Trojana및Downloader.225597 분석 보고서

 자료 : 한국정보보호진흥원(KISA)

개 요
Trojan/Downloader는 애드웨어/스파이웨어를 추가로 설치하는 Dropper 유형
의 악성코드로써 국내에서 일부 감염피해가 보고되었다.
자체 확산기능이 없으므로, 웹 서비스나 P2P 서비스, 메일첨부 등을 통하여 전
파되고 있는 것으로 추정된다.
이 Trojan에 감염되면 특정 사이트로부터 “온 파OO넷”이라는 애드웨어/스파
이웨어 유형의 악성프로그램이 설치된다. 이 추가로 설치되는 악성코드는 웹
브라우져의 URL 입력내용을 하이젝킹하는 프로그램으로써 사용자가 웹브라우
져의 URL 입력란에 임의의 문자열을 입력할 경우 내용을 가로채어 온파OO넷
이라는 검색사이트를 통하여 검색결과를 출력하게 한다. 감염 PC사용자가 온파
OO넷 검색 사이트를 사용하도록 유도하기 위한 일종의 애드웨어/스파이웨어
이다. 사용자는 안티바이러스 백신을 최신으로 업데이트 하고, 실시간 감시 기
능을 활성화하여 감염을 예방하도록 한다.
□ Trojan 외형
이름 크기
[random].exe 225,597 byte
□ 전파 방법 및 감염 절차
Trojan/Downloader는 자체 전파기능이 없다. 따라서, 이 악성코드는 웹브라
우져 취약점 또는 P2P, 메일 첨부를 통하여 확산되고 있는 것으로 추정된다.
Trojan/Downloader 는 Dropper 형태의 악성코드로써, 감염 후에 특정사이트
로부터 추가로 악성코드를 다운로드 하여 설치하며, 결과적으로는 “온 파OO
넷” 이라는 애드웨어/스파이웨어 기능을 수행하는 악성코드가 설치되게 된
다.
KrCERT-AR-2006-040 http://www.krcert.or.kr
Trojan/Downloader 분석보고서 cert@krcert.or.kr
____________________________________________________________________________________________
_____________________________________________________________________________________
KISC
인터넷침해사고대응지원센터
- 2 -
i) 웹브라우져 취약점, P2P, 메일첨부 공격 등을 통하여 사용자 PC 감염
※ 자체 전파 기능이 없으므로 위의 방법으로 확산되고 있는 것으로 추정
ii) Trojan/Downloader은 아래의 URL로 부터 악성파일을 다운로드 함
http://distribute.rese[생략]ernational.com/update/update_3.29.net
http://distribute.rese[생략]ernational.com/module/module.net
iii) 다운로드 받은 update_3.29.net, module.net 파일에 의해서, 아래의 사이트로부
터 파일 다운로드 및 설치가 추가로 발생함.
http://new.o[생략]nd.net/setup/kwmcore.do
http://www.[생략]zle.co.kr/setup.exe
※ setup.exe 파일은 테스트 당시 다운로드 불가
iv) 다운로드한 kwmcore.do 파일이 dll 형태로 메모리에 로드되어, 웹브라우져
URL입력 하이젝킹 기능을 수행.
KrCERT-AR-2006-040 http://www.krcert.or.kr
Trojan/Downloader 분석보고서 cert@krcert.or.kr
____________________________________________________________________________________________
_____________________________________________________________________________________
KISC
인터넷침해사고대응지원센터
- 3 -
□ 악성코드 기능
Trojan/Downloader에 감염 시 몇 개의 Dropper형태의 악성코드들과 “온파
OO더넷” 이라는 웹브라우져 URL 하이젝킹 프로그램이 설치된다
Trojan/Downloader 및 추가로 설치되는 악성코드에 대한 상세기능은 다음과
같다
o "Trojan/Downloader" 악성코드 기능 상세
▶ NTP 서버에 접속하여 시간 값 확인
악성코드에 감염되면 time.rese[생략]ernational.com 사이트에 접속
하여 시간 확인을 시도한다. 응답 수신이 실패할 경우, 7초 주기로 접속을
시도한다.
