본문 바로가기

벌새::Analysis

Windows Update.exe 파일을 찾을 수 없다는 메시지 해결 방법 (2018.10.21)

반응형

2018년 10월 중순경부터 Monero 채굴 기능을 가진 기존의 Windows Defender.exe 악성 파일을 통해 대체한 Windows Update.exe 악성 파일이 유포된 부분이 발견되어 살펴보도록 하겠습니다.

 

 
당시 분석글을 작성하면서 정확한 감염 방식을 언급하지 못하였는데, 최근 추가적으로 확인된 정보를 통해 크랙(Crack) 파일로 위장하여 유포된 것을 알 수 있었습니다.
 
이번 역시 비슷한 방식으로 유포되었을 것으로 추정되며 해당 글을 작성할 수 있도록 악성 설치 파일을 빠르게 찾아 제공해주신 분에게 감사를 드립니다.
 
우선 설치 과정 일부를 살펴보면 RAR SFX 악성 설치 파일(2.59MB)이 실행될 경우 임시 폴더(%Temp%)에 Installer.msi Windows Installer 패키지 파일(SHA-1 : 6efbf91165cff44f77ec6fad7937a3f5bab96b78)을 생성하여 다음과 같은 명령어로 화면에는 표시되지 않는 방식으로 실행됩니다.
 
"C:\Windows\System32\msiexec.exe" /i C:\Users\%UserName%\AppData\Local\Temp\installer.msi /quiet

 

이후 "C:\Users\%UserName%\AppData\Local\Temp\MW-20ec7bf4-b188-45c9-b9c0-7f7330d91c85\files.cab" 압축 파일 생성이 이루어지며, "C:\Windows\System32\expand.exe" -R files.cab -F:* files 명령어 실행을 통해 "C:\Users\%UserName%\AppData\Local\Temp\MW-20ec7bf4-b188-45c9-b9c0-7f7330d91c85\files\Installer.exe" 파일(SHA-1 : 423efe5815b6c7b661edef6158f29c0780c846f4)로 압축 해제됩니다.

 

"C:\Users\%UserName%\AppData\Local\Temp\MW-20ec7bf4-b188-45c9-b9c0-7f7330d91c85\files\Installer.exe" /VERYSILENT /SP- /NORESTART /SUPPRESSMSGBOXES /NOCANCEL /NOICONS

 

실행된 파일은 숨김(H) + 시스템(S) 폴더 속성값을 가진 "C:\Users\%UserName%\AppData\Roaming\Windows Update" 폴더를 생성한 후 내부에 "C:\Users\%UserName%\AppData\Roaming\Windows Update\def.vbs" 배치 파일을 임시 생성 및 실행합니다.

 

def.vbs 배치 파일은 Windows PowerShell 기능을 통해 "C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -nop -exec bypass -command "&Add-MpPreference -ExclusionPath ""C:\Users\%UserName%\AppData\Roaming\Windows Update"" 명령어 실행을 통해 Windows Update 폴더에 다음과 같은 악성코드 생성을 진행합니다.

 

우선 "C:\Users\%UserName%\AppData\Roaming\Windows Update\dYKphcgH858Zvy5J241hBUSgMGq581.bat" 배치 파일(SHA-1 : 9a8751071efe7a74fc95e232e8cdf9f767b2722b) 생성 및 실행을 통해 다음과 같은 동작을 진행합니다.

 

dYKphcgH858Zvy5J241hBUSgMGq581.bat

 

def.vbs 파일을 자동 삭제한 후, 기존에 감염되어 있는 Windows Defender.exe 채굴 악성 파일이 존재할 경우 프로세스 종료 및 파일 삭제를 진행합니다.

 

 

또한 실행 중인 Windows Update 서비스를 중지(net stop wuauserv)한 후 시작 유형을 "사용 안 함"(sc config wuauserv start= disabled)으로 변경하여 보안 패치 및 기능 패치가 이루어지지 않도록 합니다.

