최근에 토렌트(Torrent) 파일 공유 서비스를 통해 동영상 파일(.mp4)처럼 확장명을 조작한 악성 실행 파일(.exe)이 유포된다는 제보와 함께 실행 시 Master Boot Record (MBR) 변조를 통해 시스템 부팅에 실패하도록 하는 악의적인 행위가 있기에 살펴보도록 하겠습니다.
- English.srt :: 영어(English) 자막 파일
- Fabricated.City.2017.HDRip.1080p.eXe.mp4 :: RIGHT-TO-LEFT OVERRIDE (RLO) 방식으로 유니코드 확장명 조작이 이루어진 악성 실행 파일<.mp4 (X) → .exe (○)>
- Fabricated.City.2017.HDRip.1080p.eXe.nfo :: 동영상 릴리즈 정보 파일
- poster.jpg :: 조작된 도시 영화 포스터 사진 파일
제보해준 토렌트 시드 파일은 국내 영화 조작된 도시(2017)로 유포되고 있으며, 내부에는 위와 같은 4개의 파일로 구성되어 있습니다.
토렌트(Torrent) 프로그램을 통해 파일 다운로드 전 또는 다운로드 후 .exe. 부분이 파일명인지 확장명인지 이름 바꾸기(Rename, F2) 기능으로 확인해보면 블럭 처리된 파일명을 통해 확장명이 무엇인지 확실하게 확인할 수 있습니다.
기존부터 RIGHT-TO-LEFT OVERRIDE (RLO) 방식의 유니코드 확장명 조작을 통해 유포된 사례가 있었으므로 참고하시기 바라며, 이번에 확인된 파일의 경우에는 화면상에서는 "Fabricated.City.2017.HDRip.1080p.eXe.mp4" 동영상 파일처럼 표시되지만 실제로는 "Fabricated.City.2017.HDRip.1080p. 4pm.eXe" 실행 파일(SHA-1 : a67298802893426cc1c2a44c6ad961d4eb0c89e9)입니다.
사용자가 다운로드된 파일을 .mp4 동영상 파일로 착각하여 실행할 경우 사용자 계정 컨트롤(UAC) 알림창이 생성되며, 기본적으로 동영상 파일 실행 시 UAC 알림창을 생성하는 경우는 절대 없으므로 실행을 허용하지 않도록 각별히 주의하시기 바랍니다.
실행된 악성 파일은 Master Boot Record (MBR) 영역을 변조한 후 배치 파일(.bat)을 통해 자신을 자동 삭제 처리합니다.
이후 자동으로 블루스크린(BSoD)이 발생하며 특히 volsnap.sys 드라이버 파일과 관련된 오류가 발생하는 것으로 보아서는 시스템 복원을 할 수 없도록 볼륨 섀도우 복사본(Volume Shadow Copy)을 훼손할 것으로 추정됩니다.
이후 Windows 재부팅 과정에서 "Operating System not found" 메시지를 통해 운영 체제를 찾지 못하여 부팅에 실패하는 것을 볼 수 있습니다.
만약 MBR 변조 보호 기능이 포함된 보안 솔루션이 존재한다면 사용자가 악성 파일을 실행하여도 MBR 변조 행위를 차단하여 시스템에 문제를 유발하는 것을 예방할 수 있습니다.
이번 사례의 경우에는 기존과 다르게 백도어(Backdoor) 설치가 아닌 시스템 자체를 훼손시켜 최악의 경우 Windows 재설치가 필요할 수 있다는 점에서 토렌트(Torrent)를 통한 파일 다운로드 시 매우 주의하시기 바랍니다.
'벌새::Analysis' 카테고리의 다른 글
| USB 드라이브로 전파 가능한 Bondat Worm 바이러스 주의 (2017.4.1) (13) | 2017.04.01 |
|---|---|
| 검색 도우미 : NewsGo (6) | 2017.03.31 |
| mp4 동영상으로 위장한 MBR 변조 악성 파일 유포 주의 (2017.3.25) (3) | 2017.03.25 |
| 암호화된 파일이 삭제되지 않는 CryptoShield 2.0 랜섬웨어 주의 (2017.3.24) (1) | 2017.03.24 |
| 가짜 쪽지 메일로 자동 회원 가입이 이루어지는 TWOO 서비스 주의 (2017.3.14) (3) | 2017.03.14 |
| 리셋(Reset) 프로그램 설치로 InPrivate 브라우징으로 열리는 Internet Explorer 문제 (2017.3.4) (4) | 2017.03.04 |
울지않는 벌새
울지않는벌새가 되고 싶은 나..