KrCERT-AR-2006-040 http://www.krcert.or.kr
Trojan/Downloader 분석보고서 cert@krcert.or.kr
____________________________________________________________________________________________
_____________________________________________________________________________________
KISC
인터넷침해사고대응지원센터
- 4 -
▶ PC의 시스템 시간 변경.
악성코드 내에는 PC의 시스템 시간을 변경하는 루틴이 삽입되어 있다.
time.resea[생략]rnational.com로부터 수신한 시간대로 시스템 시간을 변
경한다.
▶ 추가 악성 프로그램 설치.
악성코드 내에는 아래 URL로 부터 악성코드 파일 update_3.29.net 와
module.net을 다운로드 하기 위한 루틴이 포함되어있다.
. distribute.resea[생략]ernational.com/update/update_3.29.net
. distribute.resea[생략]rnational.com/module/module.net
☞ update_3.29.net 악성코드 다운로드 루틴 예
. distribute.resea[생략]national.com에 접속
KrCERT-AR-2006-040 http://www.krcert.or.kr
Trojan/Downloader 분석보고서 cert@krcert.or.kr
____________________________________________________________________________________________
_____________________________________________________________________________________
KISC
인터넷침해사고대응지원센터
- 5 -
. Get Method를 통하여 /update/update_3.29.net 파일 다운로드
. 다운로드 받은 파일을 c:WINDOWSmsagenty2dcDMfq.exe 파일로 저장
(파일명 및 폴더명은 감염 시 마다 랜덤하게 변경되는 것으로 확인됨)
KrCERT-AR-2006-040 http://www.krcert.or.kr
Trojan/Downloader 분석보고서 cert@krcert.or.kr
____________________________________________________________________________________________
_____________________________________________________________________________________
KISC
인터넷침해사고대응지원센터
- 6 -
. 재 부팅 시 마다 실행 될 수 있도록 하기 위하여 레지스트리를 등록
☞ module.net 파일 다운로드 루틴 예
. Trojan/Downloader는 “추가 악성코드1“ 를 설치하기 위하여
distribute.resear[생략]ernational.com 로 접속
. Get Method를 통하여 /module/module.net 파일 다운로드 시도
KrCERT-AR-2006-040 http://www.krcert.or.kr
Trojan/Downloader 분석보고서 cert@krcert.or.kr
____________________________________________________________________________________________
_____________________________________________________________________________________
KISC
인터넷침해사고대응지원센터
- 7 -
o "추가 악성코드1" 기능 상세
"추가 악성코드1" 은 “온파OO넷” (추가 악성코드2)를 다운로드 하여 설치하
는 기능을 수행하는 Dropper 형태의 코드이다. 악성코드의 주요 루틴을 살펴
보면 다음과 같다.
▶ new.on[생략]d.net/setup/kwmcore.do로 부터 파일 다운로드
. new.on[생략]nd.net 사이트에 접속
. 하위 링크인 /setup/kwmcore.do 로 부터 파일을 다운로드 한다
▶ 다운로드 파일을 dll 형태로 저장한 후 시스템에 등록
. 다운로드 파일을 kwmcore.dll 파일명으로 시스템 폴더에 저장한다.
KrCERT-AR-2006-040 http://www.krcert.or.kr
Trojan/Downloader 분석보고서 cert@krcert.or.kr
____________________________________________________________________________________________
_____________________________________________________________________________________
KISC
인터넷침해사고대응지원센터
- 8 -
. regsvr32.exe를 통하여 생성된 kwmcore.dll 파일을 등록시킨다.
o "추가 악성코드2" 상세 기능
“추가 악성코드1” 에 의해서 생성된 kwmcore.dll는 웹브라우져 URL 하이
젝킹 기능을 수행한다. kwmcore.dll 코드 내에는 아래와 같이 URL 하
이젝킹을 위한 루틴이 존재한다. 사용자가 URL 입력란에 문자열을 입
력 할 경우, 해당내용은 http://search.o[생략]d.net/search.do?q="문자열“
”&prov=1 의 형태로 온파OO드 사이트에 전달되며, 온파OO드 사이트의
검색 결과가 사용자 화면에 출력되게 된다.