 

해당 기능을 추가한 이유는 Windows Update 중지를 통해 Windows Defender 백신의 업데이트를 중지할 목적으로 추정됩니다.

 

JVvUF5U67l05t6LWR0m7zIgfgg1wG1.vbs

 

추가적으로 실행된 "C:\Users\%UserName%\AppData\Roaming\Windows Update\JVvUF5U67l05t6LWR0m7zIgfgg1wG1.vbs" 스크립트 파일(SHA-1 : ca81bc9c98efb7e8d94ac1041cc00f449ebf4f94)은 "C:\Users\%UserName%\AppData\Roaming\Windows Update\JVvUF5U67l05t6LWR0m7zIgfgg1wG1.bat" 배치 파일(SHA-1 : bd005f5157ab76fefa9ab23510c4c64eea245526)을 실행합니다.

 

JVvUF5U67l05t6LWR0m7zIgfgg1wG1.bat

 

해당 배치 파일은 "C:\Users\%UserName%\AppData\Roaming\Windows Update" 폴더에 생성되어 있는 7z 압축 모듈을 이용하여 비밀번호로 압축된 "C:\Users\%UserName%\AppData\Roaming\Windows Update\Ue7W3FwFxe79qJQ6R5Wgu7EYpw5s03.7z" 압축 파일(SHA-1 : 4f58430496cf4e17e50a1e13eeaa4d94c74852e3)을 해제하도록 구성되어 있습니다.

 

 

"C:\Users\%UserName%\AppData\Roaming\Windows Update\7z.exe"  x "C:\Users\%UserName%\AppData\Roaming\Windows Update\Ue7W3FwFxe79qJQ6R5Wgu7EYpw5s03.7z" -p4iUiHEop1A4Lwg4Xx845h3QzHfKV46qhwM10cyy97mZ6GsH9I1g8E3DvTP6OBD5XjSg9R9vRP08i1e45eB5uRtQ0ne -y -o"C:\Users\%UserName%\AppData\Roaming\Windows Update" 

 

압축 파일 내부에는 핵심 기능을 수행하는 Windows Update.exe 채굴 악성 파일과 자동 실행을 위한 배치 및 스크립트 파일 등이 포함되어 있습니다.

 

 

이를 통해 최종적으로 생성된 파일은 "C:\Users\%UserName%\AppData\Roaming\Windows Update" 폴더 내에 생성되며, 특히 해당 폴더는 숨김(H) + 시스템(S) 속성값으로 생성되어 Windows 탐색기 기본값에서는 표시되지 않으므로 다음과 같은 폴더 옵션 변경을 통해 찾을 수 있습니다.

 

 

폴더 옵션의 보기 항목에서 "보호된 운영 체제 파일 숨기기(권장)" 체크 해제 및 "숨김 파일, 폴더 및 드라이브 표시" 항목에 체크를 하신 후 "C:\Users\%UserName%\AppData\Roaming\Windows Update" 폴더를 찾으시기 바랍니다.

 

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{115DFA8F-A108-458C-8750-2903A14020A9}

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Windows Update Service

 

실행 방식을 살펴보면 "C:\Users\%UserName%\AppData\Roaming\Windows Update\8tajCd8L4K8788M2jiR7XtEKvs6MDf.xml" 구성 파일(SHA-1 : 08dbe777643015dc284882bd93985405504dd046)을 통해 작업 스케줄러에 "Windows Update Service" 값(C:\Windows\System32\Tasks\Windows Update Service)을 등록합니다.

 

등록된 값은 wscript.exe "%appdata%\Windows Update\run.vbs" 스크립트 파일(SHA-1 : 7d25b8d20c83c880f71ec496d598b922c5c2508a)을 Windows 부팅 시마다 자동 실행하도록 구성되어 있습니다.

 

run.vbs

 

실행된 "Windows Update Service" 작업 스케줄러 값은 2분마다 자동 실행되어 "C:\Users\%UserName%\AppData\Roaming\Windows Update\WxiCT3Mo0r6vF05om5A01BIq9nmM2R.bat" 배치 파일(SHA-1 : f38ce3ed059084f8f301c151081a9220ce68908c)을 실행하도록 구성되어 있습니다.

