본문 바로가기

벌새::Analysis

최신 영화 파일로 위장한 .COM 실행 파일을 통한 Orcus RAT 악성코드 유포 주의 (2017.12.2)

2017년 하반기경부터 토렌트(Torrent) 파일 공유 사이트를 통해 꾸준하게 유포되고 있는 Orcus RAT 악성코드가 최근에 RLO(Right-to-Left Override) 방식(오른쪽에서 왼쪽으로 덮어쓰기)을 통해 파일 확장명을 조작하여 실행 파일을 동영상 파일로 위장하여 유포하고 있는 부분을 발견하여 살펴보도록 하겠습니다.

 

 

우선 Orcus RAT 악성코드는 블로그를 통해 한 번 정보를 공개한 적이 있으며, 최근에는 한글 워드 프로그램과 같은 사용자들이 많이 찾는 프로그램 속에 악성 파일을 추가하여 지속적으로 감염을 유발하고 있는 것으로 보입니다.

 

 

이번 유포와 활용된 콘텐츠는 최근 개봉한 "토르 : 라그나로크(Thor Ragnarok)" 동영상과 자막 파일(SHA-1 : c9cd23e711fb85cc8a8beb39a9a448a78ffdc6a0)이 포함된 것처럼 위장하여 다운로드를 유도하고 있습니다.

 

 

다운로드되는 영상 파일명과 확장명 이름 부분을 구분하여 확인해보면 "Thor.Ragnarok.2017.720p.BRRip.X264.AC3 EVO 720 1080p.BluRay.x264 YTS.PEMOC.mp4" 동영상 파일이 아닌 "Thor.Ragnarok.2017.720p.BRRip.X264.AC3 EVO 720 1080p.BluRay.x264 YTS.PE_4pm.COM" 형태의 MS-DOS 응용 프로그램임을 알 수 있습니다.

 

 

이미 예전부터 파일 확장명을 조작하여 .exe, .scr 실행 파일을 동영상 파일처럼 위장하는 경우가 있었으며, 이번에는 .com 실행 파일을 동영상 파일처럼 조작한 것이 특징입니다.

 

그러므로 토렌트를 통해 파일 다운로드 시 exe.mp4 또는 rcs.mp4 또는 moc.mp4와 같은 형태인 경우에는 절대로 실행하지 않도록 주의하시기 바라며, Windows 탐색기의 폴더 옵션에서 반드시 "알려진 파일 형식의 파일 확장명 숨기기" 박스를 체크 해제하여 파일 확장명이 표시되도록 설정하시고 사용하시기 바랍니다.

 

 

실제 다운로드된 파일의 유형 정보를 보면 .mp4 동영상 파일은 "MS-DOS 응용 프로그램"이며, 자막 파일은 .smi 확장명 그대로 추가되어 있는 것을 알 수 있습니다.

 

 

우선 자막 파일(Thor.Ragnarok.2017.720p.BRRip.X264.AC3 EVO 720 1080p.BluRay.x264 YTS.PEMOC.smi)의 코드를 확인해보면 자막이 포함된 것이 아닌 POSIX Threads for Win32 오픈 소스 프로그램 관련 정상 파일(.DLL)로 확인되고 있습니다.

 

 

다운로드된 .mp4 동영상 파일로 위장한 1.79GB 파일 크기의 악성 파일을 확인해보면 PE 실행 파일임을 알 수 있습니다.

 

 

특히 실행 파일(.com)을 동영상 파일처럼 파일 크기를 증가하기 위해 악성코드 영역은 Offset 0xE3209까지 작성한 후 나머지 영역은 파일 용량 증가를 위한 Padding 코드가 포함되어 있습니다.

 

 

해당 악성코드는 분석 방해 목적으로 가상 환경에서 실행할 경우 "This application could not be started. Do you want to view information about this issue?" 메시지를 생성하는 동작 후 종료되어 더 이상 진행되지 않도록 제작되어 있습니다.

 

 

만약 사용자가 메시지 창에서 예(Y) 버튼을 클릭할 경우 마이크로소프트(Microsoft) 사이트에서 제공하는 .NET Framework 관련 정보로 연결됩니다.

 

정상적으로 실행 조건에서 사용자가 토렌트(Torrent)를 통해 다운로드한 동영상 파일로 위장한 악성 파일(SHA-1 : 0c4de46d28eaa6ab8cd1a4a0d9463cc56f4e2bc0 - Microsoft : Backdoor:MSIL/Orcus.A!bit)을 실행할 경우 어떤 행위가 발생하는지 보겠습니다.