KrCERT-AR-2006-040 http://www.krcert.or.kr
Trojan/Downloader 분석보고서 cert@krcert.or.kr
____________________________________________________________________________________________
_____________________________________________________________________________________
KISC
인터넷침해사고대응지원센터
- 9 -
IE웹브라우져를 통한 테스트 결과, 아래와 같이 웹브라우져의 URL 입력
란에 문자열을 입력하면, 정상적인 경우 MSN 화면이 출력되게 되지만,
이 악성코드가 설치되면 아래와 같이 온파OO드 검색 페이지로 이동하여
해당 페이지에서 수행한 검색 결과를 출력해 주는 것으로 관찰되었다.
<URL입력란에 문자열 입력>
<정상적인 경우 msn 검색 화멱이 출력>
<감염될 경우 온파OO 넷 검색페이지로 자동으로 연결된 후 해당문자열에 대한 검색 내
용이 출력>
KrCERT-AR-2006-040 http://www.krcert.or.kr
Trojan/Downloader 분석보고서 cert@krcert.or.kr
____________________________________________________________________________________________
_____________________________________________________________________________________
KISC
인터넷침해사고대응지원센터
- 10 -
o "추가 악성코드3" 상세 기능
“추가 악성코드3”은 NTP 접속 통한 시간 값 변경, 특정사이트로 부터 파일다
운로드 시도 등 Trojan/Downloader 와 유사한 기능을 수행한다.
▶ NTP 서버에 접속하여 시간 값 확인
악성코드에 감염되면 time.k[생략]ss.re.kr 사이트에 접속하여 시간 확인을
시도한다.
▶ PC의 시스템 시간 변경.
time.kriss.re.kr로부터 수신한 시간대로 시스템 시간을 변경한다.
▶ 추가 악성 프로그램 설치.
www.we[생략]le.exe 로 부터 setup.exe 파일을 다운로드한다.
※ 해당 파일은 테스트 당시 다운로드가 불가함
KrCERT-AR-2006-040 http://www.krcert.or.kr
Trojan/Downloader 분석보고서 cert@krcert.or.kr
____________________________________________________________________________________________
_____________________________________________________________________________________
KISC
인터넷침해사고대응지원센터
- 11 -
□ 위험 요소 및 향후전망
o 2006.4.19 이후 국내 피해 신고가 일부 보고 되고 있어 주의가 필요하다. 웹
사이트, P2P 및 기타 방법으로 유포되고 있는 것으로 추정된다.
o 2차로 설치되는 "온 파OO넷" 프로그램은 URL 하이젝킹을 통하여 웹브라우
져 사용자를 특정 검색 웹페이지로 강제 연결시켜주는 기능을 수행하는 애드
웨어/스파이웨어 코드이다. 유포 사이트 조치로 피해 확산 가능성은 감소하
였지만, 향후 이러한 유형의 애드웨어/스파이웨어 출현에 대한 주의가 필요
하다.
□ 예방 및 대응 방안
o 백신을 최신으로 업데이트 하며, 실시간 감시 기능을 활성화 한다. 또한 주
기적으로 모든 폴더에 대한 점검을 실시한다.
o 웹 브라우져를 최신으로 패치하며, 확인되지 않은 파일을 가능한 다운로드
KrCERT-AR-2006-040 http://www.krcert.or.kr
Trojan/Downloader 분석보고서 cert@krcert.or.kr
____________________________________________________________________________________________
_____________________________________________________________________________________
KISC
인터넷침해사고대응지원센터
- 12 -
받지 않는다. 꼭 필요한 경우는 해당 파일을 백신 점검 후 사용한다.
o P2P 사용 시 반드시 다운로드 파일은 백신 점검 후 사용한다.
o 확인되지 않은 메일 첨부 파일은 가급적 열어보지 않는다
o 백신을 최신으로 업데이트 하며 주기적으로 폴더 전체 점검을 실시한다.
□ 감염시 치료 방법
o Trojan/Downloader는 특별한 파일이름이 정해져 있지 않고 설치되는 디렉
토리가 가변적이므로, 안티바이러스 백신을 최신으로 업데이트한 후 치료하
도록 한다. 최신으로 업데이트 후 전체 폴더를 검사한다.