2014년 9월경부터 현재까지 "raten.cafe24.com / tens.cafe24.com" 웹 서버를 통해 상업적 검색 키워드를 이용하여 네이버(Naver) 포털 검색 서비스를 어뷰징하는 악성코드 유포 행위에 대해 살펴보도록 하겠습니다.
현재 인터넷 상에 공개된 실제 감염 PC 상태를 단적으로 보여주는 내용을 종합하여 한 장으로 압축해보면 Windows 시작시 "C:\Program Files (x64)\Microsoft.NET\rqsvz.exe" 악성 파일이 자동 실행되어 기능을 수행하다가, 주기적으로 새로운 변종을 서버에서 다운로드하여 "C:\Program Files (x64)\Microsoft.NET\mqsvz.exe" 파일로 변경하는 것으로 추정합니다.
- 32비트 : C:\Program Files\Microsoft.NET
- 64비트 : C:\Program Files (x64)\Microsoft.NET
어떤 유포 방식으로 해당 악성코드 감염을 유발하는지 모르지만, 이 글에서는 현재 유포가 이루어지고 있는 mqsvz.exe 악성 파일<SHA-1 : f2dde3459e1add277299b3646f4db7a8a0f9c0b6 - 알약(ALYac) : Gen:Variant.Strictor.85285 (VT : 20/55)>을 이용하여 기능을 살펴보도록 하겠습니다.
해당 악성코드는 정상적인 PC 환경에서도 존재할 수 있는 "C:\Program Files\Microsoft.NET" 폴더 내에 파일을 생성하고 있으며, 변종에 따라서는 다양한 파일명이 발견되고 있습니다.
이를 통해 Windows 시작시 확인되지 않은 자동 실행값을 통해 실행된 "C:\Program Files\Microsoft.NET\mqsvz.exe" 파일은 특정 서버에서 구성값을 다운로드합니다.
- h**p://tens.cafe24.com/*****/save2.ini
- h**p://tens.cafe24.com/*****/save21.ini
- h**p://tens.cafe24.com/*****/save31.ini
참고로 해당 악성 파일은 "tens.cafe24.com" 서버에 등록된 3개의 구성값을 체크 가능합니다.
위와 같은 구성값 정보는 "C:\Users\(사용자 계정)\AppData\Local\Temp\1.dll" 파일로 저장되며 이후 3분이 경과하면 화면상에는 표시되지 않는 네이버(Naver) 검색 서비스에 접근하는 행위를 확인할 수 있습니다.
실행된 mqsvz.exe 악성 파일은 지속적으로 60개의 검색 키워드 값에 대한 인터넷 검색을 통해 네이버(Naver) 검색 순위를 올리는 행위를 수행할 것으로 판단됩니다.
해당 악성코드 제작자에 대한 유포 이력을 추적해보면 2014년 9월경부터 본격적으로 활동한 것으로 보이며, 지속적인 변종을 통해 백신 프로그램의 진단을 우회하려고 노력하고 있습니다.
- mqsvz.exe (2015년 4월 13일) :: SHA-1 : 66784b3dde80c7fa5f940a0ec8c5f9aa175f3488 - AhnLab V3 : Trojan/Win32.GrayBird
- ?????.exe (2015년 3월 20일) :: SHA-1 : ca9f7c6662a1d52372f568e3b509e7fa267cb3eb - AhnLab V3 : Downloader/Win32.Korad
- ?????.exe (2015년 3월 19일) :: SHA-1 : fbf753b840b69768e335b31c8443088110aa6292 - AhnLab V3 : Trojan/Win32.Dropper
- ?????.exe (2015년 3월 19일) :: SHA-1 : ed7c555f3b150ddd908d7110e446e3113db09cd8 - AhnLab V3 : Trojan/Win32.Dropper
- mbsvz.exe (2015년 3월 18일) :: SHA-1 : 5fb5937135176b7d637ac3686cfc10f624584659 - avast! : Win32:Malware-gen
- maqsvz.exe (2015년 3월 17일) :: SHA-1 : 6f564e01375ec5105c6ef1fd53460aed8b61bb52 - avast! : Win32:Malware-gen
- ?????.exe (2015년 3월 17일) :: SHA-1 : a5fc7eb7ff8a4ae74a6b4cb1c2b7765bf24ac6d4 - AhnLab V3 : Trojan/Win32.Dropper
- ?????.exe (2015년 3월 14일) :: SHA-1 : 2d57c045ad5c3247c34e523169df00c38dbd0c82 - avast! : Win32:Evo-gen [Susp]
- shiftz.exe (2015년 3월 8일) :: SHA-1 : 2ed3e87a4a843c4b2fdfdd494e01906ef144a2d0 - AhnLab V3 : Downloader/Win32.Korad
- ?????.exe (2015년 3월 8일) :: SHA-1 : f1d8a67db57e6f23c53c317c4f5f32e72c5e64cb - AhnLab V3 : Trojan/Win32.Dropper
- scrollz.exe (2015년 3월 6일) :: SHA-1 : 73481c860698fb2a7f7cdb9b75715d4ae80f1e4e - AhnLab V3 : Downloader/Win32.Korad
- ?????.exe (2015년 3월 5일) :: SHA-1 : 0a9d873111edddd3b194cc77eb9e2a3025193211 - nProtect : Trojan/W32.Agent.354304.FE
