스파이웨어 감염의 복고 바람... 크랙 및 불법 SW 다운 주의

2008.04.11

 

최근 스파이웨어의 감염경로가 예전으로 돌아가 크랙 프로그램이나 시리얼번호를 얻을 수 있는 사이트에 스파이웨어 프로그램을 올려놓고 불법적으로 크랙이나 시리얼번호를 얻으려고 하는 사용자를 대상으로 PC를 감염시키고 있다. 이는 인터넷이 활성화 되던 초기에 악성코드를 유포하는 수법을 활용하여 가짜 크랙 사이트를 구축하여 스파이웨어를 유포시키고 있는 것으로 볼 수 있다. 특히 아래 그림에서 확인할 수 있는 사이트에 올려있는 모든 파일들이 파일명은 다르지만 하나의 동일한 파일이라는 점도 특이하다.

 

[그림 1] 허위 크랙 다운로드 웹사이트

여기서 받아진 파일은 RAR SFX 형태로 압축된 파일로 압축이 풀려 실행되는데, 이는 TFakeDLL 툴을 이용하여 악성 모듈을 리소스로 가지고 있다가 윈도우 정상 시스템 드라이버인 %SYSTEM%\drivers\beep.sys 파일에 자신의 모듈(Win-Adware/FakeAlert.Reani mator.35840)을 인젝션하여 실행한다.

beep.sys에 인젝션된 해당 모듈은 NtQuerySystemInformation을 후킹하고 winlogon.exe 가 포함된 파일, 프로세스, 레지스트리를 은폐하고, 유명 AntiVirus 제품과 루트킷 탐지 도구, 시스템 분석 도구의 실행을 방해한다.

또한 %SYSTEM%\{users32.dat, cru629.dat, braviax.exe}와 같은 파일의 실행 사실을 숨기며, 삭제를 방해한다. Braviax.exe (Win-Downloader/Reanimator.16384)는 Win-Adware/Rogue.Reanimator를 다운로드하며 users32.dat(Win-Clicker/Fake Alert.6656.G) 를 실행하여 시스템 트레이에 허위 경고 메시지를 노출한다. 허위 경고 메시지를 출력하는 형태는 아래 그림과 같이 다양하게 나타나고 있다.

 

[그림 2] 시스템 트레이에 풍선도움말 형태로 나타난 허위 경고 메시지

 

[그림 3] 윈도우 메시지창 형태로 나타난 허위 경고 메시지

 

[그림 4] 인터넷 익스플로러에서 나타난 허위 경고 메시지

또한 위 사이트에서 설치된 악성코드로 Win-Spyware/SpamAgent.28672는 %systemroot% \system32\svchost.exe:ext.exe와 같이 ADS 형태의 파일로 설치되어 윈도우 서비스로 동작하는 것으로 확인되었다

ADS 는 Alternate Data Streams 의 약자로 MacOS 와 NT4 의 호환성을 위해 NTFS 파일 시스템에서 지원하는 기능이다. MacOS 에서 파일이 data 와 resource 로 구분되어 저장되는데, 바로 이 resource fork를 윈도우에서 지원하기 위한 것이 ADS 이다. 하나의 파일에 여러 개의 스트림 파일을 링크걸어 사용할 수 있는데, 이러한 기능은 사진 파일 안에 썸네일 이미지를 저장하는 등의 유용한 기능으로 사용될 수 있으나 윈도우 탐색기에서 스트림 파일에 대한 정보를 볼 수 없다는 점을 이용하여 오래 전부터 악의적인 수단으로 사용되어 왔다.

다음은 "명령 프롬프트" 상에서 ADS 조작할 수 있는 명령으로, 여기에서 예로 들고 있는 것은 윈도우 계산기 프로그램에 노트패드를 ASD로 붙였다가 제거하는 방법이다.

 

위에서 살펴본 ADS 관련 윈도우 명령 3번과 같이 윈도우에서 ADS 가 실행될 경우 윈도우 작업 관리자에서는 아래 그림과 같이 표시되어 확인할 수 있다.

 

[그림 5] ADS 프로세스 이미지 이름 확인

이렇게 실행되는 Win-Spyware/SpamAgent.28672는 위와 같이 ADS로 설치된 파일이 윈도우 서비스로 운영되면서 이메일을 전송하는 기능을 한다. 아래 그림은 Win-Spyware/SpamAgent.28672가 메일을 전송하려고 시도할 때 안철수연구소의 개인 방화벽 제품에서 차단한 화면이다.

 

[그림 6] 이메일 전송 차단 화면

출처 : ASEC리포트 3월호