울지않는벌새 : Security, Movie & Society

홍어.exe 악성 파일을 다운로드 시도하는 국내 백도어(Backdoor) 주의 (2015.10.4)

벌새::Analysis

최근 블로그 또는 P2P와 같은 신뢰할 수 없는 경로를 통해 게임 등의 프로그램을 다운로드하여 설치하는 과정에서 사용자 몰래 악성코드가 함께 설치되어 지속적으로 다양한 악성 파일을 다운로드하는 사례가 확인되어 수집된 감염 로그(Log) 정보를 기반으로 간단하게 살펴보도록 하겠습니다.

특히 감염된 PC 환경에서 지속적으로 "홍어.exe / 홍어_se.exe" 파일(알약(ALYac) : Gen:Variant.Kazy.735886) 또는 욕설이 포함된 실행 파일을 다운로드하는 특징을 가지고 있으며, 다수의 광고창 자동 생성 및 게임 방송을 진행하는 BJ 소리가 나는 증상이 발생한다는 정보도 있습니다.

일련의 행위를 기반으로 유추해보면 이전에 소개한 국내 백도어(Backdoor) 유포 조직이 다시 활동하는 것으로 보입니다.

해당 악성코드에 감염된 환경에서는 시스템 시작시 서비스 항목에 등록된 자동 실행값을 통해 마이크로소프트(Microsoft) 또는 시스템 관련 파일 등으로 위장한 악성 파일을 다수 실행하여 특정 C&C 서버와 통신을 시도하는 것으로 보입니다.

 

파일 경로

 C:\Windows\SysWOW64\zupvqo.exe

SHA-1

 3dbeebc09792d634382f17579d9c2781de6f1542

진단명

 Win32:ServStart-C [Trj] (avast!)

제품 이름

 Microsoft Server

파일 설명

 svchost

레지스트리

등록값

 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Nationaltpy

비고

 서비스(Nationaltpy) 등록 파일, 메모리 상주 프로세스

 

대표적으로 확인된 악성 파일을 살펴보면 64비트 운영 체제 기준으로 "C:\Windows\SysWOW64\(6자리 영문 소문자).exe" 파일 패턴(※ 32비트 : C:\Windows\System32)으로 생성될 수 있으며, 시스템 시작시 Nationaltpy 서비스 항목을 등록하여 자동 실행 및 메모리에 상주하도록 구성되어 있습니다.

 

이를 통해 "tms01.codns.com (220.87.16.220)" C&C 서버와 통신을 통해 추가적인 악성 파일 다운로드, 원격 제어, DDoS 공격, 정보 유출과 같은 악의적인 기능을 수행하며, 확인된 추가적인 악성 파일 다운로드 사례는 다음과 같습니다.

  • h**p://220.87.16.220/1223.exe
  • h**p://220.87.16.220/1224.exe
  • h**p://220.87.16.220/1224_se.exe

또한 해당 서버로부터 2015년 9월경부터 다운로드되었던 악성 파일 관련 정보는 다음과 같습니다.

  1. Server.exe (SHA-1 : 5a912a066821c68dfb12224c4080b0cf0c43b326) - AhnLab V3 : Spyware/Win32.Recam
  2. Server.exe (SHA-1 : 4bf75aadfb7ee93472f9f4a9a8b84a266b32c2d8) - Microsoft : Backdoor:Win32/Nosrawec.A
  3. s.exe (SHA-1 : 96e75225d1770ab345470a9169c4a5d8cc8ead06) - ALYac : Gen:Variant.Barys.712
  4. Service.exe (SHA-1 : aecf839777b486061de346050387d2c00fd1e809) - AhnLab V3 : Win-Trojan/Scar.109568.U
  5. Service.exe (SHA-1 : f2bd9ce1ebcde3d926bd247cdfb1f4154a2f8755) - ALYac : Generic.ServStart.47A018C3
  6. svchost.exe (SHA-1 : ece3ba31a9cc3067f53b42c26e42f0890398c2aa) - Kaspersky : Trojan-Spy.Win32.Agent.btsm
  7. wukyqs.exe (SHA-1 : 0b04de42e3343a8747b9efe40a19cfcd99cab40f) - Microsoft : TrojanDownloader:Win32/Yemrok.A
  8. myoqyc.exe (SHA-1 : b04488e24437ec9f7a8a730612503f86a424d1bb) - AhnLab V3 : Trojan/Win32.Nitol

감염된 PC 환경에서 발견된 다수의 유사 변종 정보는 다음과 같으며, 감염시마다 랜덤(Random)한 파일명과 서비스 등록값으로 인하여 사용자가 파일을 처리하기 매우 어려울 수 있습니다.