- scrollz.exe (2015년 3월 3일) :: SHA-1 : a6439e540de3d3c9a927df9f1a266d7da97385ed - avast! : Win32:Evo-gen [Susp]
- ?????.exe (2015년 3월 2일) :: SHA-1 : b8c631a3376546324892c3a6e1aa28c60b5eba83 - McAfee : RDN/Generic Dropper!wa
- shiftz.exe (2015년 3월 1일) :: SHA-1 : ab2e3ba680f1a15c34cd0d4061030a1699728672 - Avira : TR/Symmi.354304.12
- smart.exe (2015년 2월 14일) :: SHA-1 : 89b0c84c877563900fb4d85d628552d71c34b67f - avast! : Win32:Malware-gen
- javaz.exe (2015년 2월 12일) :: SHA-1 : 0dafb01baeb1c5413485ec5ab770019e6b3f97a5 - 알약(ALYac) : Trojan.GenericKD.2193807
- nvsvz.exe (2015년 2월 12일) :: SHA-1 : 604fffaedabdfa2f3015ec1e4c29dfc77b0e9a89 - AhnLab V3 : Trojan/Win32.Dropper
- cppz.exe (2015년 2월 11일) :: SHA-1 : 84b5b191e6b021f22bf46dc056cf6846e16b65d9 - Hauri ViRobot : Dropper.S.Agent.354304.C[h]
- ?????.exe (2015년 2월 8일) :: SHA-1 : cd796faa64fbc0f35ff87eb25f5d1c350cea6ae5 - avast! : Win32:Evo-gen [Susp]
- greenz.exe (2015년 2월 7일) :: SHA-1 : c9e031845a0870655f3ee1826d6f039bf47c42e3 - AhnLab V3 : Trojan/Win32.Dropper
- csrsz.exe (2015년 1월 28일) :: SHA-1 : 5f3bd74ed06ea4d73b17703b78780420da0d0594 - Kaspersky : UDS:DangerousObject.Multi.Generic
- piaz.exe (2015년 1월 19일) :: SHA-1 : f06ec8acb5d8a9fed7b5819967b9f4d28452dfcd - 알약(ALYac) : Gen:Variant.Strictor.75103
- crotz.exe (2015년 1월 17일) :: SHA-1 : 9d7260ee8331ba35473561ffa70af836803c9936 - McAfee : Artemis!D70FDE1E7CD9
- smslz.exe (2015년 1월 14일) :: SHA-1 : 4a385a3ada521e8b906751cc088673da1253ac73 - McAfee : Artemis!727C074A66E7
- nxpez.exe (2015년 1월 9일) :: SHA-1 : 5ba6823f1a32f4e2f3e05b32213212fa7c0ad3b9 - Norton : Trojan Horse
- vmwrz.exe (2015년 1월 8일) :: SHA-1 : c0b86e9bd36d365c884ffcb354bca2f5614ce085 - Norton : Trojan Horse
- oniaz.exe (2015년 1월 2일) :: SHA-1 : 6b9f2f3cb5a52caa6f61bc1dbf0f9998adea209a - BitDefender : Gen:Variant.Symmi.46799
- ?????.exe (2014년 12월 17일) :: SHA-1 : e94b26cbac407a2b1e73d4a900e4457a1f3551f9 - Hauri ViRobot : Trojan.Win32.Downloader.824320.A[h]
- ?????.exe (2014년 12월 7일) :: SHA-1 : 1fb2e59976b66fc6ee9fa9fc02a326d9b474c921 - AhnLab V3 : Trojan/Win32.Dropper
- apliz.exe (2014년 11월 30일) :: SHA-1 : 56a2b90a0448c4246095ba6eeb1e664742cfedf0 - AhnLab V3 : Trojan/Win32.Dropper
- copaz.exe (2014년 11월 28일) :: SHA-1 : 2d00d6f7f2ee01a03a191ce821726cbba5017c87 - Trend Micro : ADW_KRADDARE
- ?????.exe (2014년 11월 27일) :: SHA-1 : 43180d31a10e9a4a0f7b60685518974322b4c1bb - AhnLab V3 : Trojan/Win32.Dropper
- armsz.exe (2014년 11월 25일) :: SHA-1 : 97b1a8da5efa81c51a4a83075c0cb3635315b30e - McAfee : RDN/Generic Dropper!vs
- ?????.exe (2014년 11월 18일) :: SHA-1 : 698c8220e48bb70d5b63b1bdcfe838f1bd9ded2e - Hauri ViRobot : Trojan.Win32.Downloader.824320.A[h]
- ?????.exe (2014년 11월 16일) :: SHA-1 : 61779d536d1c0daa1007e5e01c74acbdf2e1f5f8 - BitDefender : Gen:Variant.Symmi.46799
