울지않는벌새 : Security, Movie & Society

Trojan-Downloader.Win32.Bagle.aqw (Kaspersky) 감염 경험담

벌새::Analysis
이전에 작성한 [Trojan-Downloader.Win32.Bagle Family 유포 경로]와 같은 방식으로 여전히 최근까지 악성코드가 주기적으로 변종을 유포하고 있습니다.

어제 밤 신종 악성코드를 다운로드하여 폴더로 옮기는 과정에서 마우스 클릭 실수로 샘플 파일을 클릭하는 바람에 6년만에 악성코드에 감염되는 경험을 겪었습니다.(이런 경우를 대비하여 윈도우 탐색기에서 실수로 클릭되는 것을 방지하는 프로그램을 추가로 운영 중이지만, 이번 실수는 해당 프로그램이 아닌 윈도우 탐색기에서 프로그램의 마우스 클릭에 대한 습관으로 비롯된 인재(人災)였습니다.)

해당 악성코드가 인터넷을 통해 악성코드를 다운로드를 하는 형태 또는 스파이웨어 행동을 한다는 것을 알기에 클릭과 동시에 바로 바로 인터넷 모뎀을 끊는 것으로 프로세스에 생성되었던 Patch.exe 프로세스는 바로 동작을 멈추었습니다. 더 자세히 말하면 동작이 비정상적으로 중단이 되었다고 표현하는게 맞을 것 같습니다.

감염 후 혹시 모를 악성코드 재동작을 감시하였지만 동작하지 않았기에 일단 사용하는 보안제품인 AhnLab V3 365 제품의 진단 추가를 위해 업체에 신고를 한 상태입니다.(여전히 진단은 현재 시간 되지 않고 있습니다.)

Antivirus;Version;Last Update;Result
a-squared;4.0.0.101;2009.04.14;Gen.Packer!IK
AntiVir;7.9.0.138;2009.04.14;WORM/Bagle.Gen
Authentium;5.1.2.4;2009.04.14;W32/Heuristic-210!Eldorado
AVG;8.5.0.285;2009.04.14;Win32/Themida
BitDefender;7.2;2009.04.14;DeepScan:Generic.Bagle.B3306B0B
CAT-QuickHeal;10.00;2009.04.14;(Suspicious) - DNAScan
DrWeb;4.44.0.09170;2009.04.14;Trojan.Packed.650
F-Prot;4.4.4.56;2009.04.13;W32/Heuristic-210!Eldorado
F-Secure;8.0.14470.0;2009.04.14;Trojan-Downloader.Win32.Bagle.aqw
Fortinet;3.117.0.0;2009.04.14;PossibleThreat
GData;19;2009.04.14;DeepScan:Generic.Bagle.B3306B0B
Ikarus;T3.1.1.49.0;2009.04.14;Gen.Packer
Kaspersky;7.0.0.125;2009.04.14;Trojan-Downloader.Win32.Bagle.aqw
McAfee+Artemis;5583;2009.04.13;Generic!Artemis
McAfee-GW-Edition;6.7.6;2009.04.14;Worm.Bagle.Gen
Prevx1;V2;2009.04.14;High Risk Cloaked Malware
Sophos;4.40.0;2009.04.14;Mal/Generic-A
TheHacker;6.3.4.0.306;2009.04.12;W32/Behav-Heuristic-064

Additional information
File size: 856064 bytes
MD5...: 6688650d765cb8d766ac288f1cf03118
SHA1..: 469eaac41171bd6bca1dc34f4060345a664dca1d

감염 당시에는 Kaspersky 엔진에서 진단을 하지 못한 상태였고, 기타 일부 제품에서 휴리스틱 또는 Generic 진단을 하고 있었습니다.

V3의 느린 진단 추가에 참을 수 없어서 개별적으로 아래와 같이 해당 악성코드를 확인해 보았습니다.

하우리(Hauri) 제품에서도 실제 해당 악성코드는 진단하지 못하고 있지만, 온라인 스캐너를 통해 확인해보면 유사 변종으로 인해 Spyware.Bagle.RootKit (2009-04-14.00) 진단명으로 해당 악성코드가 생성하는 폴더를 진단하고 있습니다.

[생성 폴더]

C:\Documents and Settings\사용자 계정\Application Data\drivers
C:\Documents and Settings\사용자 계정\Application Data\drivers\downld

해당 폴더 내에는 추가적으로 생성된 파일 단위는 존재하지 않습니다.

[파일 수정]

%ProgramFiles%\Messenger\msmsgs.exe

해당 악성코드는 감염시 Windows Messenger 실행 파일(msmsgs.exe)을 수정한다고 나와 있습니다. 하지만 필자의 경우 감염 중단으로 인해 해당 파일은 수정되지 않고 정상적인 파일로 확인이 되었습니다.

[레지스트리 생성]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Security Center
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Security Center\Svc
 - EnableLUA = 0x00000016

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
 - EnableLUA = 0x00000000

HKEY_CURRENT_USER\Software\bisoft
 - frstrunn = 0x00000001


정상적인 감염이 이루어진 경우 bisoft 레지스트리 항목에 실행값이 추가가 되는데 위와 같이 등록이 이루어지지 않았습니다.

HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\patch
HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\patch\Recent File List
HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\patch\Settings


해당 레지스트리 항목에 등록된 patch 명은 실제 동작하는 악성코드 이름(프로세스 이름)에 따라 달라질 수 있습니다.

이 외에 해당 악성코드에 감염시 악성코드에 등록된 보안제품의 프로세스를 강제로 종료하여 자신이 활동하는데 방해가 되지 않도록 하고 있습니다.

저의 경우 정말 운좋게 빨리 인터넷 연결을 끊어서 해당 악성코드가 특정 서버로부터 다운로드 행위를 하지 못하도록 하였지만, 악성코드를 수집하시는 분들이라면 샘플에 대한 마우스 클릭은 조심하시기 바랍니다.

추천하는 방법은 마우스 1회 클릭 실행이 아닌 2회 클릭시 실행을 하도록 설정하거나 다운과 함께 확장자 변경(CMD 모드 - ren 명령어 활용)을 한 후 샘플을 이동하는 습관도 필요할 것 같습니다.

마지막으로 샘플 신고에 늦게 반응하는 안철수연구소도 답답하게 하는 것 같습니다.