최근 블로그 또는 P2P와 같은 신뢰할 수 없는 경로를 통해 게임 등의 프로그램을 다운로드하여 설치하는 과정에서 사용자 몰래 악성코드가 함께 설치되어 지속적으로 다양한 악성 파일을 다운로드하는 사례가 확인되어 수집된 감염 로그(Log) 정보를 기반으로 간단하게 살펴보도록 하겠습니다.
특히 감염된 PC 환경에서 지속적으로 "홍어.exe / 홍어_se.exe" 파일(알약(ALYac) : Gen:Variant.Kazy.735886) 또는 욕설이 포함된 실행 파일을 다운로드하는 특징을 가지고 있으며, 다수의 광고창 자동 생성 및 게임 방송을 진행하는 BJ 소리가 나는 증상이 발생한다는 정보도 있습니다.
일련의 행위를 기반으로 유추해보면 이전에 소개한 국내 백도어(Backdoor) 유포 조직이 다시 활동하는 것으로 보입니다.
해당 악성코드에 감염된 환경에서는 시스템 시작시 서비스 항목에 등록된 자동 실행값을 통해 마이크로소프트(Microsoft) 또는 시스템 관련 파일 등으로 위장한 악성 파일을 다수 실행하여 특정 C&C 서버와 통신을 시도하는 것으로 보입니다.
|
파일 경로 |
C:\Windows\SysWOW64\zupvqo.exe |
|
SHA-1 |
3dbeebc09792d634382f17579d9c2781de6f1542 |
|
진단명 |
Win32:ServStart-C [Trj] (avast!) |
|
제품 이름 |
Microsoft Server |
|
파일 설명 |
svchost |
|
레지스트리 등록값 |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Nationaltpy |
|
비고 |
서비스(Nationaltpy) 등록 파일, 메모리 상주 프로세스 |
대표적으로 확인된 악성 파일을 살펴보면 64비트 운영 체제 기준으로 "C:\Windows\SysWOW64\(6자리 영문 소문자).exe" 파일 패턴(※ 32비트 : C:\Windows\System32)으로 생성될 수 있으며, 시스템 시작시 Nationaltpy 서비스 항목을 등록하여 자동 실행 및 메모리에 상주하도록 구성되어 있습니다.
이를 통해 "tms01.codns.com (220.87.16.220)" C&C 서버와 통신을 통해 추가적인 악성 파일 다운로드, 원격 제어, DDoS 공격, 정보 유출과 같은 악의적인 기능을 수행하며, 확인된 추가적인 악성 파일 다운로드 사례는 다음과 같습니다.
- h**p://220.87.16.220/1223.exe
- h**p://220.87.16.220/1224.exe
- h**p://220.87.16.220/1224_se.exe
또한 해당 서버로부터 2015년 9월경부터 다운로드되었던 악성 파일 관련 정보는 다음과 같습니다.
- Server.exe (SHA-1 : 5a912a066821c68dfb12224c4080b0cf0c43b326) - AhnLab V3 : Spyware/Win32.Recam
- Server.exe (SHA-1 : 4bf75aadfb7ee93472f9f4a9a8b84a266b32c2d8) - Microsoft : Backdoor:Win32/Nosrawec.A
- s.exe (SHA-1 : 96e75225d1770ab345470a9169c4a5d8cc8ead06) - ALYac : Gen:Variant.Barys.712
- Service.exe (SHA-1 : aecf839777b486061de346050387d2c00fd1e809) - AhnLab V3 : Win-Trojan/Scar.109568.U
- Service.exe (SHA-1 : f2bd9ce1ebcde3d926bd247cdfb1f4154a2f8755) - ALYac : Generic.ServStart.47A018C3
- svchost.exe (SHA-1 : ece3ba31a9cc3067f53b42c26e42f0890398c2aa) - Kaspersky : Trojan-Spy.Win32.Agent.btsm
- wukyqs.exe (SHA-1 : 0b04de42e3343a8747b9efe40a19cfcd99cab40f) - Microsoft : TrojanDownloader:Win32/Yemrok.A
- myoqyc.exe (SHA-1 : b04488e24437ec9f7a8a730612503f86a424d1bb) - AhnLab V3 : Trojan/Win32.Nitol
감염된 PC 환경에서 발견된 다수의 유사 변종 정보는 다음과 같으며, 감염시마다 랜덤(Random)한 파일명과 서비스 등록값으로 인하여 사용자가 파일을 처리하기 매우 어려울 수 있습니다.
