마이크로소프트(Microsoft) 업체에서 제공하는 Windows, Office 제품에 대한 인증 기능을 제공하는 KMSAuto Net 정품 인증툴은 기본적으로 다수의 백신 프로그램에서 HackKMS 계열의 진단명으로 탐지하는 경우가 있으며, 이로 인하여 정품 인증툴 사용 시 백신 탐지를 무시하는 경향이 강합니다.
- KMSAuto Net.exe (SHA-1 : 992585b81acaccdb5c89361cdd1c1fd25e0c5ca1 - 알약(ALYac) : Misc.HackTool.AutoKMS)
- system32.exe (SHA-1 : f185b9c1d1591ee0ab44985a93040768afe802c2 - Microsoft : Backdoor:MSIL/Noancooe.C)
사용자가 KMSAuto Net 정품 인증툴을 실행할 경우 기본적으로 백신 프로그램의 실시간 감시를 끄거나 탐지 제외 처리를 할 수 있으며, 실행으로 인해 압축 해제된 "C:\Users\%UserName%\AppData\Roaming\system32\qq\KMSAuto Net.exe" 파일 생성 및 실행을 통해 화면 상으로는 "KMSAuto Net 2015 v1.4.2 by Ratiborus" 창이 생성되어 인증 절차를 진행합니다.
하지만 실제로는 이 과정에서 다음과 같은 악성코드가 자동 설치되어 실행될 수 있으며, Windows 운영 체제 종류에 따라 다음과 같이 설치됩니다.
1. Windows 7 운영 체제 기준
생성 폴더 / 파일 등록 정보 |
C:\Program Files (x86)\TCP Service C:\Program Files (x86)\TCP Service\tcpsv.exe C:\Users\%UserName%\AppData\Roaming\042976CE-93F5-423F-9747-32EFA7B324E5 C:\Users\%UserName%\AppData\Roaming\042976CE-93F5-423F-9747-32EFA7B324E5\Logs C:\Users\%UserName%\AppData\Roaming\042976CE-93F5-423F-9747-32EFA7B324E5\Logs\%UserName% C:\Users\%UserName%\AppData\Roaming\042976CE-93F5-423F-9747-32EFA7B324E5\run.dat C:\Users\%UserName%\AppData\Roaming\042976CE-93F5-423F-9747-32EFA7B324E5\task.dat C:\Users\%UserName%\AppData\Roaming\system32\qq C:\Users\%UserName%\AppData\Roaming\system32\qq\system32.exe C:\Windows\System32\Tasks\TCP Service C:\Windows\System32\Tasks\TCP Service Task |
생성 레지스트리 등록 정보 |
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{3D6FBF37-3D77-41F1-B5AD-DDD781D03334} HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{9A599A0F-E551-4B88-A7B4-B6C7AF1478BD} HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\TCP Service HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\TCP Service Task HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run - TCP Service = C:\Program Files (x86)\TCP Service\tcpsv.exe |
2. Windows 8.1 운영 체제 기준
생성 폴더 / 파일 등록 정보 |
C:\Program Files (x86)\DSL Subsystem C:\Program Files (x86)\DSL Subsystem\dslss.exe C:\Users\%UserName%\AppData\Roaming\9C89D075-70B6-4F00-A1A7-D3180DD73A15 C:\Users\%UserName%\AppData\Roaming\9C89D075-70B6-4F00-A1A7-D3180DD73A15\Logs C:\Users\%UserName%\AppData\Roaming\9C89D075-70B6-4F00-A1A7-D3180DD73A15\Logs\%UserName% C:\Users\%UserName%\AppData\Roaming\9C89D075-70B6-4F00-A1A7-D3180DD73A15\run.dat C:\Users\%UserName%\AppData\Roaming\9C89D075-70B6-4F00-A1A7-D3180DD73A15\task.dat C:\Users\%UserName%\AppData\Roaming\system32\qq C:\Users\%UserName%\AppData\Roaming\system32\qq\system32.exe C:\Windows\System32\Tasks\DSL Subsystem C:\Windows\System32\Tasks\DSL Subsystem Task |
생성 레지스트리 등록 정보 |
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{2C039DB0-8528-492B-86A8-3857FB79BAD6} HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{F3A99DE4-65C0-42EF-9778-01E7B36CA112} HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\DSL Subsystem HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\DSL Subsystem Task HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run - DSL Subsystem = C:\Program Files (x86)\DSL Subsystem\dslss.exe |
생성 폴더 / 파일 등록 정보 |
C:\Program Files (x86)\IMAP Subsystem C:\Program Files (x86)\IMAP Subsystem\imapss.exe C:\Users\%UserName%\AppData\Roaming\5E4C3A93-FD44-49E0-9276-00EA16D8B34F C:\Users\%UserName%\AppData\Roaming\5E4C3A93-FD44-49E0-9276-00EA16D8B34F\Logs C:\Users\%UserName%\AppData\Roaming\5E4C3A93-FD44-49E0-9276-00EA16D8B34F\Logs\%UserName% C:\Users\%UserName%\AppData\Roaming\5E4C3A93-FD44-49E0-9276-00EA16D8B34F\run.dat C:\Users\%UserName%\AppData\Roaming\5E4C3A93-FD44-49E0-9276-00EA16D8B34F\task.dat C:\Users\%UserName%\AppData\Roaming\system32\qq C:\Users\%UserName%\AppData\Roaming\system32\qq\system32.exe C:\Windows\System32\Tasks\IMAP Subsystem C:\Windows\System32\Tasks\IMAP Subsystem Task |
생성 파일 진단 정보 |
C:\Program Files (x86)\IMAP Subsystem\imapss.exe C:\Users\%UserName%\AppData\Roaming\system32\qq\system32.exe - SHA-1 : f185b9c1d1591ee0ab44985a93040768afe802c2 - Kaspersky : Trojan.MSIL.Crypt.gobk |
생성 레지스트리 등록 정보 |
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{4461ECC6-3DB4-4982-8D97-7F3D4E952306} HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{A4629CF2-5768-4ADD-B5BA-AD1F1F6183F3} HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\IMAP Subsystem HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\IMAP Subsystem Task HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run - IMAP Subsystem = C:\Program Files (x86)\IMAP Subsystem\imapss.exe |
사용자가 KMSAuto Net 정품 인증툴을 실행할 경우 "C:\Users\%UserName%\AppData\Roaming\system32\qq\system32.exe" 악성 파일을 최초 생성 및 실행하여 자신을 "C:\Program Files (x86)\IMAP Subsystem\imapss.exe" 파일로 자가 복제한 후 Windows 부팅 시 자동 실행되도록 시작 프로그램(Run) 등록값에 추가하여 실행하도록 구성되어 있습니다.
- IMAP Subsystem : "C:\Users\%UserName%\AppData\Roaming\system32\qq\system32.exe" $(Arg0)
- IMAP Subsystem Task : "C:\Program Files (x86)\IMAP Subsystem\imapss.exe" $(Arg0)
실행된 악성 파일은 8.8.8.8 DNS 서버 주소로 "gandigod.codns.com" C&C 서버로 통신을 지속적으로 시도하고 있으며, 내부 코드를 확인해보면 오픈 소스형 원격 제어 도구로 알려진 NanoCore RAT 계열의 백도어(Backdoor)임을 알 수 있습니다.
이번 사례와 같인 많은 사용이 이루어지고 있는 KMSAuto Net 정품 인증툴에 악성코드를 추가하여 감염시키는 공격이 있었으며, 최근에도 해당 악성코드에 감염된 PC가 발견되었으므로 각별한 주의를 하시기 바랍니다.