2017년 4월 15일 오후 4시 15분경 네이버 지식인에 마인크래프트(Minecraft) 노더스 관련 파일을 EGG 압축 파일로 첨부하여 질문글을 올렸기에 매우 의심이 가서 간단하게 살펴보았습니다.
신노더스.egg 압축 파일 내부에는 노더스.exe 실행 파일이 동봉되어 있으며, 게시자는 반드시 관리자 권한으로 실행하도록 유도하고 있습니다.
- 노더스.exe (SHA-1 : 300f7943545a27eadcdb58e63392feabd59d845b - AhnLab V3 : Win-Trojan/Scar.109568.U)
노더스.exe 파일 속성값을 확인해보면 중국(China)에서 제작된 툴로 생성된 것으로 보이는 일명 서버(Server) 파일임을 알 수 있습니다.
|
생성 파일 및 진단 정보 |
|
C:\Windows\System32\huzhui.exe :: 6자리 Random 파일명, "Nationalket Instruments Domain Service" 서비스 등록 파일
|
관리자 권한으로 실행된 악성 파일은 시스템 폴더에 자신을 복사하여 6자리 랜덤(Random) 파일명으로 생성합니다.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Nationalfie
설치된 악성 파일은 "Nationalfie (표시 이름 : Nationalket Instruments Domain Service)" 서비스로 등록되어 시스템 시작 시 자동 실행되도록 구성되어 있습니다.
이를 통해 감염된 PC의 컴퓨터 이름, Windows 운영 체제 종류, CPU 정보, 메모리 정보를 수집하여 "kybkyd.0pe.kr (121.180.46.86)" 서버로 전송을 시도하며, 패킷에는 "Vip2010-0818" 문자열이 포함되어 있습니다.
해당 vip2010-0818 문자열과 관련되어 확인을 해보니 기존에 DDoS 공격 목적으로 오래전부터 중국산 제작툴로 만들어진 악성 파일이 발견된 것을 알 수 있습니다.
참고로 통신을 시도하는 kybkyd.0pe.kr 도메인은 2015년 하반기경에 생성되었던 것으로 보입니다.
만약 정상적으로 DDoS 공격을 위한 구성 요소 다운로드(passthru.sys, snetcfg.exe) 및 명령을 받을 경우에는 Internet Explorer 웹 브라우저(iexplore.exe)로 표적 사이트에 대해 DDoS 공격이 지속될 것으로 추정됩니다.
해당 서버 운영자와 관련하여 조사를 해보면 마인크래프트(Minecraft) 서버를 운영하며 게임에 관심이 있는 국내인으로 추정되며 DDoS 공격 목표도 게임 관련된 서버가 대상이 아닐까 싶습니다.
해당 악성코드는 대다수의 백신 프로그램이 이미 차단할 수 있기에 실제 감염으로 연결되지는 않겠지만 만약 수동으로 제거가 필요한 경우에는 명령 프롬프트(관리자)를 실행하여 다음과 같은 명령어를 순서대로 입력 및 실행하여 실행 중인 서비스 중지 및 삭제를 하시기 바랍니다.
- sc stop Nationalfie
- sc delete Nationalfie
이후 시스템 폴더에 생성된 랜덤(Random)한 파일명을 가질 수 있는 악성 파일(huzhui.exe)을 찾아 삭제하시면 됩니다.
일부 비정상적인 방법으로 게임을 즐길 목적으로 백신 프로그램의 탐지를 무시하고 실행하는 경우도 충분히 있으므로 신뢰할 수 없는 파일을 다운로드하여 함부로 실행하는 일이 없도록 주의하시기 바랍니다.