마이크로소프트(Microsoft) 업체에서 제공하는 Windows, Office 제품에 대한 인증 기능을 제공하는 KMSAuto Net 정품 인증툴은 기본적으로 다수의 백신 프로그램에서 HackKMS 계열의 진단명으로 탐지하는 경우가 있으며, 이로 인하여 정품 인증툴 사용 시 백신 탐지를 무시하는 경향이 강합니다.
- KMSAuto Net.exe (SHA-1 : 992585b81acaccdb5c89361cdd1c1fd25e0c5ca1 - 알약(ALYac) : Misc.HackTool.AutoKMS)
- system32.exe (SHA-1 : f185b9c1d1591ee0ab44985a93040768afe802c2 - Microsoft : Backdoor:MSIL/Noancooe.C)
사용자가 KMSAuto Net 정품 인증툴을 실행할 경우 기본적으로 백신 프로그램의 실시간 감시를 끄거나 탐지 제외 처리를 할 수 있으며, 실행으로 인해 압축 해제된 "C:\Users\%UserName%\AppData\Roaming\system32\qq\KMSAuto Net.exe" 파일 생성 및 실행을 통해 화면 상으로는 "KMSAuto Net 2015 v1.4.2 by Ratiborus" 창이 생성되어 인증 절차를 진행합니다.
하지만 실제로는 이 과정에서 다음과 같은 악성코드가 자동 설치되어 실행될 수 있으며, Windows 운영 체제 종류에 따라 다음과 같이 설치됩니다.
1. Windows 7 운영 체제 기준
생성 폴더 / 파일 등록 정보 |
C:\Program Files (x86)\TCP Service C:\Program Files (x86)\TCP Service\tcpsv.exe C:\Users\%UserName%\AppData\Roaming\042976CE-93F5-423F-9747-32EFA7B324E5 C:\Users\%UserName%\AppData\Roaming\042976CE-93F5-423F-9747-32EFA7B324E5\Logs C:\Users\%UserName%\AppData\Roaming\042976CE-93F5-423F-9747-32EFA7B324E5\Logs\%UserName% C:\Users\%UserName%\AppData\Roaming\042976CE-93F5-423F-9747-32EFA7B324E5\run.dat C:\Users\%UserName%\AppData\Roaming\042976CE-93F5-423F-9747-32EFA7B324E5\task.dat C:\Users\%UserName%\AppData\Roaming\system32\qq C:\Users\%UserName%\AppData\Roaming\system32\qq\system32.exe C:\Windows\System32\Tasks\TCP Service C:\Windows\System32\Tasks\TCP Service Task |
생성 레지스트리 등록 정보 |
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{3D6FBF37-3D77-41F1-B5AD-DDD781D03334} HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{9A599A0F-E551-4B88-A7B4-B6C7AF1478BD} HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\TCP Service HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\TCP Service Task HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run - TCP Service = C:\Program Files (x86)\TCP Service\tcpsv.exe |
2. Windows 8.1 운영 체제 기준
생성 폴더 / 파일 등록 정보 |
C:\Program Files (x86)\DSL Subsystem C:\Program Files (x86)\DSL Subsystem\dslss.exe C:\Users\%UserName%\AppData\Roaming\9C89D075-70B6-4F00-A1A7-D3180DD73A15 C:\Users\%UserName%\AppData\Roaming\9C89D075-70B6-4F00-A1A7-D3180DD73A15\Logs C:\Users\%UserName%\AppData\Roaming\9C89D075-70B6-4F00-A1A7-D3180DD73A15\Logs\%UserName% C:\Users\%UserName%\AppData\Roaming\9C89D075-70B6-4F00-A1A7-D3180DD73A15\run.dat C:\Users\%UserName%\AppData\Roaming\9C89D075-70B6-4F00-A1A7-D3180DD73A15\task.dat C:\Users\%UserName%\AppData\Roaming\system32\qq C:\Users\%UserName%\AppData\Roaming\system32\qq\system32.exe C:\Windows\System32\Tasks\DSL Subsystem C:\Windows\System32\Tasks\DSL Subsystem Task |
생성 레지스트리 등록 정보 |
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{2C039DB0-8528-492B-86A8-3857FB79BAD6} HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{F3A99DE4-65C0-42EF-9778-01E7B36CA112} HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\DSL Subsystem HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\DSL Subsystem Task HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run - DSL Subsystem = C:\Program Files (x86)\DSL Subsystem\dslss.exe |
생성 폴더 / 파일 등록 정보 |
C:\Program Files (x86)\IMAP Subsystem C:\Program Files (x86)\IMAP Subsystem\imapss.exe C:\Users\%UserName%\AppData\Roaming\5E4C3A93-FD44-49E0-9276-00EA16D8B34F C:\Users\%UserName%\AppData\Roaming\5E4C3A93-FD44-49E0-9276-00EA16D8B34F\Logs C:\Users\%UserName%\AppData\Roaming\5E4C3A93-FD44-49E0-9276-00EA16D8B34F\Logs\%UserName% C:\Users\%UserName%\AppData\Roaming\5E4C3A93-FD44-49E0-9276-00EA16D8B34F\run.dat C:\Users\%UserName%\AppData\Roaming\5E4C3A93-FD44-49E0-9276-00EA16D8B34F\task.dat C:\Users\%UserName%\AppData\Roaming\system32\qq C:\Users\%UserName%\AppData\Roaming\system32\qq\system32.exe C:\Windows\System32\Tasks\IMAP Subsystem C:\Windows\System32\Tasks\IMAP Subsystem Task |
생성 파일 진단 정보 |
C:\Program Files (x86)\IMAP Subsystem\imapss.exe C:\Users\%UserName%\AppData\Roaming\system32\qq\system32.exe - SHA-1 : f185b9c1d1591ee0ab44985a93040768afe802c2 - Kaspersky : Trojan.MSIL.Crypt.gobk |
생성 레지스트리 등록 정보 |
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{4461ECC6-3DB4-4982-8D97-7F3D4E952306} HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{A4629CF2-5768-4ADD-B5BA-AD1F1F6183F3} HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\IMAP Subsystem HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\IMAP Subsystem Task HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run - IMAP Subsystem = C:\Program Files (x86)\IMAP Subsystem\imapss.exe |
사용자가 KMSAuto Net 정품 인증툴을 실행할 경우 "C:\Users\%UserName%\AppData\Roaming\system32\qq\system32.exe" 악성 파일을 최초 생성 및 실행하여 자신을 "C:\Program Files (x86)\IMAP Subsystem\imapss.exe" 파일로 자가 복제한 후 Windows 부팅 시 자동 실행되도록 시작 프로그램(Run) 등록값에 추가하여 실행하도록 구성되어 있습니다.
