도박게임 설치 프로그램을 악용한 악성코드 감염사례 분석

다운로드 ==>  도박게임설치프로그램악용악성코드감염사례분석.pdf

KrCERT-AR-2008-04 http://www.krcert.or.kr
도박게임 설치 프로그램을 악용한 악성코드 감염사례 분석 cert@krcert.or.kr

__
도박게임 설치 프로그램을 악용한
악성코드 감염사례 분석
2008. 4. 8
인터넷침해사고대응지원센터 (KISC)
※ 본 보고서의 전부나 일부를 인용시 반드시 [자료: 한국정보보호진흥원(KISA)]를 명시하여 주시기 바랍니다.
KrCERT-AR-2008-04 http://www.krcert.or.kr
도박게임 설치 프로그램을 악용한 악성코드 감염사례 분석 cert@krcert.or.kr

__
- 1 -
□ 개 요
최근 국내 유명 사이트의 계정으로 로그인한 후 이메일 또는 방명록을 통해 불
법 도박 사이트를 홍보하는 악성코드가 발견되었다. 사용자가 홍보 대상 도박
사이트에 접속하여 도박 게임 설치 프로그램(Game789.exe)을 다운로드하여 실행
할 경우, 여러 개의 악성코드가 동시에 설치된다. 각각의 악성코드는 원격 서버에
서 다수의 아이디와 패스워드를 다운로드받아 스팸을 발송하고, 감염된 PC에서
사용자가 입력하는 계정과 패스워드 관련정보를 원격서버에 전송한다. 감염 시
사용자 PC가 광고 문구를 발송하는 Agent로 악용될 수 있고 개인정보가 유출되어
피해를 입을 수 있으므로 사용자는 신뢰할 수 없는 사이트로 부터 설치 프로그램을
다운로드 시 반드시 백신을 통하여 점검 후 실행하도록 한다.
<도박사이트 방문 시 악성코드유포사이트로 리다이렉션되는 흐름>
다음은 사용자가 도박 사이트를 방문한 후 악성코드에 감염되고 악성행위를 수행
하게 되는 Agent역할을 하는 공격 흐름이다. 각 단계에 대한 설명은 다음 절에서
자세히 기술한다.
KrCERT-AR-2008-04 http://www.krcert.or.kr
도박게임 설치 프로그램을 악용한 악성코드 감염사례 분석 cert@krcert.or.kr

__
- 2 -
① 사용자는 도박게임을 하기 위해 www.g[생략].co.kr 등에 접속
② www.ga[생략].co.kr 등은 http://21.[생략].112로 재접속
③ 사용자는 게임 설치를 위해 Game789 홈페이지의 좌측 하단 “게임수동설
치” 메뉴를 클릭하여 Game789.exe를 다운로드
④ 사용자는 도박게임용 클라이언트 Game789.exe를 다운로드하고 설치한 후
원격지로부터 추가 악성코드를 다운로드
⑤ 생성된 Updater_.exe는 실제 악성행위를 하는 다수의 악성코드 및 설정파
일들을 다운로드 받아 시스템 폴더에 생성
⑥ 악성코드는 설정 파일에 기록된 아이피 주소의 서버에서 ID/PASSWORD
다운로드
⑦ 다운로드한 ID/PASSWORD을 이용하여 포털사이트에 로그인한 후 스팸
메일 전송 및 광고 문구 자동 게시
⑧ 악성코드는 피해자 시스템에서 키보드 입력 행위를 관찰한 뒤 서버로
ID/PASSWORD 전송
□ 감염절차 및 악성행위
악성코드가 발송한 광고성 방명록 및 메일링크를 클릭하게 되면, 사용자는
Game789 도박사이트에 접속하게 된다. 접속도메인과 아이피는 다수인 것으
로 확인되었다. 아래 그림에서 볼 수 있듯이 도메인은 대부분 그 형태가 유
사하며, 일부는 직접 사이트로 연결되지 않고 다른 도메인 및 아이피를 거쳐
Game789 사이트에 접속하는 것으로 확인되었다. 해당 사이트에 접속 후 “게
/임/수/동/설/치”아이콘을 클릭하면 Game789.exe가 다운로드되며 실행 시
Updater_.exe을 설치한다. 그리고 Updater_.exe는 다수의 악성코드와 설정파
일을 최종 생성한다. 각각의 악성코드는 유명 커뮤니티 사이트 방명록에 광고
성 글을 게재, 또는 유명 포털 사이트를 통하여 스팸을 발송하고, 키보드 입
력 행위를 수집하여 원격지로 전송한다.
KrCERT-AR-2008-04 http://www.krcert.or.kr
도박게임 설치 프로그램을 악용한 악성코드 감염사례 분석 cert@krcert.or.kr

