뭐... 미시경제학 파레토 부분 읽다가 해석이 안되서 쉬다가... 정상 프로그램과 광고 수익을 목적으로 하는 제휴 프로그램을 동반설치하는 특정 다운로더, 예. INSAFE의 UtilChango라는 애드웨어 다운로더에서 SearchPlus라는 이름으로 백신 업데이트 서버를 차단하는 호스트 파일을 변조하는 바이러스를 유포하고 있는 걸 확인하였습니다.




searchplus.exe(Virustotal Result : 23 / 51)

MD5 : 7441ebbbfcb0411607ef4ca6e9fdf7c3


악성코드 진단 정보 : 현재 국내에서는 비트디펜더 엔진을 사용하는 백신, 알약, 바이러스 체이서 정도 진단을 할 것으로 보입니다.


AVG : Luhe.Fiha.A

BitDefender : Gen:Trojan.Heur.RP.hXWaay@fZ5ab

Kaspersky  : Trojan.Win32.Hosts2.gen

Sophos : Mal/Generic-S



Searchplus.exe는 아래의 경로에 파일을 생성합니다.



SearchPlus.exe

▶ C:\Windows\System32\Drivers\Etc\Hosts.ics

▶ C:\Windows\System32\Drivers\Etc\systemfile.exe



Systemfile.exe(Virustotal Result : 25 / 51)

MD5 : d0a32d07f0b2a0947517c57aae0b1e4c


악성코드 진단 정보 : 위와 동일합니다.


Kaspersky  : Backdoor.Win32.Poison.gmqf

BitDefender : Gen:Trojan.Heur.RP.hXWaay@fZ5ab

Sophos : Mal/Generic-S



그런데 하필 systemfile.exe가 TheMida라고 패킹이 되어 있어서 가상 환경에서는 도저히 분석이 불가능해져서 이에 대한 분석은 누가 좀 해주셨으면... 



그리고 hosts.ics 내부 문자열은 아래와 같습니다.



67.121.36.22       alyac.altools.co.kr

67.121.36.22       altools.co.kr

67.121.36.22       explicitupdate.alyac.co.kr

67.121.36.22       ko-kr.albn.altools.com

67.121.36.22       ko-kr.alupdatealyac.altools.com

67.121.36.22       update.aHnlab.com

67.121.36.22       ahnlab.nefficient.co.kr

67.121.36.22       www.alYac.co.kr

67.121.36.22       www.boho.or.kr

67.121.36.22       download.boho.or.kr
67.121.36.22       www.aHnlAb.com
67.121.36.22       explicitupdate.alyac.co.kr

67.121.36.22       Gms.ahNlab.Com

67.121.36.22       ko-kr.albn.altools.com

67.121.36.22       ko-kr.alupdatealyac.altools.com

67.121.36.22       Su.ahNlab.Com

67.121.36.22       Su.ahNlab.Com

67.121.36.22       su3.ahNlab.Com

67.121.36.22       su4.ahNlab.Com

67.121.36.22       update.ahNlab.Com

67.121.36.22       ahnlab.nefficient.co.kr





>> 알약 홈페이지 서버 차단



>> 안랩 홈페이지 서버 차단




>> 보호나라 홈페이지 서버 차단








위의 호스트 파일을 본 결과 알약 홈페이지, 알약 업데이트 서버, 안랩 메인 홈페이지, 안랩 업데이트, 보호나라를 호스트 파일 변조를 통하여 악성행위를 할 것으로 보입니다만 아쉽게도 Systemfile.exe가 TheMida로 패킹이 되어 있어서 제 실력으로 이게 어떤 기능을 수행하는지에 대해 판단할 길이 없습니다 ㅠㅠ



SystemFile.exe, SearchPlus.exe, Hosts.ics 악성코드 수동 삭제 요령



1) 프로세스 내에 혹시 Systemfile.exe가 있는지 확인하고, 있으면 프로세스 종료해주시기 바랍니다.



2) 아래의 경로에 있는 파일들을 제거해주시기 바랍니다.


C:\Windows\System32\Drivers\Etc\Systemfile.exe

C:\Windows\System32\Drivers\Etc\hosts.ics




** 현재 안랩, 보호나라, 알약 측으로 모두 샘플을 비롯한 사건 경과를 설명하여 모두 전송했으니 알아서 차단될 거라 믿습니다.^^


** 자동화 분석도구 결과



** 샘플 전송 결과 : Ahnlab - 진행 중(부분 완료)

                                    알약 - 금일 오전 8시 엔진 업데이트 반영

                                     KISA - 서버 차단염.

Posted by Ec0nomist

댓글을 달아 주세요