 

파일 경로

 C:\Windows\SysWOW64\eeosec.exe

MD5

 C7E95C6B310B3902EC6ADC5C05E0AA7B

제품 이름

 Microsoft Server

파일 설명

 Server

레지스트리

등록값

 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Svchostcocy

비고

 서비스(Svchostcocy) 등록 파일, 메모리 상주 프로세스

 

파일 경로

 C:\Windows\SysWOW64\gkqske.exe

MD5

 03C1ED003CB67AB20E8FE4065A78F079

레지스트리

등록값

 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Nationalssi

비고

 서비스(Nationalssi) 등록 파일, 메모리 상주 프로세스

 

파일 경로

 C:\Windows\SysWOW64\jahxas.exe

MD5

 27DF7070A9BB13CB83E0209F5116FC96

레지스트리

등록값

 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Nationalqeq

비고

 서비스(Nationalqeq) 등록 파일, 메모리 상주 프로세스

 

파일 경로

 C:\Windows\SysWOW64\letdoo.exe

MD5

 A7172284115BC185A2F03871A7D922CE

제품 이름

 Microsoft Server

파일 설명

 Server

레지스트리

등록값

 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Nationaloih

비고

 서비스(Nationaloih) 등록 파일, 메모리 상주 프로세스

 

파일 경로

 C:\Windows\SysWOW64\lmzvsu.exe

MD5

 95DA7171DCE94D980A23F4CFE3000572

제품 이름

 Microsoft Server

파일 설명

 Server

레지스트리

등록값

 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Nationalnlp

비고

 서비스(Nationalnlp) 등록 파일, 메모리 상주 프로세스

 

파일 경로

 C:\Windows\SysWOW64\nevpeu.exe

MD5

 23683043A2C92DD652BA95D38CA87DEF

제품 이름

 Microsoft Server

파일 설명

 svchost

레지스트리

등록값

 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Nationalxhc

비고

 서비스(Nationalxhc) 등록 파일, 메모리 상주 프로세스

 

파일 경로

 C:\Windows\SysWOW64\nevreo.exe

MD5

 2E9543F5B95022834DE842A67544A29E

제품 이름

 Microsoft Server

파일 설명

 svchost

레지스트리

등록값

 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Nationalmiu

비고

 서비스(Nationalmiu) 등록 파일, 메모리 상주 프로세스

 

파일 경로

 C:\Windows\SysWOW64\potpqs.exe

MD5

 03598A5CA448D2D342ED1C72B255DB28

제품 이름

 Microsoft Server

파일 설명

 Server

레지스트리

등록값

 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Nationaltha

비고

 서비스(Nationaltha) 등록 파일, 메모리 상주 프로세스

 

파일 경로

 C:\Windows\SysWOW64\ugiyii.exe

MD5

 194D3AE28A714B28D920C7FFF81849C1

제품 이름

 Microsoft Server

파일 설명

 Server

레지스트리

등록값

 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Svchostchog

비고

 서비스(Svchostchog) 등록 파일, 메모리 상주 프로세스

 

파일 경로

 C:\Windows\SysWOW64\xobpoi.exe

MD5

 A1D9B8C5B9B55C13E8078CA3447DC483

레지스트리

등록값

 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Nationalrxt

비고

 서비스(Nationalrxt) 등록 파일, 메모리 상주 프로세스

 

파일 경로

 C:\Windows\SysWOW64\zcvnyu.exe

MD5

 F9387FA9E18B1C647879C8B5BF950643

제품 이름

 Microsoft Server

파일 설명

 svchost

레지스트리

등록값

 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Nationalwvy

비고

 서비스(Nationalwvy) 등록 파일, 메모리 상주 프로세스

 

파일 경로

 C:\Windows\SysWOW64\zovfya.exe

MD5

 118E4F3722ECCA5F153CBBA829B977BC

제품 이름

 Microsoft Server

파일 설명

 svchost

레지스트리

등록값

 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Nationaltre

비고

 서비스(Nationaltre) 등록 파일, 메모리 상주 프로세스

이처럼 다양한 파일명으로 악성 파일을 생성하므로 백신 프로그램으로 해결되지 않는 경우에는 Sysinternals Process Explorer, Sysinternals Autoruns 도구에서 제공하는 VirusTotal 검사 기능을 통해 점검을 해보시면 실행 중인 악성 파일을 매우 쉽게 확인이 가능합니다.

 

또한 실행 중인 프로세스는 Windows 작업 관리자의 "모든 사용자의 프로세스 표시" 항목에 체크한 후 프로세스를 찾아 종료 후 파일을 삭제하시기 바랍니다.

 

그 외 해당 악성코드 제거에 도움이 될 수 있는 MZK(Malware Zero Kit) 도구를 이용하여 검사를 해보시는 것도 권장하며, 만약 위와 같은 방식으로 해결되지 않는 경우에는 Runscanner 도구를 이용하여 이메일 문의를 해주시기 바랍니다.