__
- 3 -
<그림 2> Game789 사이트 방문시 리다이렉션 흐름
o 감염절차
Game789.exe는 21.[생략].50에서 다수의 악성코드를 생성하는 Updater_.exe와
키로깅 기능을 하는 악성코드를 다운로드한다. 또한 21.[생략].112에서 스팸
메일을 발송하고 방명록에 광고 문구를 게재하는 악성코드를 다운로드한다.
① 사용자는 도박게임을 하기 위해 www.g[생략].co.kr 등에 접속
② www.ga[생략].co.kr 등은 http://21.[생략].112로 재접속
③ 사용자는 게임 설치를 위해 Game789 홈페이지의 좌측 하단 “게임수동
설치” 메뉴를 클릭하여 Game789.exe를 다운로드
<Game789.exe의 다운로드>
KrCERT-AR-2008-04 http://www.krcert.or.kr
도박게임 설치 프로그램을 악용한 악성코드 감염사례 분석 cert@krcert.or.kr

__
- 4 -
④ 사용자는 도박게임용 클라이언트 Game789.exe를 다운로드하고 설치한 후
원격지로부터 추가 악성코드를 다운로드
<Game789.exe가 발생시키는 다운로드 패킷>
※ 21.[생략].50로부터 다운로드 받은 파일 목록(Game789.exe)
악성코드: Updater_.exe, lsas.exe, syssend.exe, MSTrack.dll
⑤ 생성된 Updater_.exe는 실제 악성행위를 하는 다수의 악성코드 및 설정
파일들을 다운로드 받아 시스템 폴더에 생성
※ 21.[생략].112로부터 다운로드 받은 파일 목록(Updater_.exe)
악성코드 : spools.exe, msmsg.exe, csrs.exe, rundll64.exe
설정파일 : masterv.ini,update.ini,mxconf.ini, mercury.ini, divxconf.ini, xwin-config.ini
o 악성행위 요약
도박게임용 클라이언트(“Game789.exe”)가 다운로드한 악성코드는 스팸발송
기능과 키로깅 기능을 한다.
- 스팸발송 및 광고 문구 자동 게시
21.[생략].49에서 스팸 발송용 ID/PASSWORD를 다운로드 한 후, 이를 이용
하여 국내 포털 사이트에 로그인하고 스팸메일을 발송하거나 방명록에 광고
문구를 게재한다.
① 시스템 폴더에 저장된 xwin-config.ini파일을 읽어 21.[생략].49의 16017번 포트
로 접속
② 원격지 21.[생략].49로 접속한 후 16017번 포트를 통하여 스팸발송에
필요한 아이디, 패스워드, 광고문구를 다운로드
③ 다운로드 받은 ID/PASSWORD를 이용하여 A社의 유명 포털 사이트에
로그인을 시도하고 생성된 로그인 세션을 이용하여 방명록에 광고내용
을 게재
KrCERT-AR-2008-04 http://www.krcert.or.kr
도박게임 설치 프로그램을 악용한 악성코드 감염사례 분석 cert@krcert.or.kr

__
- 5 -
- 키로깅 및 ID/PASSWORD 전송
사용자의 키보드 입력 행위를 관찰하여 특정 패턴으로 입력된 키를 21.[생
략].50으로 전송한다.
① 사용자의 모든 프로세스에 MSTrack.dll 파일이 인젝션 되고 사용자의 특
정 패턴이 입력되면 해당 패턴을 버퍼에 기록
※ 특정 패턴은 “문자열 => 탭키 => 문자열 => 엔터”임
② 버퍼에 기록된 사용자의 ID/PASSWORD를 syssend.exe 호출하여
21.[생략].50로 전송
③ syssend.exe에서 21.[생략].50로 수집된 아이디와 패스워드를 전송하는
기능이 관찰됨
o 악성코드별 상세기능분석
Game789.exe가 생성한 CSRS.EXE RUNDLL64.EXE, SPOOLS.EXE, MSMSG.EXE
는 국내 포털 사이트에 로그인하여 스팸메일을 발송하고 방명록에 광고 문구를
등록한다. 또한 LSAS.EXE, MSTRACK.DLL, SYSSEND.EXE는 사용자의 키보드
입력 값을 관찰하는 동작을 수행한다.
- CSRS.EXE
CSRS.EXE는 설정파일(“xwin-config.ini”)을 읽어 들인 후 파일에 기록된
주소와 포트번호로 접속을 하고 해당 서버로부터 ID/PASSWORD를 다
운로드한다. ID/PASSWORD를 다운로드 한 후에는 A社 유명 포털 사이
트에 접속하여 로그인 세션을 생성하고 해당 세션을 이용하여 방명록에
Game789의 광고 문구를 게재한다.
▸ A社 유명 포털 사이트 계정정보 다운로드
CSRS.EXE는 유명 포털 사이트에 광고 문구를 게재하기 위하여
xwin-config.ini에 기록된 정보를 이용하여 원격지로부터 ID/PASSWORD 및
광고 문구를 다운로드 받음
KrCERT-AR-2008-04 http://www.krcert.or.kr
도박게임 설치 프로그램을 악용한 악성코드 감염사례 분석 cert@krcert.or.kr

