2015년 7월 초부터 발견되고 있는 아프리카TV(afreecaTV) 아이콘을 이용하는 악성 프로그램 유포에 대해 살펴보도록 하겠습니다.(※ 관련 정보를 제공해주신 Ec0nomist님에게 감사드립니다. )
해당 유포 조직은 기존에 시스템 트레이 알림 아이콘 상단에 핫뉴스 광고바를 생성하는 myPopup 악성 프로그램을 유포한 적이 있으며, 당시에는 광고 문구를 클릭할 경우 네이버(Naver) 블로그 검색으로 연결되는 의미없는 동작이 있었습니다.
하지만 이번에 추가적으로 확인된 악성 프로그램을 통해 유추할 수 있는 일련의 악성 프로그램은 아프리카TV(afreecaTV) 서비스를 악용하여 불법 도박 홍보와 밀접한 관계가 있는 정황 증거가 발견되고 있습니다.
기존과 마찬가지로 제휴 프로그램을 통해 유포가 이루어졌던 것으로 추정되며, 일본(Japan)에 위치한 특정 FTP 서버에서 RARSFX 실행 압축 파일<SHA-1 : 590c5728e82cf9b2aa3f1649d8f293942bf620c7 - Kaspersky : Trojan-Dropper.Win32.Sysn.baqq (VT : 32/55)>을 다운로드하여 wupdate 악성 프로그램을 설치합니다.
참고로 설치된 wupdate 악성 프로그램은 추가적으로 WindowsMediaPIayer.exe 파일(SHA-1 : 750de5a3061752b3f8e3461a5c0152b053a6fb66)을 다운로드하여 함께 설치가 이루어집니다.
C:\Program Files\wUpdate
C:\Program Files\wUpdate\Uninstall.exe :: wupdate 프로그램 삭제 파일
C:\Program Files\wUpdate\WindowsUpdate.ico
C:\Program Files\wUpdate\WindowsUpdater.exe :: 시작 프로그램(WUpdate) 등록 파일
C:\Program Files\WindowsMediaPIayer.exe :: 시작 프로그램(WindowsMediaPIayer) 등록 파일, 메모리 상주 프로세스
C:\Program Files\wUpdate\WindowsUpdater.exe
- SHA-1 : 1fa5562aeda0e9d847b1e4853077e70c15bdc9e0
- 알약(ALYac) : Trojan.GenericKD.2571101 (VT : 31/55)
해당 악성 프로그램은 "C:\Program Files" 폴더와 "C:\Program Files\wUpdate" 폴더에 아프리카TV(afreecaTV) 파일 아이콘으로 제작된 파일을 생성합니다.
- 시작 프로그램(WindowsMediaPIayer) : C:\Program Files\WindowsMediaPIayer.exe
- 시작 프로그램(WUpdate) : C:\Program Files\wupdate\WindowsUpdate.exe
Windows 시작시 WindowsMediaPIayer, WUpdate 2종의 시작 프로그램 등록값을 통해 파일을 자동 실행하도록 구성되어 있습니다.
1. "C:\Program Files\wUpdate\WindowsUpdater.exe" 파일 정보
Windows 시작시 WUpdate 시작 프로그램 등록값을 통해 자동 실행된 "C:\Program Files\wUpdate\WindowsUpdater.exe" 파일은 wupdate 프로그램 등록 정보를 체크하며, 만약 "C:\Program Files\WindowsMediaPIayer.exe" 파일이 삭제된 경우 일본(Japan)에 위치한 "210.140.138.172:21" IP 서버와 통신을 통해 자동으로 다운로드하여 재설치하는 업데이트 기능을 수행한 후 자동 종료합니다.
2. "C:\Program Files\WindowsMediaPIayer.exe" 파일 정보
Windows 시작시 WindowsMediaPIayer 시작 프로그램 등록값을 통해 자동 실행된 "C:\Program Files\WindowsMediaPIayer.exe" 파일은 특정 IP 서버에서 암호화된 정보를 체크한 후 메모리에 상주합니다.
테스트에서는 확인되지 않았지만 특정 시점에서는 시스템 트레이 알림 아이콘 상단에 myPopup 프로그램처럼 광고바 생성을 통해 클릭을 유도할 수 있을 것으로 추정됩니다.
실행된 WindowsMediaPIayer.exe 파일은 2분 30초가 경과하면 CPU 사용량이 50% 수준까지 치솟은 상태로 유지가 이루어집니다.
WindowsMediaPIayer.exe 파일을 확인하던 과정에서 발견된 흥미로운 점은 특정 아프리카TV(afreecaTV) 방송국 계정으로 연결이 이루어질 수 있다는 점입니다.
위와 같은 일련의 프로그램 구조를 기반으로 유추해보면 특정 시점에서 광고바를 통해 불법 도박 홍보 문구가 표시되어 사용자가 광고 문구를 클릭할 경우 아프리카TV(afreecaTV) 특정 계정에서 방송하는 영상으로 연결될 수 있지 않을까 의심이 됩니다.
그렇다면 불법 도박으로 단정짓는 이유의 근거로는 해당 유포 조직의 서버를 확인해보면 Afreeca0Controller.exe, Afreeca0Server.exe, Bet188.dat 등의 파일에서 도박과 관련된 증거가 발견되고 있기 때문입니다.
그러므로 myPopup, wupdate 프로그램은 홍보 목적으로 제작된 프로그램이며, 이들 조직과 연관된 해외에 위치한 특정 도박 사이트와 연계된 것이 아닌가 의심이 되고 있습니다.
■ wupdate 악성 프로그램 삭제 방법
해당 프로그램은 기본적으로 제어판에 wupdate 삭제 항목을 통해 프로그램을 삭제할 수 있도록 지원하고 있지만, 해당 기능은 가짜 삭제 파일이므로 프로그램 목록만 제거할 뿐 파일 삭제가 이루어지지 않고 있습니다.
(a) Windows 작업 관리자를 실행하여 메모리에 상주하는 WindowsMediaPIayer.exe 프로세스를 찾아 종료하시기 바랍니다.
(b) 다음의 폴더(파일)를 찾아 삭제하시기 바랍니다.
- C:\Program Files\wUpdate
- C:\Program Files\WindowsMediaPIayer.exe
(c) 레지스트리 편집기(regedit)를 실행하여 다음의 레지스트리 값을 찾아 삭제하시기 바랍니다.
- WindowsMediaPIayer = C:\Program Files\WindowsMediaPIayer.exe
- WUpdate = C:\Program Files\wupdate\WindowsUpdate.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\wupdate
wupdate 악성 프로그램은 의외로 많은 PC에 설치된 것으로 보이며, 제어판에서 삭제가 이루어지지 않고 있으므로 지속적으로 동작할 수 있으므로 평소 광고 프로그램이 설치되는 PC에서는 반드시 점검해 보시기 바랍니다.