최근에 토렌트(Torrent) 파일 공유 서비스를 통해 동영상 파일(.mp4)처럼 확장명을 조작한 악성 실행 파일(.exe)이 유포된다는 제보와 함께 실행 시 Master Boot Record (MBR) 변조를 통해 시스템 부팅에 실패하도록 하는 악의적인 행위가 있기에 살펴보도록 하겠습니다.
- English.srt :: 영어(English) 자막 파일
- Fabricated.City.2017.HDRip.1080p.eXe.mp4 :: RIGHT-TO-LEFT OVERRIDE (RLO) 방식으로 유니코드 확장명 조작이 이루어진 악성 실행 파일<.mp4 (X) → .exe (○)>
- Fabricated.City.2017.HDRip.1080p.eXe.nfo :: 동영상 릴리즈 정보 파일
- poster.jpg :: 조작된 도시 영화 포스터 사진 파일
제보해준 토렌트 시드 파일은 국내 영화 조작된 도시(2017)로 유포되고 있으며, 내부에는 위와 같은 4개의 파일로 구성되어 있습니다.
토렌트(Torrent) 프로그램을 통해 파일 다운로드 전 또는 다운로드 후 .exe. 부분이 파일명인지 확장명인지 이름 바꾸기(Rename, F2) 기능으로 확인해보면 블럭 처리된 파일명을 통해 확장명이 무엇인지 확실하게 확인할 수 있습니다.
기존부터 RIGHT-TO-LEFT OVERRIDE (RLO) 방식의 유니코드 확장명 조작을 통해 유포된 사례가 있었으므로 참고하시기 바라며, 이번에 확인된 파일의 경우에는 화면상에서는 "Fabricated.City.2017.HDRip.1080p.eXe.mp4" 동영상 파일처럼 표시되지만 실제로는 "Fabricated.City.2017.HDRip.1080p. 4pm.eXe" 실행 파일(SHA-1 : a67298802893426cc1c2a44c6ad961d4eb0c89e9)입니다.
사용자가 다운로드된 파일을 .mp4 동영상 파일로 착각하여 실행할 경우 사용자 계정 컨트롤(UAC) 알림창이 생성되며, 기본적으로 동영상 파일 실행 시 UAC 알림창을 생성하는 경우는 절대 없으므로 실행을 허용하지 않도록 각별히 주의하시기 바랍니다.
실행된 악성 파일은 Master Boot Record (MBR) 영역을 변조한 후 배치 파일(.bat)을 통해 자신을 자동 삭제 처리합니다.
이후 자동으로 블루스크린(BSoD)이 발생하며 특히 volsnap.sys 드라이버 파일과 관련된 오류가 발생하는 것으로 보아서는 시스템 복원을 할 수 없도록 볼륨 섀도우 복사본(Volume Shadow Copy)을 훼손할 것으로 추정됩니다.
이후 Windows 재부팅 과정에서 "Operating System not found" 메시지를 통해 운영 체제를 찾지 못하여 부팅에 실패하는 것을 볼 수 있습니다.
AppCheck Pro 안티랜섬웨어 제품을 통해 차단한 모습
만약 MBR 변조 보호 기능이 포함된 보안 솔루션이 존재한다면 사용자가 악성 파일을 실행하여도 MBR 변조 행위를 차단하여 시스템에 문제를 유발하는 것을 예방할 수 있습니다.
이번 사례의 경우에는 기존과 다르게 백도어(Backdoor) 설치가 아닌 시스템 자체를 훼손시켜 최악의 경우 Windows 재설치가 필요할 수 있다는 점에서 토렌트(Torrent)를 통한 파일 다운로드 시 매우 주의하시기 바랍니다.
토렌트 같은곳은 의심을 한번씩 해보아야되는것같습니다.제일좋은 방법은 사용을 자제하는것이 좋겠지만요.즐거운 주말 보내세요.
안녕하세요. 제가 이와같은 파일때문에
PE모드를 통해 이전시점으로 정상복원성공하였는데요,
성공하였어도 감염증상은 그대로 남아있는건가요?
복원이 이루어진 시점에서 문제의 악성 파일을 실행하기 이전이라면 특별히 문제는 없을 듯합니다.
복원하시고 한 번 백신으로 정밀 검사를 해보시기 바랍니다.