__
- 6 -
<원격지 정보>
<원격지로부터 다운로드 받은 ID/PASSWORD 및 광고문구>
▸ 광고성 문구 게재
다운로드 받은 ID/PASSWORD를 이용하여 A社 유명 포털 사이트의
로그인 세션을 생성하고 해당 세션을 이용하여 방명록에 광고 문구를
게재함
<A社 사이트 로그인 세션 생성 및 방명록 기록>
- RUNDLL64.EXE
RUNDLL64.EXE는 설정파일(“divxconf.ini”)을 읽어 들인 후 파일에 기록된
주소와 포트번호로 접속을 하고 해당 서버로부터 ID/PASSWORD를 다운로
드 받는다. 이후, B社의 메일 서버에 로그인하고 다운로드 받은 메일 계정
으로 스팸메일을 발송하는 것으로 판단된다.
KrCERT-AR-2008-04 http://www.krcert.or.kr
도박게임 설치 프로그램을 악용한 악성코드 감염사례 분석 cert@krcert.or.kr

__
- 7 -
▸ B社 유명 포털 사이트의 계정정보 다운로드
RUNDLL64.EXE는 divxconf.ini에 기록된 원격 서버에서 B社 사이트의
ID/PASSWORD와 광고 내용을 다운로드 받음
<원격지 정보>
<다운로드 받은 메일주소>
▸ 스팸메일 발송
다운로드 받은 ID/PASSWORD를 이용하여 B社의 메일 서버에 로그
인 한 후 스팸메일을 발송
<메일 스팸 발송을 위한 쿼리>
<스팸메일에 포함될 내용>
KrCERT-AR-2008-04 http://www.krcert.or.kr
도박게임 설치 프로그램을 악용한 악성코드 감염사례 분석 cert@krcert.or.kr

__
- 8 -
- SPOOLS.EXE
SPOOLS.EXE는 원격지 접속 및 스팸메일 발송현상이 관찰되지 않았으
나, 바이너리 코드를 확인한 결과, C社 사이트에 접속하여 스팸메일을 발송하는
것으로 판단됨
▸ C社 유명 포털 사이트의 계정정보 다운로드
SPOOLS.EXE는 mxconf.ini에 기록된 정보를 이용하여 원격지로부터
ID/PASSWORD 및 메일 내용을 다운로드 받는 것으로 판단됨
<원격지 정보>
▸ 스팸메일 발송
SPOOLS.EXE도 다운로드 받은 ID/PASSWORD를 이용하여 C社 유명
포털 사이트의 메일 서버에 로그인 한 후 스팸메일을 발송할 것으로 판
단됨
<C社 유명 포털 메일서버 접속 및 스팸발송 쿼리>
- MSMSG.EXE
MSMSG.EXE는 원격지 접속 및 스팸메일 발송현상이 관찰되지 않았으나,
코드를 분석한 결과, A社의 메일서버에 접속하여 스팸메일을 발송하는 것
으로 판단된다.
▸ A社 유명 포털 사이트 계정정보 다운로드
MSMSG.EXE는 mercury.ini에 기록된 정보를 이용하여 원격지로부터
KrCERT-AR-2008-04 http://www.krcert.or.kr
도박게임 설치 프로그램을 악용한 악성코드 감염사례 분석 cert@krcert.or.kr

