본문 바로가기

벌새::Analysis

이미지 도용 법적 처벌 관련 첨부 파일(.egg)을 통한 가상 화폐 채굴용 악성코드 유포 주의 (2017.12.15)

최근 메일에 포함된 첨부 파일(.egg)을 통해 가상 화폐 채굴 목적의 악성코드를 국내인에게 유포하는 행위가 지속적으로 발견되고 있다는 소식입니다.

 

 

특히 국내인과 동일한 수준의 한국어로 작성된 메일을 통해 첨부된 파일을 실행하도록 유도한다는 점에서 많은 피해가 발생할 가능성이 높다는 점에서, 2017년 12월 14일경에 유포된 관련 메일을 통해 악성코드의 행위를 확인해 보도록 하겠습니다.

 

[안녕하세요 홈페이지에 이미지 도용건으로 메일드립니다(법적책임가능)]

안녕하세요

귀사의 홈페이지에 게시되어 있는 이미지중에

제가 직접 제작한 이미지가 무단으로 사용되고 있는걸 확인했습니다

솔직히 법적대응 이런건 지금은 생각은 없어요

대신 내려주세요

이미지 무단사용으로 인한 도용건은 법적처벌을 받으실 수 있으세요

말씀드린대로 지금은 뭐 법적으로 이런건 생각없어요

대신에 이미지 내려주세요

제가 직접 제작한 이미지랑

귀사의 홈페이지에 올라가있는 이미지랑

같이해서 알집으로 압축해서 보내드려요

확인하시구요

내리신거 다시 알려주시면

별다른 그런거 없이 그냥 넘어가고 싶습니다

하지만 아무런 대응이 없으시면

저도 그러고 싶지 않지만 어쩔수 없이 대응할꺼에요 ㅜㅜ

확인하시구 이미지 내려주세요

감사합니다

확인된 메일은 홈 페이지에 게시된 이미지가 무단으로 사용되어 법적 처벌을 받을 수 있다는 내용이 포함되어 있으며, 첨부한 압축 파일을 확인하도록 안내하고 있습니다.

 

 

첨부된 이미지도용건.egg 압축 파일 내부에는 2개의 하위 폴더(이미지도용관련)가 포함되어 있으며, 최종적으로 1개의 실행 파일(.EXE)과 3개의 바로 가기 파일(.lnk)가 존재합니다.

 

이미지도용건.egg 압축 파일

 

zic.exe :: 숨김(H) 파일 속성
 - SHA-1 : 77016d793632dee3fc9aad97d04dc77465137787
 - AhnLab V3 : Trojan/Win32.Agent.R215517

 

관련법령.doc.lnk :: 실행 정보(C:\Windows\System32\cmd.exe /c zic.exe)

 

이미지_게시물171214.jpg.lnk :: 실행 정보(C:\Windows\System32\cmd.exe /c zic.exe)

 

이미지_원본171214.jpg.lnk :: 실행 정보(C:\Windows\System32\cmd.exe /c zic.exe)

 

 

압축 파일 내에 포함된 바로 가기(.lnk) 파일을 활용한 이유는 Windows 탐색기에서는 바로 가기 파일의 경우 .lnk 확장명을 표시하지 않는다는 점(※ 바로 가기(.lnk) 파일은 파일 아이콘에 화살표가 표시됩니다.)에서 사용자가 문서(.doc) 또는 이미지 파일(.jpg)로 착각하여 실행할 가능성이 더욱 높기 때문입니다.

 

그러므로 파일 압축 후 파일 유형을 확인하여 "바로 가기"로 표시된 경우에는 클릭하는 일이 없도록 각별히 주의하시기 바랍니다.

 

 

해당 바로 가기(.lnk) 파일 3개 모두는 "C:\Windows\System32\cmd.exe /c zic.exe" 파일을 실행하도록 등록되어 있습니다.

 

실행된 zic.exe 파일의 핵심 기능(가상 화폐 채굴 기능)은 "C:\Windows\System32\svchost.exe" 시스템 파일을 이용하여 동작하며, ["C:\Windows\System32\svchost.exe" -o monerohash.com:3333 -u 46Zec4T ~ <생략> ~ U3ejx8g -p x -v 0 -t 2] 명령어를 통해 다음과 같은 통신을 시도합니다.

 

 

Monero 가상 화폐 채굴을 목적으로 3333 포트(Port)를 통해 채굴(Miner) 작업을 진행하며, 기능을 수행하는 svchoste.exe 프로세스의 CPU는 50% 수준을 유지합니다.

 

 

만약 svchost.exe 프로세스의 CPU 사용률이 100% 수준으로 치솟을 경우에는 자동으로 종료한 후 재실행하는 구조를 가지고 있으며, 만약 사용자가 작업 관리자(Taskmgr.exe)를 실행하여 프로세스를 확인하려고 시도할 경우 자동으로 svchost.exe 프로세스를 종료 처리하여 작업 관리자가 종료될 때까지 대기한 후 재실행되도록 제작되어 있습니다.

 

또한 해당 악성코드는 최초 감염 시점에서 zic.exe 악성 파일을 "C:\Users\%UserName%\AppData\Local\AIMDKitteh\mymonero.exe" 파일로 자가 복제합니다.