- IMAP Subsystem : "C:\Users\%UserName%\AppData\Roaming\system32\qq\system32.exe" $(Arg0)
- IMAP Subsystem Task : "C:\Program Files (x86)\IMAP Subsystem\imapss.exe" $(Arg0)
실행된 악성 파일은 8.8.8.8 DNS 서버 주소로 "gandigod.codns.com" C&C 서버로 통신을 지속적으로 시도하고 있으며, 내부 코드를 확인해보면 오픈 소스형 원격 제어 도구로 알려진 NanoCore RAT 계열의 백도어(Backdoor)임을 알 수 있습니다.
이번 사례와 같인 많은 사용이 이루어지고 있는 KMSAuto Net 정품 인증툴에 악성코드를 추가하여 감염시키는 공격이 있었으며, 최근에도 해당 악성코드에 감염된 PC가 발견되었으므로 각별한 주의를 하시기 바랍니다.
비밀댓글입니다
정품 인증툴에 따라서 이런 악성코드가 추가적으로 포함된 경우도 있고 아닌 경우도 있습니다.
하지만 기본적으로 백신으로 검사할 경우 정품 인증툴은 대부분 탐지가 되므로 내부에 추가 악성코드가 존재한지 여부는 파일 분석을 하거나 아니면 가상 환경에서 사전에 한 번 설치하여 추가 감염 여부를 확인하는 방법 외에는 없습니다.
비밀댓글입니다
백신이 탐지할 수 있으면 차단할거고 아직 확인하지 못해서 미탐지일 수도 있습니다.
악성인지 궁금하신분들은 이스트소프트,안랩 홈페이지가면 신고하기 눌러서 해당파일을 분석요청해보세요!
분석요청 보내면 자동답변뿐이에요 인증핵은 정밀분석도 안해줘요
차라리 바이러스토탈이 더 나을텐데요
비밀댓글입니다
언급하신 2개 항목은 윈도우 인증에 필요한 구성 요소입니다.
백신에서 그 외에 탐지된게 없다면 문제는 없을겁니다.
이러한 위협에서 벗어나려면 SW 정품을 사용하는 수밖에 없죠.
크랙툴에 악성코드를 포함시켜 배포하는 나쁜 사람들이 많아요.
랜섬웨에라든지.. 랜섬웨어라든지.. ㄷㄷ
그래서 이걸 어떻게 지우나요 ...
백신 프로그램으로 정밀 검사를 해보시기 바랍니다.
모든 해당 인증툴이 이런 악성코드 감염을 유발하지는 않습니다.
KmsAuto Net으로 윈도우 10 설치했는데요...
그 윈도우 10 운영체제 기준으로 작성하신 폴더 레지스트리 전부 찾아봤는데 안 보이면 괜찮은 건가요? 물론 숨김폴더 전부 공개 상태에서 찾아보았습니다.
이 글에서 언급한 인증툴은 악의적으로 제작된 것으로 일반적인 인증툴에서는 존재하지 않습니다.
백신 프로그램 실시간 보호가 켜져 있다면 쉽게 감염되지는 않을겁니다.
그런데 애초 인증툴 자체가 바이러스임.
단순히 인증만 하는 게 아니라.. 윈도우 파일을 변조 시켜서 인증하는 원리 인지라..
백신 키고 인증툴 실행하면 바이러스 감지됨.
그러니깐 내 말을 정리해서 말하자면,
바이러스가 무서우면 정품 이용하면 되는 부분이고,
그게 아니라면 kms 인증 툴을 이용해야 하는데, 그 상황에서 윈도우 파일을 변조 시켜서 인증하는 원리라 바이러스 뜨는 것은
당연한 거고, 여기 나온 것은 그 상황 중에 정품 인증과 무관한 다른 바이러스를 넣어 감염 시키는 상황임.
고로 차이를 명확히 분간하시길...
진짜 댓글 하나하나가 한심함.
지님! 관심갖고 공익적 선익에 봉사해 주심에 감사드려요
부탁 올리고 싶은 것은 만사가 나는 쉬운데 상대는 어려울 수 있고 상대는 어려운데 나는 쉬울 수 있는 것 아니겠습니까?
한심해 하심에 위로를 드리고 더 성숙한 계기가 되시 옵소서 ! 감사합니다.