본문 바로가기
IT 보안소식

윈티비24(Wintv24), 사이트 변조(sniffer1.ddns.info)로 인한 "Winpcapture.exe" 악성코드 주의

by 잡다한 처리 2014. 9. 23.
반응형




국내에서 운영중인 스포츠 배팅 정보 및 동영상을 제공하는 윈티비24(Wintv24)에서 사이트 변조로 인한 악성코드가 유포되었다.


해당 사이트는 9월 13일부터 악성코드를 배포 하고 있었으며, 아래와 같은 스크립트를 통해 사용자에게 악성파일이 다운로드되어 설치되고 있었다.


hxxp://www.wintv24.com/data/win.htm (9월 13일)

ㄴhxxp://www.wintv24.com/data/win_24.exe


hxxp://www.wintv24.com/data/file/notice/win.htm (9월 16일 ~ 17일)

ㄴhxxp://www.wintv24.com/data/file/notice/win_24.exe


hxxp://www.wintv24.com/data/file/laddder/win.htm (9월 18일)

ㄴhxxp://www.wintv24.com/data/file/laddder/win_24.exe


hxxp://www.wintv24.com/data/file/notice/win.htm (9월 19일)

ㄴhxxp://www.wintv24.com/data/file/notice/vv3.exe


hxxp://bit.ly/1v0CroF (9월 20일)

ㄴhxxp://sniffer1.ddns.info/lsk.js

 ㄴhxxp://sniffer1.ddns.info/win.htm

 ㄴhxxp://sniffer1.ddns.info/wintv_update.exe


※ 모든 링크가 삭제되어 Full URL 공개



윈티비24(Wintv24)와 관련 된 내용은 아래 링크에서 자세하게 확인 할 수 있다.



스크립트를 통해 사용자에게 설치 되는 악성파일의 행위는 아래와 같다.

- 파일 생성

C:\Windows\Winpcapture.exe (Alyac : Spyware.Infostealer.Win24)


- 레지스트리 생성

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

"Shell" = "Explorer.exe C:\Windows\Winpcapture.exe"


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{4f645220-306d-11d2-995d-00c04f98bbc9}

"StubPath" = "C:\WINDOWS\Winpcapture.exe"


- 서버 접속

sniffer1.ddns.info(103.1.249.204:80)


- 보안프로그램 종료

아래와 같은 경로의 보안프로그램 Uninstall 기능을 통해 삭제 시킨다.

C:\Program Files\AhnLab\V3Lite30\Uninst.exe

C:\Program Files\ESTsoft\ALYac\unins000.aye



이외에도 악성 파일이 설치 된 후 윈티비24(Wintv24) 사이트에서 로그인을 할 시 사용자 계정과 암호를 탈취 한다.

(※ 테스트 시 ID는 testadmin, Password는 1212를 사용하였다.)


사이트에서 로그인을 시도 할 시 아래와 같이 Base64로 암호화 하여 자기 서버로 전달 시킨다.


Base64 암호화 내용은 Malziila 프로그램을 사용하여 디코딩 시 아래와 같이 사용자 정보(ID/Pass)를 가져간 것을 알 수 있다.


제작자가 사용한 서버(sniffer1.ddns.info)는 일본에 위치 한 것으로 파악 된다.


해당 서버에 접속을 해보니, "Merong~~~~:p" 라는 문구가 들어온다.

이런 ㅅㅂㄴㅇㅅㄲ !!


또 한가지 확인 된 사실은, 

윈티비24(Wintv24) 사이트에서 정상적인 로그인 시 암호화도 하지 않고 바로 서버로 사용자 정보를 넘겨주고 있었다.

(차라리 악성코드 제작자가 웹사이트를 맡는 편이...;; 그래도 악성코드 제작자는 Base64로 암호화라도 했음 ㅋㅋ)

POST /bbs/login_check.php HTTP/1.1

Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/x-shockwave-flash, */*

Referer: http://wintv24.com/bbs/login.php

Accept-Language: ko

Content-Type: application/x-www-form-urlencoded

Accept-Encoding: gzip, deflate

User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)

Host: wintv24.com

Content-Length: 69

Connection: Keep-Alive

Cache-Control: no-cache

Cookie: PHPSESSID=pcatf8bpcsqs3d14b6v9l2lt82; f33d2ed86bd82d4c22123c9da444d8ab=MTQxMTM2NjYzOA%3D%3D; 

2a0d2363701f23f8a75028924a3af643=MTEyLjIxNy4yMDUuMTU0; 96b28b766b7e0699aa91c9ff3d890663=aHR0cDovL3dpbnR2MjQuY29tLw%3D%3D


url=%252Fbbs%252Flogin.php&mb_id=testadmin&mb_password=1212&x=17&y=32




* 악성파일 실행 후 부팅이 안되는 정보 추가

악성파일이 실행 된 후 재부팅을 하게 되면, 레지스트리의 버그로 인하여 OS 부팅이 불가능하게 된다.


재부팅이 되면 아래와 같은 화면이 지속적으로 보여주며, 정상적인 부팅이 이루어지지 않는다.

(해당 스크린샷은 Windows XP에 대한 화면이다)



이를 해결 하기 위해서는 안전모드(네트워크 사용)을 통해 부팅 하여 아래의 파일을 다운로드 후 돌려주시면 된다.

안전모드로 접근하는 방법은 [Tip]안전모드로 부팅하기 를 통해 쉽게 할 수 있다.


해결 방법은 Windows XPWindows 7 방법이 있으니, 각자 자신의 OS에 맞게 치료하면 된다.

■ 윈티비24(Wintv24) 악성코드 Winpcapture.exe 치료 방법 (Windows XP 전용) ■ 


Auto Cure.bat



1. 안전모드 부팅 후 아래의 파일을 다운로드 한다.

http://kjcc2.tistory.com/attachment/cfile3.uf@243458485420C02407CB34.bat


2. 파일 실행


3. 재부팅



■ 윈티비24(Wintv24) 악성코드 Winpcapture.exe 치료 방법 (Windows 7 전용) ■ 


Windows 7은 안전모드 부팅 시 "안전모드(네트워크 사용)"으로 접근 시 부팅이 안되기 때문에

"안전모드(명령 프롬프트)" 로 접속해서 아래의 명령어들을 사용하여 사용자가 직접 입력해야 한다.



부팅이 되면 아래와 같은 명령 프롬프트 모드에서 아래의 명령어를 치고, 재부팅 하면 된다.


1. 파일 삭제

del C:\Windows\Winpcapture.exe


2. 레지스트리 삭제 및 수정(각각 1개씩 다 입력해야 한다)

reg delete "HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{4f645220-306d-11d2-995d-00c04f98bbc9}" /v "StubPath" /f


reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v "Shell" /f


reg add  "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v "Shell" /t "REG_SZ" /d "explorer.exe" /f


3. 재부팅

shutdown -r -f -t 0


댓글