2017년 12월 초에 등록된 Windows, Microsoft Office 프로그램의 정품 인증툴로 유명한 KMSPico 10.2.2 버전에 가상 화폐 채굴 기능을 가진 악성코드가 추가되어 유포되고 있다는 해외 정보가 있어 사실 여부를 확인해 보도록 하겠습니다.

 

 

KMSPico 유사 사이트에서 배포되고 있는 KMSPico 10.2.2 버전 파일(KMSPico 10.2.2 [Daz Team].iso)을 다운로드하여 테스트를 진행하였습니다.

 

 

다운로드된 ISO 파일(SHA-1 : f6b698c92713b6551c1c3a4556a969265d4ae1ff - Kaspersky : not-a-virus:AdWare.Win32.StartSurf.aqwo) 내부에는 KMSPico 10.2.2 버전 설치 파일(SHA-1 : 31d41765ea595005fd9968829129feae9a1d3895 - Microsoft : TrojanDropper:Win32/Kaymundler.C)이 포함되어 있습니다.

 

 

KMSPico 10.2.2 설치 파일을 실행할 경우 기본적으로 인증툴 외에 다수의 제휴 프로그램 설치를 유도하는 단계가 포함되어 있습니다.

 

 

현재 확인되는 제휴 프로그램에는 Youtube Converter, VPNTop, OneWorld OneDream, Xtex, OnlineApp이 포함되어 있으며, 테스트에서는 관련 제휴 프로그램 일체는 체크 해제를 통해 설치되지 않도록 진행하였습니다.

 

참고로 KMSPico 정품 인증툴에서 제공하는 제휴 프로그램과는 무관하게 가상 화폐 채굴 기능이 필수적으로 설치됩니다.

 

KMSPico 정품 인증툴 설치 목적으로 실행하여 설치창이 생성된 후 "C:\Program Files (x86)\KMSPico 10.2.2 Final" 폴더를 생성하여 다음과 같은 파일을 먼저 생성한 후 설치 단계가 진행되며, 이 과정에서 이미 가상 화폐 채굴 기능을 수행하는 win32.exe 악성 파일이 생성된 것을 확인할 수 있습니다.

 

 

그 외에도 KMSPico 정품 인증툴 설치 과정에서는 Avast Antivirus, ByteFence 백신 프로그램을 제휴로 추가하여 설치를 유도하는 행위를 확인할 수 있습니다.

 

앞서 언급한 것처럼 KMSPico 정품 인증툴 설치 과정에서 추가된 제휴 프로그램의 설치 여부와 무관하게 필수적으로 설치된 파일 중에는 가상 화폐 채굴 목적의 악성코드로 포함되어 있으며, 필수 설치 구성 요소에 대해 살펴보도록 하겠습니다.

 

생성 폴더 / 파일 등록 정보

 

C:\Program Files (x86)\KMSPico 10.2.2 Final
C:\Program Files (x86)\KMSPico 10.2.2 Final\INSTALL_KMS.bat
C:\Program Files (x86)\KMSPico 10.2.2 Final\KMSPico Setup.exe
C:\Program Files (x86)\KMSPico 10.2.2 Final\KMSpico_patch.exe
C:\Program Files (x86)\KMSPico 10.2.2 Final\win32.exe :: 시작 프로그램(jXuDLnugma) 등록 파일, 메모리 상주 프로세스, 가상 화폐 채굴 기능

 

생성 파일 진단 정보

 

C:\Program Files (x86)\KMSPico 10.2.2 Final\INSTALL_KMS.bat
 - SHA-1 : 1fbcd1793a30e88fed40bfbdd7f91bec05da2c88
 - ESET : Win32/TrojanDownloader.Adload.NPA

 

C:\Program Files (x86)\KMSPico 10.2.2 Final\KMSPico Setup.exe
 - SHA-1 : f2186f3a574c15f501397ad11ff97d8d9fe1b3b5
 - AhnLab V3 365 Clinic : PUP/Win32.StartSurf.C2283374

 

C:\Program Files (x86)\KMSPico 10.2.2 Final\KMSpico_patch.exe
 - SHA-1 : fd1b3a6d41b8b9c4e936887673ad3202dc51272e
 - AhnLab V3 365 Clinic : PUP/Win32.DealPly.R214963

 

C:\Program Files (x86)\KMSPico 10.2.2 Final\win32.exe
 - SHA-1 : 19e4c6ed52ad4348beb3d6e7008f4e93a3bf81d0
 - Microsoft : Trojan:Win32/CoinMiner.BW!bit

 

 

 

  • "C:\Windows\explorer.exe" -a cryptonight -o stratum+tcp://xmr.pool.minergate.com:45560 -u zcashminer@gmx.com -p x -t 2
  • "C:\Windows\notepad.exe" -a cryptonight -o stratum+tcp://xmr.pool.minergate.com:45560 -u zcashminer@gmx.com -p x -t 2

 

최초 설치되는 과정 및 실행된 가상 화폐 채굴용 악성코드(win32.exe)는 x64 운영 체제의 경우 메모장(notepad.exe) 또는 Windows 탐색기(explorer.exe)에 코드 인젝션을 통해 동작하는 모습을 확인할 수 있습니다.

