□ 개요
자료 공유 웹 사이트를 통해 최신 영화로 위장한 악성코드가 발견됐다. 사용자가 해당 영화를 관람하기 위해 자료를 다운받고 실행하는 순간 PC에 추가 악성행위를 수행할 수 있는 백도어 악성코드가 설치된다.
□ 분석 내용
Torrent로 유포된 악성코드의 유포 당시 홈페이지 화면과 피어 정보다.
[그림 1] 홈페이지 화면
[그림 2] 피어 정보
압축 파일 형태로 다운로드 되며 EXE 파일을 실행 하도록 유도하는 텍스트 파일이 포함되어있다. 압축 파일 내부의 파일 목록은 다음과 같다.
- 결백.Innocence.2019.WEBRip.1080p.x264.AAC.zip (압축 파일)
- LOCK파일 해제.exe (파일 목록 1)
- 결백.Innocence.2019.WEBRip.1080p.x264.AAC.LOCK (파일 목록 2)
-
읽어주세요.txt
(파일 목록 3)
‘LOCK파일 해제.exe’를 실행시켜도 영화 파일의 확장자가 변경되지 않는다.
영화 파일 ‘결백.Innocence.2019.WEBRip.1080p.x264.AAC.LOCK ‘는 확장자만 MP4 로 변경해 주면 정상적으로 재생 되지만 영화<결백>이 아닌 영화
가 재생된다.
현재 실행 중인 파일 이름을 확인하여 프로그램을 종료한다.
안티 바이러스 제품군이 실행 중인지 확인하여 2가지 그룹 이상 탐지되면 악성행위를 수행하지 않는다.
악성코드 분석 도구가 실행 중인지 확인하여 프로그램을 종료한다.
기존에 임시 파일이 존재하지 않는 경우 다음과 같은 경로에 임시 파일을 생성한 뒤에 설치파일을 생성하고 실행한다.
- 임시 파일 생성 경로 %temp%\rd1N.tmp
- 임시 파일 내용 : “0” (0x30)
- 설치 파일 생성 경로 : %temp%\afr******streamer_installer (3).exe (정상)
[그림 5] 임시 파일 존재여부 체크
백도어 기능을 수행하는 실행파일을 메모리상에서 복호화 하여 자식프로세스에 인젝션 한다.
인젝션된 실행 파일은 다음과 같은 C&C 서버에 접속을 시도하고 백도어 기능을 수행한다. 현재 정상적으로 C&C 서버에 접속되지 않고 있다.
- C&C 서버 : bit0000bit.duckdns.org (121.184.236.145)
백도어 기능을 수행하는 프로세스가 종료되는지 감시하는 역할의 프로세스가 생성된다. 감시하는 프로세스가 종료되면 악성코드를 다시 실행 시킨다.
- [실행 파일].exe 2 [인젝션된 프로세스의 PID] [GetTickCount 값]
□ 결론
최근 불법 다운로드 자료에는 자료 파괴형 악성코드, 정보탈취형 악성코드, 암호화폐 채굴형 악성코드 등이 포함되어 배포되고 있는 정황이 빈번히 발견되고 있습니다. 자료 공유 웹 사이트를 이용하실 때에는 사용자의 특별한 주의가 필요하며, 불법 다운로드는 삼가하시기를 권장합니다.
□ 바이로봇 업데이트 내역
Trojan.Win32.S.Agent