울지않는벌새 : Security, Movie & Society

게임 방송 소리가 나오는 백도어(Backdoor) 악성코드 주의 (2015.6.30)

벌새::Analysis

2014년경부터 컴퓨터를 사용하는 과정에서 아프리카TV에서 게임 방송하는 목소리, 광고/음악/마우스 소리 등이 흘러나오는 증상에 대한 네이버 지식인 질문이 심심찮게 발견되고 있었습니다.

관련된 질문에 대해 처음에는 사용자 몰래 설치된 광고 프로그램으로 인한 문제로 의심하여 정보를 수집하고 있던 중 가장 신뢰할 수 있는 정보를 기반으로 추적을 해보았습니다.

사용자의 동작과는 무관하게 컴퓨터에서 소리가 발생하는 PC의 볼륨 믹서 정보를 확인해보면 사운드를 출력하는 MSN 메신저 아이콘으로 위장한 파일(syayy.exe, nflxf.exe) 또는 "사용할 수 없는 이름"이라는 항목으로 표시되는 특징이 있습니다.

 

그러던 중 최근 관련 증상으로 문의가 들어와서 수집된 로그(Log) 파일에서 다음과 같은 악성 파일을 발견할 수 있었습니다.(※ 이 글에서 표시한 파일 및 레지스트리 값은 모두 랜덤(Random)하게 생성되며, x64 비트 운영 체제 기준으로 설명합니다.)

 

파일 경로

 C:\Windows\SysWOW64\npmzfa.exe

SHA-1

 64f582a3e974cedb9d286fe30f2e9091076b13d9

진단명

 Trojan/Win32.Scar (AhnLab V3)

레지스트리

등록값

 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\daunawkm

비고

 서비스(daunawkm) 등록 파일, 메모리 상주 프로세스

 

파일 경로

 C:\Windows\SysWOW64\cgccwk.exe

MD5

 848F85F5DE83DA4BA212D8848A48613A

제품 이름

 Microsoft Server

파일 설명

 Server

레지스트리

등록값

 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Nationalyay

비고

 서비스(Nationalyay) 등록 파일, 메모리 상주 프로세스

  • x86 비트 운영 체제 : C:\Windows\System32 폴더 내에 생성
  • x64 비트 운영 체제 : C:\Windows\SysWOW64 폴더 내에 생성

해당 악성코드는 랜덤(Random)한 파일명과 서비스 등록값을 가지고 있으며 특히 서버(Server) 파일을 비롯한 다수의 파일들은 NSIS 패킹으로 제작되어 있습니다.

 

[생성 가능 레지스트리 등록 정보]

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
\Run

 - (8자리 영문+숫자) = C:\Windows\SysWOW64\csrss.exe(공란)(8자리 영문+숫자).exe

 - (8자리 영문+숫자) = C:\Windows\SysWOW64\dwm.exe(공란)(8자리 영문+숫자).exe

 - (8자리 영문+숫자) = C:\Windows\SysWOW64\msconfig.exe(공란)(8자리 영문+숫자).exe

 

※ 시작 프로그램 등록 파일은 "(시스템 파일명).exe ~ 긴 공란 처리 ~ (8자리 영문+숫자).exe" 파일 패턴입니다.

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\National***

 

또한 감염된 환경에서는 위와 같은 다양한 시작 프로그램 등록값과 백도어(Backdoor)에서 많이 사용하는 서비스 레지스트리 값을 확인할 수 있습니다.

  1. C:\Windows\SysWOW64\aiqiic.exe (SHA-1 : ad3fc637ac757d4a79211b65d4257f2fb54bea4b) - MSE : Trojan:Win32/Bagsu!rfn
  2. C:\Windows\SysWOW64\bsxxgc.exe (MD5 : E418D6B52BCE1DCB4470F240D0EE7E7D)
  3. C:\Windows\SysWOW64\ckqwks.exe (MD5 : F75FF895236E63E783172CF21A734DE1)
  4. C:\Windows\SysWOW64\dafhsk.exe (MD5 : 06BB0711FD12A026985B74EF51AAB4C7)
  5. C:\Windows\SysWOW64\fybvqa.exe (MD5 : 33DAE7A7AEA8683EB9673245B13B240A)
  6. C:\Windows\SysWOW64\imgkme.exe (MD5 : 3A0260BAAC43E5BD45DE048E71F92D07)
  7. C:\Windows\SysWOW64\jqxdbt.exe (MD5 : 532A395B587D96545135144444C4A01E)
  8. C:\Windows\SysWOW64\lgvhgy.exe (MD5 : BA671BEBB3A9127BF03F863B316B216F)
  9. C:\Windows\SysWOW64\mqiaqq.exe (MD5 : F3CAE5A86DC2975DE0289C535518F164)
  10. C:\Windows\SysWOW64\qqegiq.exe (MD5 : 10324E4B7F41EE6F6569FC501329A13A)
  11. C:\Windows\SysWOW64\qywcmg.exe (MD5 : 89CF4A9B26539212BC844B434FAADBFF)
  12. C:\Windows\SysWOW64\ugcecq.exe (MD5 : 848F85F5DE83DA4BA212D8848A48613A)

대표적으로 감염이 이루어진 사용자 PC의 프로세스 정보를 확인해보면 랜덤(Random)한 파일명으로 생성된 Microsoft 업체에서 제작한 것처럼 위장한 서버(Server) 파일 및 관련 악성 파일이 다수 설치되어 시스템 시작시 자동 실행되어 메모리에 상주하고 있는 것을 알 수 있습니다.