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - UqRhmjYGcw = "C:\Users\%UserName%\AppData\Local\AIMDKitteh\mymonero.exe"

이를 통해 Windows 부팅 시 자동 실행되도록 구성하여 재부팅 이후에는 다음과 같은 프로세스 형태로 동작합니다.

 

일반적으로 정상적인 시스템 환경에서도 다수의 svchost.exe 프로세스가 메모리에 올라와서 동작한다는 점에서 가상 화폐 채굴을 수행할 경우 쉽게 탐지하기 어려울 수 있다는 점에서 실행된 프로세스의 CPU 사용률이 지속적으로 50~100% 수준으로 동작할 경우에는 CommandLine 정보를 추가적으로 확인할 필요가 있습니다.

 

가상 화폐 채굴용 악성코드가 장시간 PC에 설치되어 동작할 경우 CPU의 과도한 사용으로 인한 전기 사용이 증가할 수 있으며, 전체적으로 시스템 성능 저하를 유발할 수도 있으므로 타인의 돈벌이에 이용당하지 않도록 메일 첨부 파일을 함부로 실행하는 일이 없도록 하시기 바랍니다.

  • 비밀댓글입니다

  • 비밀댓글입니다

  • 비트코인을 채굴해보겠다고 저런짓을 하다니;
    저 메일을 받은 사람은 황당하기 짝이 없겠네요;;

  • Rynex 2017.12.21 21:09 댓글주소 수정/삭제 댓글쓰기

    제 동생이 여기에 걸려들어 저도 이게 뭘까 하고 분석을 해볼려고 했는데, 벌써 하신 분이 계셧군요.
    덕분에 수고를 덜었습니다. 감사합니다.

    악성프로그램의 본체(本體)는 아무래도 여러 이름을 가지는 것 같습니다.
    저의 경우 crawl.exe 라는 이름으로 왓는데 어떤 경우에는 hammer.exe인 경우도 있고...
    각각의 프로그램마다 기능이 다르거나 그냥 단순히 추적을 피하기 위해 이름을 다양하게 짓거나 둘중 하나인듯 합니다.

    그나저나 작업관리자 창의 눈을 피하는 수법을 생각해 내다니, 이놈 제법이군요.
    하지만 한편으로 아예 작업관리자를 띄운채로 컴퓨터를 쓰는것도 한 방법일듯 합니다 ㅋ

  • 수원이 2017.12.22 13:16 댓글주소 수정/삭제 댓글쓰기

    감사합니다. ^^

  • 권권규 2017.12.29 11:51 댓글주소 수정/삭제 댓글쓰기

    메일 받고 반신반의하면서 알집파일만 체크해봤는데 정말 .lnk 파일이더군요. 벌새님 글 없었으면 열어봤을 수도 있겠습니다 정말 감사드립니다.

  • Kyung Tae Lee 2017.12.29 11:53 댓글주소 수정/삭제 댓글쓰기

    맥에서 열어도 문제가 되나요? ㅜㅞ

  • 안녕하세요 ~
    오늘 같은 메일을 받고 다운로드를 했고, 하나의 파일을 였었는데 열리지 않아 사이트 개설해준 업체에 문의를 했더니 이글을 보여주시네요 ㅠ
    맥북에어 이용중이구요 ~
    열리지 않았는데 악성코드가 깔렸을까요?
    혹 깔렸다면 지울수 있는 방법좀 알려주세요 ㅠㅠ

  • 당했습니다 2018.03.30 15:48 댓글주소 수정/삭제 댓글쓰기

    안녕하세요 멍청하게 눌렀는데, v3가 트로이 목마라고 잡긴 했거든요.. 그리고 MZK제거 도구 사용해서 검사를 했는데 문제 없을까요? ㅠ

    회사 컴퓨터라 걱정이 됩니다 ㅠ

    • 파일 실행과 동시에 V3 백신 프로그램이 차단했다면 실제 감염으로 연결되지 않았을 것 같습니다.

      불안하시면 V3로 정밀 검사를 해보시기 바랍니다.

  • s.jun 2018.04.10 19:00 댓글주소 수정/삭제 댓글쓰기

    비슷한 내용의 이메일이 와서 알집으로 확인했더니 .lnk 파일 세 개랑 exe 파일이 하나 있더라구요
    이런거인 줄은 생각도 못하고 압축해제를 하고 폴더에 들어가보니
    그 폴더가 비어있던데...;;
    왜 비어있지 싶어서 검색하다가 이 블로그를 발견했습니다ㅠㅠ
    폴더가 비어있어 파일을 실행하지는 못했는데 감염가능성이 있을까요ㅠ?

    • 아마도 압축 해제 과정에서 백신에서 자동으로 제거를 하였을 것 같습니다.

      보통은 .lnk 파일은 압축 해제 후 파일이 보이는 반면에 .exe 파일은 숨김 속성이라서 탐색기에서 파일이 보이지 않게 구성되어 있습니다.

      사용자가 직접 압축 해제 후 실행하지 않았다면 감염되지 않았을 것이므로 압축 해제한 폴더 자체를 삭제하시기 바랍니다.