__
- 9 -
ID/PASSWORD 및 메일 내용을 다운로드 받는 것으로 판단됨
<원격지 정보>
▸ 스팸메일 발송
MSMSG.EXE는 다운로드 받은 ID/PASSWORD를 이용하여 A社의 메
일 서버에 로그인 한 후 스팸메일을 발송할 것으로 판단됨
<A社 메일서버 접속 및 스팸발송 코드>
- LSAS.EXE 및 MSTrack.DLL
LSAS.EXE는 MSTrack.DLL을 로딩하여 실행중인 Explorer 하위 프로세스에
인젝션 시킨 후 사용자의 키 입력을 모니터링 하다가 특정 패턴이 입력되면
해당 스트링을 수집한다.
※ 특정 패턴은 “문자열 => 탭키 => 문자열 => 엔터”
▸ 사용자 시스템 키로깅
LSAS.EXE는 시스템 키로깅을 위하여 MSTrack.dll을 사용자 시스템의
Explorer 하위 모든 프로세스에 인젝션 함
<MStrack.dll을 이용한 키보드 후킹>
KrCERT-AR-2008-04 http://www.krcert.or.kr
도박게임 설치 프로그램을 악용한 악성코드 감염사례 분석 cert@krcert.or.kr

__
- 10 -
※ MSTrack.dll의 GetMsgProc 핸들러를 SetWindowsHookEx함수의
인자로 전달하여 키보드 후킹 함수로 등록
▸ 계정정보 수집
MSTrack.dll은 Explorer의 하위 모든 프로세스에 인젝션 되어, 사용자
키 입력을 모니터링 한다. 모니터링 중 사용자의 ID/PASSWORD 입력
이 탐지되면 원격지 서버로 데이터를 전송하기 위하여 syssend.exe를 호
출함
<캡쳐된 사용자의 ID/PASSWORD>
<SYSSEND를 호출하는 코드>
- SYSSEND.EXE
SYSSEND.EXE는 mshookx.ini에 기록된 원격지 서버 정보를 이용하여
MSTrack.DLL에 의해 수집된 ID/PASSWORD 정보를 원격지 서버로 전송
<ID/PASSWORD 수집서버 정보>
<ID/PASSWORD 전송 코드 및 패킷>
KrCERT-AR-2008-04 http://www.krcert.or.kr
도박게임 설치 프로그램을 악용한 악성코드 감염사례 분석 cert@krcert.or.kr

__
- 11 -
□ 감염 시 조치방법
① 부팅 시 F8을 눌러 안전모드를 선택한다.
<안전모드 선택 화면>
② 시스템 폴더에서 Updater_.exe 파일을 포함한 악성코드및 ini파일을 삭제한다.
※ 시스템 폴더
- Windows NT/2000 ⇒ C:Winntsystem32
- Windows XP ⇒ C:Windowssystem32
<악성코드 삭제>
※ 시스템 폴더에서 삭제할 파일
spools.exe, msmsg.exe, csrs.exe, rundll64.exe, Updater_.exe,
lsas.exe, syssend.exe, MSTrack.dll, masterv.ini,update.ini,mxconf.ini,
mercury.ini, divxconf.ini, xwin-config.ini, mshookx.ini
KrCERT-AR-2008-04 http://www.krcert.or.kr
도박게임 설치 프로그램을 악용한 악성코드 감염사례 분석 cert@krcert.or.kr

__
- 12 -
③ “시작” → “실행”에서 regedit 를 입력한다.
<레지스트리 편집기 실행>
④ HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrent
VersionRun에서 Updater__키를 삭제한다.
<런레지스트리에 등록된 Updater_.exe 삭제>
⑤ 재부팅한다.
KrCERT-AR-2008-04 http://www.krcert.or.kr
도박게임 설치 프로그램을 악용한 악성코드 감염사례 분석 cert@krcert.or.kr

__
- 13 -
[첨부 1] 설정파일 내용정리
INI 파일 내에 저장되는 정보
masterip.ini 21.[생략].119
masterv.ini 1.1.9
masterv_new.ini 1.1.9
divxconf.ini
[SERVER]
IP=21.[생략].49
PORT=7989
mercury.ini
[SETTING]
IP=21.[생략].49
PORT=17911
mxconf.ini
[SETTING]
IP=21.[생략].49
PORT=17914
xwin-config.ini
[SETUP]
IP=21.[생략].49
PORT=16017
mshookx.ini
[SETTING]
IP=21.[생략].50
Updater.ini
[check]
[override]
spools.exe
mxconf.ini
msmsg.exe
mercury.ini
rundll64.exe
divxconf.ini
csrs.exe
xwin-config.ini
[run]
spools.exe
msmsg.exe
csrs.exe
rundll64.exe