 

생성 폴더 / 파일 등록 정보

 

C:\Users\%UserName%\AppData\Local\Microsoft\CLR_v4.0\UsageLogs\as.exe.log
C:\Users\%UserName%\AppData\Local\Microsoft\CLR_v4.0_32\UsageLogs\OrcusWatchdog.exe.log
C:\Users\%UserName%\AppData\Roaming\OrcusWatchdog.exe :: 메모리 상주 프로세스
C:\Users\%UserName%\AppData\Roaming\OrcusWatchdog.exe.config
C:\Windows\System32\Tasks\Orcus Respawner
C:\us
C:\us\as.exe :: 숨김(H) / 시스템(S) / 읽기(R) 전용 파일 속성, 작업 스케줄러(Orcus Respawner) 등록 파일, 메모리 상주 프로세스

C:\us\as.exe.config

 

생성 파일 진단 정보

 

C:\Users\%UserName%\AppData\Roaming\OrcusWatchdog.exe
 - SHA-1 : a8ae47765fa4dc01c8abed6514497af65008e945
 - nProtect : Backdoor/W32.Orcus.9216
 
C:\us\as.exe
 - SHA-1 : 0c4de46d28eaa6ab8cd1a4a0d9463cc56f4e2bc0
 - Microsoft : Backdoor:MSIL/Orcus.A!bit

 

 

 

실행된 동영상 위장 악성 파일은 "C:\us\as.exe" 파일명으로 자가 복제하여 생성되며, 파일 속성이 숨김(H), 시스템(S)으로 설정되어 Windows 탐색기 기본값에서는 표시되지 않으므로 폴더 옵션에서 "보호된 운영 체제 파일 숨기기(권장)" 체크 해제와 "숨김 파일, 폴더 및 드라이브 표시"에 체크한 후 파일을 찾으시기 바랍니다.

 

 

해당 악성코드는 "Orcus Respawner" 작업 스케줄러로 등록되어 5분 주기로 "C:\us\as.exe" 악성 파일을 자동 실행하도록 구성되어 있습니다.

 

 

이를 통해 "6012.punkdns.pw (203.229.109.13)" C&C 서버와 통신을 통해 추가적인 명령어를 받을 수 있으며, 다음과 같은 감염 PC에서 수집된 키로깅(Keylogger) 정보를 Orcus 서버로 유출할 수도 있습니다.

 

 

이번 악성코드는 감염된 후 사용자가 실행된 프로그램 창 정보, 사용자가 입력한 키 정보 등을 "C:\Users\%UserName%\AppData\Roaming\audio\klg_<Random>.dat" 파일에 Base64 인코딩 방식으로 저장한 후 외부로 유출할 수 있습니다.

 

 

특히 Orcus RAT 악성코드는 사용자에 의한 종료를 방해할 목적으로 실행된 as.exe, OrcusWatchdog.exe 2개의 프로세스가 서로에 대한 보호 기능을 포함하고 있습니다.

 

 

그러므로 작업 관리자를 통한 해당 프로세스 종료가 매우 어려우므로 Process Hacker와 같은 프로세스 관리 프로그램을 통해 2개의 프로세스를 함께 선택한 후 종료하시기 바랍니다.

 

생성 레지스트리 등록 정보

 

HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows
 - Load = C:\us\as.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{A62769C5-D560-4043-A34B-EC6C51D1B3B5}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Orcus Respawner

 

 

Orcus RAT 악성코드에 감염된 경우 개인정보 및 금융 정보 수집을 통한 추가적인 피해, 웹캠(Webcam) 접근, 추가적인 파일 다운로드 등을 통해 공격자의 좀비 PC로 악용될 수 있으므로 토렌트와 같은 파일 공유 서비스 이용 시 다운로드된 파일의 확장명을 세심하게 살펴보는 습관을 가지시기 바랍니다.

  • 토렌트는 저러라고 만든데 아닐텐데요..
    근데 저 파일 받은 사람도 악성코드에 감염됐다고해도
    원래 영화를 저렇게 다운받는 것 자체가 불법이라
    그냥 눈에서 나오는 땀이나 딲으며 초기화를 시켜야 겠네요 허허..

    근데 요즘 바이러스 수법도 참 특이한게 많군요. 이제는 확장자 명까지 신기하게 바꿔버리는 -_-

  • Query 2017.12.06 14:30 댓글주소 수정/삭제 댓글쓰기

    더블클릭을 통한 PE파일 정상실행이 아니라
    곰플레이어나 미디어플레이어 등과 같은 동영상 재생 프로그램을 통해서 해당 파일을 열게 되어도 문제가 있을까요?
    (ex: 곰플레이어 실행 -> 파일열기 -> 해당 파일 선택해서 열기)

  • 어.. 오래됐다고요??
    전 왜 지금 처음알았죠 ㅜㅜ

  • 좀 이상한거 같습니다. 2017.12.12 13:14 댓글주소 수정/삭제 댓글쓰기

    exe.mp4 또는 rcs.mp4 또는 moc.mp4 라고하셧는데

    mp4.exe 또는 mp4.rcs 또는 mp4.moc 라고 하셔야 되는거 아닙니까?

