바이러스 제로 시즌 2 보안 카페 회원 중 예전에 온라인 판매 업체를 통해 메이퀸(May Queen) 미연시 게임을 구매했는데 최근에 게임 내부에 악성코드가 존재한 것으로 확인되어 관련 정보를 제공해 주셨습니다.
정보를 제공해주신 분이 어떤 경로를 통해 구입했는지는 자세하게 기억하지 못하고 있으며, 구매한 게임이 CD로 제작된 정품은 아니지만 돈을 지불하고 개인이 아닌 판매 업체를 통해 구입하였다고 합니다.
전달받은 파일은 ZIP 압축 파일로 구성되어 있으며 내부에는 2015년 7월 24일경 유포된 것으로 보이는 Flash 아이콘 모양의 game.exe 파일(SHA-1 : bd593db85128d15628f1bb45e1c0c5c7f07e8825)에 대하여 AhnLab V3 보안 제품이 Trojan/Win32.Nitol.R134883 진단명으로 탐지하고 있습니다.
만약 사용자가 "실행 안될시 여기로" 폴더 내부에 있는 MayQueen.exe 파일을 실행할 경우에는 정상적으로 게임이 동작하지만, 상위 폴더에 존재하는 game.exe 파일을 먼저 실행할 것이므로 위험에 노출되어 있습니다.
그런데 해당 게임 내부에 game.exe 악성 파일을 포함시키는 과정에서 유포자는 실수로 악성코드 설치 파일(Dropper)을 추가한 것이 아니라 생성 파일(game.exe)을 추가하여 실제 사용자가 실행할 경우에는 다음과 같은 2가지 행위가 발생할 수 있습니다.
1. 가상 환경에서 game.exe 파일을 실행할 경우
만약 game.exe 파일 실행 환경이 가상 환경인 경우 "Sorry, this application cannot run under a Virtual Machine." 메시지를 통해 실행되지 않으며, 이는 파일 분석을 방해할 목적으로 가상 환경을 체크하도록 제작되어 있습니다.
2. 가상 환경이 아닌 환경에서 game.exe 파일을 실행할 경우
리얼(Real) 환경에서 game.exe 파일을 실행할 경우에는 어떠한 추가적인 행위를 하지 않고 자동으로 자신을 삭제 처리하여 실제 감염으로 연결되지는 않습니다.
이런 유포자의 실수로 인해 메이퀸(May Queen) 미연시 게임에 포함된 game.exe 악성 파일은 실제 감염으로 연결되지는 않았을 것으로 보이지만, game.exe 파일을 생성시키는 설치 파일을 찾아서 실제 어떻게 동작했을지 살펴보도록 하겠습니다.
- game.exe 설치 파일 (SHA-1 : 4e8add50d9ab9fe1e5307262a7eae6e8d435f2e1 - Microsoft : DDoS:Win32/Nitol.B)
확인된 설치 파일 내부에는 메이퀸(May Queen) 미연시 게임에 포함되어 있던 game.exe 파일과 Server_se.exe 서버 파일이 포함되어 있습니다.
|
생성 파일 및 진단 정보 |
|
C:\game.exe :: 자동 삭제 (= duzluw.exe) - SHA-1 : bd593db85128d15628f1bb45e1c0c5c7f07e8825 - 알약(ALYac) : Backdoor.PcClient.gen
C:\Server_se.exe :: (= tkdfke.exe) - SHA-1 : c3f715651ec7f0d0b1e78a284b6ce1fbc9e64002 - 알약(ALYac) : Trojan.DDoS.Rincux.Nation
C:\Windows\SysWOW64\duzluw.exe ::"Natioqwen In345wents Dqwein Sqwece" 서비스 등록 파일, 메모리 상주 프로세스 (= game.exe) - SHA-1 : bd593db85128d15628f1bb45e1c0c5c7f07e8825 - 알약(ALYac) : Backdoor.PcClient.gen
C:\Windows\SysWOW64\tkdfke.exe :: "Nationalylg Instruments Domain Service" 서비스 등록 파일, 메모리 상주 프로세스 (= Server_se.exe) - SHA-1 : c3f715651ec7f0d0b1e78a284b6ce1fbc9e64002 - 알약(ALYac) : Trojan.DDoS.Rincux.Nation
|
최초 C 루트 폴더에 game.exe, Server_se.exe 2개의 파일을 생성한 후 해당 파일들은 시스템 폴더에 각각 다양한 파일명으로 자신을 복제하며, 복제가 이루어진 후에는 game.exe 파일은 "C:\Windows\system32\cmd.exe /c del C:\game.exe" 명령어를 통해 자동 삭제 처리됩니다.
시스템 폴더 영역에 생성된 파일들은 다음과 같은 서비스 등록을 통해 시스템 시작 시마다 자동으로 실행되도록 구성되어 있습니다.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Natiqeqeqeqeqe2
"Natiqeqeqeqeqe2 (표시 이름 : Natioqwen In345wents Dqwein Sqwece)" 서비스 항목은 시스템 시작 시 "C:\Windows\SysWOW64\duzluw.exe" 파일을 자동 실행하도록 구성되어 있습니다.
이를 통해 지속적으로 "e21e8434.myq-see.com (45.76.205.76)" C&C 서버와의 통신을 시도하며 성공적인 통신이 이루어질 경우 추가적인 명령에 따라 DDoS 공격 등의 악의적 행위를 수행할 수 있습니다.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Nationalmuo
"Nationalmuo (표시 이름 : Nationalylg Instruments Domain Service)" 서비스 항목을 등록하여 시스템 시작 시 "C:\Windows\SysWOW64\tkdfke.exe" 파일을 자동 실행하도록 구성되어 있으며, 이를 통해 "qwertyuiop999.codns.com" 서버와의 통신을 시도하는 백도어(Backdoor) 계열로 확인됩니다.
이들 파일은 2015년 5월 24일경부터 10월 31일경까지 제작되었던 것으로 확인되며 더 다양한 변종이 존재하였을 것으로 보입니다.
이번 사례와 같이 출시된지 상당 시간이 경과하여 정품 게임을 구하기 어려워 비정상적인 경로를 통해 게임을 구매하는 과정에서 악성 파일을 추가하여 실행하도록 유도하여 감염될 수 있음을 알 수 있었으므로, 인터넷을 통한 게임 구매 시 각별히 주의하시기 바랍니다.