최근에 토렌트(Torrent) 파일 공유 서비스를 통해 동영상 파일(.mp4)처럼 확장명을 조작한 악성 실행 파일(.exe)이 유포된다는 제보와 함께 실행 시 Master Boot Record (MBR) 변조를 통해 시스템 부팅에 실패하도록 하는 악의적인 행위가 있기에 살펴보도록 하겠습니다.

• English.srt :: 영어(English) 자막 파일

• Fabricated.City.2017.HDRip.1080p.eXe.mp4 :: RIGHT-TO-LEFT OVERRIDE (RLO) 방식으로 유니코드 확장명 조작이 이루어진 악성 실행 파일<.mp4 (X) → .exe (○)>

• Fabricated.City.2017.HDRip.1080p.eXe.nfo :: 동영상 릴리즈 정보 파일

• poster.jpg :: 조작된 도시 영화 포스터 사진 파일

제보해준 토렌트 시드 파일은 국내 영화 조작된 도시(2017)로 유포되고 있으며, 내부에는 위와 같은 4개의 파일로 구성되어 있습니다.

토렌트(Torrent) 프로그램을 통해 파일 다운로드 전 또는 다운로드 후 .exe. 부분이 파일명인지 확장명인지 이름 바꾸기(Rename, F2) 기능으로 확인해보면 블럭 처리된 파일명을 통해 확장명이 무엇인지 확실하게 확인할 수 있습니다.

• 파일 확장자를 조작한 가짜 동영상 파일 재생시 XtremeRAT 백도어(Backdoor) 감염 주의 (2014.8.20)

• 조작된 화면 보호기 파일과 코덱 설치 프로그램을 이용한 백도어(Backdoor) 감염 주의 (2014.10.10)

• 유니코드 확장명이 조작된 HTA 파일을 이용한 일본 성인 광고 주의 (2015.1.2)

기존부터 RIGHT-TO-LEFT OVERRIDE (RLO) 방식의 유니코드 확장명 조작을 통해 유포된 사례가 있었으므로 참고하시기 바라며, 이번에 확인된 파일의 경우에는 화면상에서는 "Fabricated.City.2017.HDRip.1080p.eXe.mp4" 동영상 파일처럼 표시되지만 실제로는 "Fabricated.City.2017.HDRip.1080p. 4pm.eXe" 실행 파일(SHA-1 : a67298802893426cc1c2a44c6ad961d4eb0c89e9)입니다.

사용자가 다운로드된 파일을 .mp4 동영상 파일로 착각하여 실행할 경우 사용자 계정 컨트롤(UAC) 알림창이 생성되며, 기본적으로 동영상 파일 실행 시 UAC 알림창을 생성하는 경우는 절대 없으므로 실행을 허용하지 않도록 각별히 주의하시기 바랍니다.

실행된 악성 파일은 Master Boot Record (MBR) 영역을 변조한 후 배치 파일(.bat)을 통해 자신을 자동 삭제 처리합니다.

이후 자동으로 블루스크린(BSoD)이 발생하며 특히 volsnap.sys 드라이버 파일과 관련된 오류가 발생하는 것으로 보아서는 시스템 복원을 할 수 없도록 볼륨 섀도우 복사본(Volume Shadow Copy)을 훼손할 것으로 추정됩니다.

이후 Windows 재부팅 과정에서 "Operating System not found" 메시지를 통해 운영 체제를 찾지 못하여 부팅에 실패하는 것을 볼 수 있습니다.

AppCheck Pro 안티랜섬웨어 제품을 통해 차단한 모습

만약 MBR 변조 보호 기능이 포함된 보안 솔루션이 존재한다면 사용자가 악성 파일을 실행하여도 MBR 변조 행위를 차단하여 시스템에 문제를 유발하는 것을 예방할 수 있습니다.

이번 사례의 경우에는 기존과 다르게 백도어(Backdoor) 설치가 아닌 시스템 자체를 훼손시켜 최악의 경우 Windows 재설치가 필요할 수 있다는 점에서 토렌트(Torrent)를 통한 파일 다운로드 시 매우 주의하시기 바랍니다.