    맨뒤에있는게 확장명이니까요

    답변 부탁드립니다.

  • 아하.. 2017.12.13 14:31 댓글주소 수정/삭제 댓글쓰기

    아랍아 작성처럼 반대로 해둔거군요..
    글좀 많이 찾아볼껄 그랫습니다..

    친절한답변 감사합니다.

  • 초기화밖에 답이어뵤나욮 2018.01.16 01:59 댓글주소 수정/삭제 댓글쓰기

    이거 초기화해야되나요?

  • 비밀댓글입니다

  • ㅇㅇ 2018.01.19 21:27 댓글주소 수정/삭제 댓글쓰기

    저 위에 글쓴 ㅇㅇ인데

    비밀번호 까먹어서 안보입니다 ㅠㅠ.. 형님 여기에 답글 남겨주실 수 있나요

    • 다운로드 시 V3 백신에서 탐지하여 액세스 거부가 발생한 것으로 보이며 이런 경우 단순 다운로드로는 감염되지 않습니다.

      다운로드된 파일을 사용자가 직접 실행할 경우에 감염으로 연결됩니다.

  • 감사합니다 2018.01.21 13:06 댓글주소 수정/삭제 댓글쓰기

    감염 되었다가 덕분에 해결했습니다 좋은글 감사합니다.

  • 동생이 이거 다운받고 실행시켰다는데요 2018.02.09 00:48 댓글주소 수정/삭제 댓글쓰기

    동생 말로는 작업관리자에서 프로세스 종료시켰고
    제가 집에 와서 이 글보고 그 프로그램 이용해서 보니
    as.exe랑 언급하신 다른 exe는 검색되지 않더라고요
    그리고 말씀하신 파일 경로 들어가서 다 찾아봤는데 없었습니다.


    일단 처음에 동생이 토렌트로 받은 파일은 삭제했습니다.
    어베스트로 전체 검사중이구요

    여기서 더 뭐 할게 있을까요? 영 찝찝하네요 포맷을 해야하나 ㅠㅠ

  • ㅅㅁ 2018.07.07 18:02 댓글주소 수정/삭제 댓글쓰기

    영화 다운끝나자마자 옆에 v3가 악성코드 차단한다고 뜨길래 놀라서 찾아왔는데 검역소 목록에 있으면 감염된거 아니죠..??

  • 비밀댓글입니다

  • 비밀댓글입니다

    • 어떤 파일을 실행했는지 모르기 때문에 자세한 안내를 해드릴 수 없으며, 기본적으로 악성코드는 유명 백신 프로그램을 이용하여 정밀 검사를 해보시기 바랍니다.

      만약 해결되지 않는다면 http://hummingbird.tistory.com/notice/4859 내용을 참고하시기 바랍니다.

  • ㅁㄴㅇ 2018.08.23 11:22 댓글주소 수정/삭제 댓글쓰기

    moc파일인지 모르고 생각없이 받던 도중에
    뭔가 이름이 이상하길래 속성들어가서 보니
    동영상 파일이 아니고 도스이길래
    뭔가 찜찜해서 백신으로 검사했는데 바이러스없음으로 나오더군요
    그래서 바로 삭제했습니다
    실행한적은 없는데 다운받은 자체만으로 악성코드가 활동하나요?
    기분탓으로 인터넷이 뭔가 로딩할때도 미묘하게 느려진 기분이네요 ㅠㅠ

  • 비밀댓글입니다

    • 우선 포맷을 하였다면 기존에 감염된 악성 파일은 모두 삭제되었을 것입니다.

      말씀하신 증상의 경우에는 부팅 직 후 자동 실행되거나 사용자가 실행한 프로그램 중 충돌이 발생하는 것이 있는거 아닌가 싶습니다.

      하드웨어 문제보다는 사용자가 설치한 프로그램이나 드라이버의 문제가 아닐까 싶습니다.

      개인적으로 이런 경우에는 다시 한 번 포맷을 해보거나 아니면 윈도우 설치 후 Windows 업데이트를 통한 최신 패치 및 설치한 프로그램도 구버전이 아니라 최신 버전으로 업데이트를 하면서 원인을 찾아볼 것 같습니다.