f246d21885e01be42813160d525536bb1ed94 - MSE : DDoS:Win32/Nitol.B
  15. SHA-1 : a07f144391bfd58f2d62945f5d4f054c2e58e32e - AhnLab V3 : Trojan/Win32.MDA
  16. SHA-1 : b6775f282021e6e0011d24507fa0b51444af6ddc - Avira : TR/Dropper.Gen2
  17. SHA-1 : cfad3cdc75d9b3b040a64d17f00da5f4c4768466 - AhnLab V3 : Backdoor/Win32.RatTool
  18. SHA-1 : ed9892da841edc722eb1907e3875a75e3baffdb0 - AhnLab V3 : Backdoor/Win32.Nitol
  19. SHA-1 : f085a036b2a9f43e47759b3295b420fcbe9e8fda - Hauri ViRobot : Trojan.Win32.S.Agent.874496.AM[h]

 

위와 같은 다수의 악성코드 유포 등을 통해 바이러스(Virus) 감염을 통한 시스템 파괴, DDoS 공격, 원격 제어, 사용자 동의없는 파일 다운로드, 정보 유출 등의 악의적인 행위를 할 수 있습니다.

 

마지막으로 PC에서 의심스러운 소리가 들리는 경우에는 Runscanner 프로그램을 통한 메일 문의를 해주시기 바라며, 사용하시는 백신 프로그램으로 해결되지 않는 경우에는 Malware Zero Kit(MZK) 도구를 이용하여 검사해 보시기 바랍니다.

728x90
반응형
  • 안녕하세요, 맨 뒤 두번째 스크린샷의 블로거입니다.
    글 일단 간략히 읽어보니까 제가 배포중인 자료에 대해서 악성코드가 있다고 말하시던것 같으신데 저는 어떠한 경우도 의도적으로 바이러스를 배포하지 않습니다.

    그리고 볼륨 믹서도 직접 확인해보았으나 아무런 이상도 없었습니다.

    디지털서명은 단지 저자임을 확인하는 수단으로 활용할 뿐이며, 그 외에는 아무 의미도 없습니다.

    그리고 저는 네이버 블로그에서만 해당 자료를 배포하고 있으며, 티스토리나 다음은 통합설치기를 위한 다른 용도로 활용될 뿐(타이틀 이미지,모드 자료 받아오는 것), 네이버 블로그 이외에는 카페도 포함하여 해당 자료를 전혀 배포하지 않습니다.


    • Favicon of http://blog.naver.com/qoeodlf13 BlogIcon 퍼트 2015.06.30 16:20 댓글주소 수정/삭제

      추가로 디지털서명은 어떤 블로그에서 개인 디지털서명 가능한 게 있어서 위와 같은 용도로 한 것 뿐입니다.

      그리고 해당 악성코드 출처가 제 블로그에서 난 게 맞으신지 의문이네요.

      안그래도 요즘 파일이나 제 닉네임을 이용하여 악의적인 행위를 하시는분들도 많고 몇몇 분들은 바이러스가 있다면서 제 블로그에 와서 하소연하는 분들도 있더군요.

    • 게시하였던 블로그 관련 정보는 삭제하였습니다. 악성 파일 정보를 확인하는 과정에서 유포자가 운영하는 블로그를 악용하는 부분이 있는 것을 오해한 것 같습니다. 죄송합니다.

  • 그거참 ... 별게 다있군요 ㅎㅎ