  • cdh0878.codns.com
  • qpzm471471.codns.com (103.43.122.65 / 183.90.139.158)
  • zmfkdltmxmapdltm4299.codns.com
  • zombiserver.codns.com (125.180.11.112)

해당 악성코드를 통해 확인 가능한 C&C 서버 및 생성된 서버 이름으로 유추해보면 국내인이 기존에 공개된 제작툴을 이용하여 유포하는 것으로 판단할 수 있으며, 수집된 정보를 기반으로 확인 가능한 변종 정보는 다음과 같습니다.

  1. SHA-1 : 0a53ddb3ebcfd05053add0ea91c2534342bd5177 - Hauri ViRobot : Trojan.Win32.S.Agent.864768.K[h]
  2. SHA-1 : 11bac6a87dceb178db31907914f23807434f55e6 - 알약(ALYac) : Dropped:Generic.ServStart.F607E0E6
  3. SHA-1 : 42a8c433f95d9f4f401459c8634e66d9ca120d2c - AhnLab V3 : Win32/Virut.F
  4. SHA-1 : 4b195dbf0f09655f033f5c960b499fde22d81046 - MSE : DDoS:Win32/Nitol.A
  5. SHA-1 : 55c4201914022eddde56561d906fc899a4cccb64 - Hauri ViRobot : Trojan.Win32.S.Agent.873472.M[h]
  6. SHA-1 : 5a85c9d8f8fb7c7bd21388232fee0dff1cf06322 - avast! : Win32:Malware-gen
  7. SHA-1 : 5dad70c677a3b28071004b017c1ddc7ccb9e76ae - MSE : Virus:Win32/Virut.BN
  8. SHA-1 : 5fb76f397a014cfd998cc1eba5b3488314eaad78 - AhnLab V3 : Trojan/Win32.Scar
  9. SHA-1 : 6061f38149618a1794eb9e4e2be58b3a7de24397 - MSE : Backdoor:Win32/Bezigate.B
  10. SHA-1 : 6ccb4d7ac9beab10146c74b3366beae47bd803d4 - nProtect : GenPack:Generic.ServStart.4A528000
  11. SHA-1 : 71bc79bfd96226a75d9513e63d4f44281040d286 - MSE : Trojan:Win32/Peals.B!gfc
  12. SHA-1 : 74eb65f1c2a1e67cf1666f64e596de659f36e2fb - AhnLab V3 : Win-Trojan/Scar.109568.U
  13. SHA-1 : 8a94d7500b60aed1292726f3e411915fcdb4c542 - Hauri ViRobot : Trojan.Win32.S.Agent.1726608[h]
  14. SHA-1 : 8d3f246d21885e01be42813160d525536bb1ed94 - MSE : DDoS:Win32/Nitol.B
  15. SHA-1 : a07f144391bfd58f2d62945f5d4f054c2e58e32e - AhnLab V3 : Trojan/Win32.MDA
  16. SHA-1 : b6775f282021e6e0011d24507fa0b51444af6ddc - Avira : TR/Dropper.Gen2
  17. SHA-1 : cfad3cdc75d9b3b040a64d17f00da5f4c4768466 - AhnLab V3 : Backdoor/Win32.RatTool
  18. SHA-1 : ed9892da841edc722eb1907e3875a75e3baffdb0 - AhnLab V3 : Backdoor/Win32.Nitol
  19. SHA-1 : f085a036b2a9f43e47759b3295b420fcbe9e8fda - Hauri ViRobot : Trojan.Win32.S.Agent.874496.AM[h]

위와 같은 다수의 악성코드 유포 등을 통해 바이러스(Virus) 감염을 통한 시스템 파괴, DDoS 공격, 원격 제어, 사용자 동의없는 파일 다운로드, 정보 유출 등의 악의적인 행위를 할 수 있습니다.

 

마지막으로 PC에서 의심스러운 소리가 들리는 경우에는 Runscanner 프로그램을 통한 메일 문의를 해주시기 바라며, 사용하시는 백신 프로그램으로 해결되지 않는 경우에는 Malware Zero Kit(MZK) 도구를 이용하여 검사해 보시기 바랍니다.