 

 

실행된 explorer.exe 또는 notepad.exe 프로세스는 "xmr.pool.minergate.com:45560 (94.130.9.194:45560)" 서버와의 통신을 통해 Zcash 가상 화폐 채굴 기능을 수행합니다.

 

 

또한 "C:\Program Files (x86)\KMSPico 10.2.2 Final\win32.exe" 악성 파일은 자신을 "C:\Users\%UserName%\AppData\Local\kAUNCUkNWH\win32.exe" 파일로 자가 복제하는 행위를 수행합니다.

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
 - jXuDLnugma = "C:\Users\%UserName%\AppData\Local\KAUNCU~1\win32.exe"

이를 통해 Windows 부팅 시 시작 프로그램(RunOnce) 영역에 추가된 jXuDLnugma 등록값을 통해 자신을 자동 실행하도록 구성되어 있습니다.

 

 

이후 재부팅이 이루어진 환경에서도 지속적으로 Zcash 가상 화폐 채굴 목적으로 notepad.exe 프로세스를 통해 동작하는 목적을 확인할 수 있습니다.

 

 

해당 가상 화폐 채굴 기능을 수행하는 notepad.exe 프로세스는 50% 수준의 CPU 사용을 유지하며, 만약 100%로 상승할 경우 자동으로 종료하여 재실행되며, 실행된 notepad.exe 프로세스는 약 2~3분 간격으로 종료와 재실행을 반복하여 채굴 작업을 진행합니다.

 

특히 사용자가 작업 관리자(Taskmgr.exe)를 실행하여 CPU 사용을 확인하려고 할 경우 notepad.exe 프로세스를 자동 종료 처리하여 자신의 행위를 숨기며, 작업 관리자가 종료될 경우 재실행하여 지속적인 작업을 수행합니다.

 

 

  • "C:\Windows\System32\svchost.exe" -a cryptonight -o stratum+tcp://xmr.pool.minergate.com:45560 -u zcashminer@gmx.com -p x -t 2
  • "C:\Windows\System32\wuapp.exe" -a cryptonight -o stratum+tcp://xmr.pool.minergate.com:45560 -u zcashminer@gmx.com -p x -t 2

 

만약 x86 운영 체제 사용자의 경우에는 가상 화폐 채굴 기능을 수행하는 정상적인 시스템 프로세스는 svchost.exe 또는 wuapp.exe 프로세스를 통해 채굴이 이루어지도록 제작되어 있습니다.

 

이번 사례를 통해 KMSPico 정품 인증툴을 확인하는 과정에서 필수적으로 가상 화폐 채굴 기능과 더불어 특정 시간 단위로 추가적인 악성 프로그램 설치를 유도하는 웹 사이트 접속 행위가 수행될 수 있는 부분(※ 차후 관련 분석 내용을 공개할 예정)이 존재하는 것으로 보입니다.

 

그러므로 KMSPico 정품 인증툴은 되도록이면 사용하지 않는 것이 가장 안전하며, 백신 프로그램에서 탐지를 하여도 정품 인증툴 특성상 진단한다고 무시하는 경향이 매우 강할 수 있다는 점에서 더욱 주의하시기 바랍니다.

 


블로그 이미지

울지않는 벌새

울지않는벌새가 되고 싶은 나..

댓글을 달아 주세요

  • ㅁㅁㅁㅁ 2017.12.25 09:26  댓글주소  수정/삭제  댓글쓰기

    요새 악성 코드 트랜드가 가상 화폐를 요구하는 랜섬웨어에서 가상 화폐를 채굴하는 PC 만들기로 변화한거 같군요.

  • BlogIcon zestyx 2017.12.25 22:25  댓글주소  수정/삭제  댓글쓰기

    내가 알던 KMSpico 사이트는 저기가 아닌데 이상하네요. 현재 10.2.0 까지만 나오고 더이상 안나왔는데 10.2.1부터 시작하는것부터가 다른 사이트인듯.

  • BlogIcon Sakai 2017.12.27 00:56  댓글주소  수정/삭제  댓글쓰기

    요즈음에는 가상화폐 송금에서 채굴로 악성코드 제작들도 제작 방법을 변경을 하는것 같습니다.

  • Chris 2018.02.07 12:35  댓글주소  수정/삭제  댓글쓰기

    불법복제를 조장하는 KMSpico 를 사용하지 말고 정품 소프트웨어를 정정당당한 경로로 구입하여 구매하여 사용하는것을 권장해야 할 것 입니다. 불법복제는 뿌리뽑아야할 악의 근원 이며 불법 행위 입니다.
    정품불법인증 크랙 툴을 사용시 생길 보안사고는 모두 본인이 감수해야합니다. 법적 보호도 받을 수 없지요.

    정품을 정정당당하게 구매해서 사용합시다. 그돈 얼마나 아깝다고 불법복제로 훔쳐쓰는건지..

  • 한번에 한걸음씩 2019.03.12 09:11  댓글주소  수정/삭제  댓글쓰기

    감사합니다 덕분에 좋은 정보를 얻게 되었습니다. KMSPICO를 사용하면 안되는 이유를 명확하게 알게 되었습니다.