- ?????.exe (2014년 11월 16일) :: SHA-1 : 90e5bbfcb0d4b5b2b76ec1f1766b5d83a4fa2879 - AhnLab V3 : Trojan/Win32.Dropper
- ?????.exe (2014년 11월 15일) :: SHA-1 : ee1735f4962e0837fbd58ab13daf5a25fe662afc - AhnLab V3 : Trojan/Win32.Dropper
- ?????.exe (2014년 11월 15일) :: SHA-1 : ebb0f33526a3ddaf1a33b3f7122f669369d56561 - AhnLab V3 : Trojan/Win32.Dropper
- ?????.exe (2014년 11월 14일) :: SHA-1 : ffc0176b7a057f7ff9ebf717d07e6c020cee100d - AhnLab V3 : Trojan/Win32.Dropper
- ?????.exe (2014년 11월 12일) :: SHA-1 : 6610ccee98f5de9782468e104f5f4627030e3ca6 - AhnLab V3 : Trojan/Win32.Dropper
- armsz.exe (2014년 11월 12일) :: SHA-1 : cc63263e6dc8c620fdc92abc08793ec4f83826bb - AhnLab V3 : Trojan/Win32.Dropper
- ?????.exe (2014년 11월 11일) :: SHA-1 : 7a8ac555c5d07d1485317bc6fbfc515482e906d2 - AhnLab V3 : Trojan/Win32.Dropper
- ?????.exe (2014년 11월 10일) :: SHA-1 : 26fc0e90289175e8c2f07436a06b01aca22917b1 - AhnLab V3 : Trojan/Win32.Dropper
- ?????.exe (2014년 11월 10일) :: SHA-1 : 2a9624553300c67e552415adf165bfa6a7ea761f - AhnLab V3 : Trojan/Win32.Dropper
- ?????.exe (2014년 11월 10일) :: SHA-1 : 6f75e52593b0494cf638ccd01997b1c505a36ecb - AhnLab V3 : Trojan/Win32.Dropper
- ?????.exe (2014년 11월 9일) :: SHA-1 : 98d3f296ddb738947684fdf130da9b5979ad9a9f - AhnLab V3 : Trojan/Win32.Dropper
- ?????.exe (2014년 11월 9일) :: SHA-1 : 003a3ade73626228bf155c5e624c13dbb1e59efa - AhnLab V3 : Trojan/Win32.Dropper
- ?????.exe (2014년 11월 8일) :: SHA-1 : 5421724e328f5e51dcdd58d14c0c3ff16001c161 - AhnLab V3 : Trojan/Win32.Dropper
- ?????.exe (2014년 11월 5일) :: SHA-1 : ce8cfbae0dbb49dab797ab8c8c3126ef33fa57ef - AhnLab V3 : Trojan/Win32.Dropper
- systree.exe (2014년 10월 29일) :: SHA-1 : 9bcf8bb3b28445162c94a39507e5f5b8e94f1329 - AhnLab V3 : Trojan/Win32.Agent
- ?????.exe (2014년 10월 27일) :: SHA-1 : 226d0055f3ec511fbd9a3dedbd86310b438c7bc1 - Avira : TR/Symmi.354304.1
- armsz.exe (2014년 10월 23일) :: SHA-1 : 64259b2fb0223f2e6551225f67b1f1149b2acefb - Hauri ViRobot : Adware.Agent.354304.C
- mqsvz.exe (2014년 10월 22일) :: SHA-1 : b68ca84d3aafebe5865e6da61ce5fe3998a919e0 - BitDefender : Trojan.GenericKD.1938697
- ?????.exe (2014년 10월 19일) :: SHA-1 : 7f4e30679236a92ee44be73893a0abd7889e5fe5 - Hauri ViRobot : Trojan.Win32.Downloader.824320.A
- ?????.exe (2014년 10월 16일) :: SHA-1 : df33520eccce40efd11e329f77514dc954844d0c - AhnLab V3 : Trojan/Win32.Agent
- ?????.exe (2014년 10월 13일) :: SHA-1 : 870fac2708ed5ef0eafbedea056a084fd3619e50 - BitDefender : Gen:Variant.Symmi.46799
- cormz.exe (2014년 10월 11일) :: SHA-1 : fc4e502eabc60dc4c55c8d9f9da00f1c7f0c1b26 - AhnLab V3 : Trojan/Win32.Agent
- cormz.exe (2014년 9월 29일) :: SHA-1 : 6e26fcb6f5d54a3839cc2b430b1d3e3f51b8572f - AhnLab V3 : Trojan/Win32.Dropper
그러므로 사용자 몰래 인터넷 검색 활동을 수행하는 악성코드로 인하여 불필요한 트래픽 유발을 통한 시스템 성능 저하을 유발할 수 있는 악성코드에 감염되지 않도록 "raten.cafe24.com / tens.cafe24.com" URL 주소를 차단값에 넣으시기 바랍니다.