|
파일 경로 |
C:\Windows\SysWOW64\eeosec.exe |
|
MD5 |
C7E95C6B310B3902EC6ADC5C05E0AA7B |
|
제품 이름 |
Microsoft Server |
|
파일 설명 |
Server |
|
레지스트리 등록값 |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Svchostcocy |
|
비고 |
서비스(Svchostcocy) 등록 파일, 메모리 상주 프로세스 |
|
파일 경로 |
C:\Windows\SysWOW64\gkqske.exe |
|
MD5 |
03C1ED003CB67AB20E8FE4065A78F079 |
|
레지스트리 등록값 |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Nationalssi |
|
비고 |
서비스(Nationalssi) 등록 파일, 메모리 상주 프로세스 |
|
파일 경로 |
C:\Windows\SysWOW64\jahxas.exe |
|
MD5 |
27DF7070A9BB13CB83E0209F5116FC96 |
|
레지스트리 등록값 |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Nationalqeq |
|
비고 |
서비스(Nationalqeq) 등록 파일, 메모리 상주 프로세스 |
|
파일 경로 |
C:\Windows\SysWOW64\letdoo.exe |
|
MD5 |
A7172284115BC185A2F03871A7D922CE |
|
제품 이름 |
Microsoft Server |
|
파일 설명 |
Server |
|
레지스트리 등록값 |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Nationaloih |
|
비고 |
서비스(Nationaloih) 등록 파일, 메모리 상주 프로세스 |
|
파일 경로 |
C:\Windows\SysWOW64\lmzvsu.exe |
|
MD5 |
95DA7171DCE94D980A23F4CFE3000572 |
|
제품 이름 |
Microsoft Server |
|
파일 설명 |
Server |
|
레지스트리 등록값 |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Nationalnlp |
|
비고 |
서비스(Nationalnlp) 등록 파일, 메모리 상주 프로세스 |
|
파일 경로 |
C:\Windows\SysWOW64\nevpeu.exe |
|
MD5 |
23683043A2C92DD652BA95D38CA87DEF |
|
제품 이름 |
Microsoft Server |
|
파일 설명 |
svchost |
|
레지스트리 등록값 |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Nationalxhc |
|
비고 |
서비스(Nationalxhc) 등록 파일, 메모리 상주 프로세스 |
|
파일 경로 |
C:\Windows\SysWOW64\nevreo.exe |
|
MD5 |
2E9543F5B95022834DE842A67544A29E |
|
제품 이름 |
Microsoft Server |
|
파일 설명 |
svchost |
|
레지스트리 등록값 |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Nationalmiu |
|
비고 |
서비스(Nationalmiu) 등록 파일, 메모리 상주 프로세스 |
|
파일 경로 |
C:\Windows\SysWOW64\potpqs.exe |
|
MD5 |
03598A5CA448D2D342ED1C72B255DB28 |
|
제품 이름 |
Microsoft Server |
|
파일 설명 |
Server |
|
레지스트리 등록값 |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Nationaltha |
|
비고 |
서비스(Nationaltha) 등록 파일, 메모리 상주 프로세스 |
|
파일 경로 |
C:\Windows\SysWOW64\ugiyii.exe |
|
MD5 |
194D3AE28A714B28D920C7FFF81849C1 |
|
제품 이름 |
Microsoft Server |
|
파일 설명 |
Server |
|
레지스트리 등록값 |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Svchostchog |
|
비고 |
서비스(Svchostchog) 등록 파일, 메모리 상주 프로세스 |
|
파일 경로 |
C:\Windows\SysWOW64\xobpoi.exe |
|
MD5 |
A1D9B8C5B9B55C13E8078CA3447DC483 |
|
레지스트리 등록값 |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Nationalrxt |
|
비고 |
서비스(Nationalrxt) 등록 파일, 메모리 상주 프로세스 |
|
파일 경로 |
C:\Windows\SysWOW64\zcvnyu.exe |
|
MD5 |
F9387FA9E18B1C647879C8B5BF950643 |
|
제품 이름 |
Microsoft Server |
|
파일 설명 |
svchost |
|
레지스트리 등록값 |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Nationalwvy |
|
비고 |
서비스(Nationalwvy) 등록 파일, 메모리 상주 프로세스 |
|
파일 경로 |
C:\Windows\SysWOW64\zovfya.exe |
|
MD5 |
118E4F3722ECCA5F153CBBA829B977BC |
|
제품 이름 |
Microsoft Server |
|
파일 설명 |
svchost |
|
레지스트리 등록값 |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Nationaltre |
|
비고 |
서비스(Nationaltre) 등록 파일, 메모리 상주 프로세스 |
이처럼 다양한 파일명으로 악성 파일을 생성하므로 백신 프로그램으로 해결되지 않는 경우에는 Sysinternals Process Explorer, Sysinternals Autoruns 도구에서 제공하는 VirusTotal 검사 기능을 통해 점검을 해보시면 실행 중인 악성 파일을 매우 쉽게 확인이 가능합니다.
또한 실행 중인 프로세스는 Windows 작업 관리자의 "모든 사용자의 프로세스 표시" 항목에 체크한 후 프로세스를 찾아 종료 후 파일을 삭제하시기 바랍니다.
그 외 해당 악성코드 제거에 도움이 될 수 있는 MZK(Malware Zero Kit) 도구를 이용하여 검사를 해보시는 것도 권장하며, 만약 위와 같은 방식으로 해결되지 않는 경우에는 Runscanner 도구를 이용하여 이메일 문의를 해주시기 바랍니다.