 

WxiCT3Mo0r6vF05om5A01BIq9nmM2R.bat

 

실행된 WxiCT3Mo0r6vF05om5A01BIq9nmM2R.bat 배치 파일은 "C:\Windows\System32\tasklist.exe" 파일 실행을 통해 현재 실행 중인 프로세스 중 작업 관리자(Taskmgr.exe)가 존재한지 "C:\Windows\System32\find.exe" 파일을 통해 문자열을 찾습니다.

 

만약 사용자가 작업 관리자를 실행할 경우 Windows Update.exe 채굴 악성 파일(SHA-1 : 2a61fd86fc12dd017529205f7b3b4c831f955f4e - Microsoft : Trojan:Win32/CoinMiner.C!cl)을 자동 종료하여 자신의 존재를 숨기며, 작업 관리자가 종료된 것이 확인될 경우 Windows Update.exe 악성 파일을 자동 재실행하도록 구성되어 있습니다.

 

 

정상적으로 동작하고 있는 상태에서의 프로세스 동작은 위와 같으며, 특히 감염된 상태에서 find.exe, tasklist.exe 프로세스가 지속적으로 실행 및 종료가 반복적으로 이루어지는 경우에는 감염을 의심하시기 바랍니다.

 

 

Windows Update.exe 채굴 악성 파일은 "sg.minexmr.com:6666" 서버와의 통신을 통해 모네로(Monero) 암호 화폐 채굴을 수행하도록 제작되어 있습니다.

 

 

스크립트 파일 "C:\Users\%UserName%\AppData\Roaming\Windows Update\run.vbs"을(를) 찾을 수 없습니다.

 

'C:\Users\%UserName%\AppData\Roaming\Windows Update\Windows Update.exe'을(를) 찾을 수 없습니다. 이름을 올바르게 입력했는지 확인하고 다시 시도하십시오.

 

특히 안티바이러스 프로그램을 통해 Windows Update.exe 악성 파일이 삭제된 경우에는 Windows 부팅 이후 2분 단위로 Windows Update.exe 파일을 찾을 수 없다는 메시지가 지속적으로 생성되므로 작업 스케줄러에 등록된 "Windows Update Service" 값을 삭제해야 하므로 "C:\Windows\System32\Tasks\Windows Update Service" 파일을 찾아 직접 삭제하시기 바랍니다.

 

이번 Windows Update.exe 변종에서는 기존과 다르게 Windows 방화벽의 인바운드, 아웃바운드 규칙에 추가하였던 avast, AhnLab V3, 알약(ALYac), 네이버 백신에 대한 업데이트 차단 기능을 제거하였습니다.

 

 

수동 제거가 어려우신 분은 AppCheck 안티랜섬웨어에서 제공하는 AppCheck 클리너 또는 Malware Zero Kit (MZK) 도구를 이용하여 검사 및 치료를 하실 수 있으며, 악성코드 제거 후에는 반드시 서비스에서 중지된 Windows Update 기능을 다시 활성화(시작 버튼 → 실행 → services.msc → "Windows Update" 서비스 항목 클릭 → 시작 유형(수동) → 서비스 상태(시작)) 하시기 바랍니다.

 

마지막으로 해당 악성코드 제작자는 2018년 7월경부터 현재까지 Windows 기본 파일처럼 위장한 악성 파일을 제작하여 사용자들이 많이 찾는 프로그램 또는 크랙(Crack) 파일로 위장하여 실행하도록 유도하고 있습니다.

 

특히 크랙(Crack) 파일은 백신에서 탐지하는 것이 당연하다고 생각하여 백신을 끄고 실행하는 경향이 강하므로 신뢰할 수 없는 파일을 함부로 실행하여 고생하는 일이 없도록 주의하시기 바랍니다.

728x90
반응형