본문 바로가기
IT 보안소식

케이엠플레이어(KMPlayer), 변조 된 셋업파일 실행 시 "백도어(Backdoor) 설치" 주의!!

by 잡다한 처리 2011. 11. 27.
반응형


국내 멀티미디어 재생프로그램인 케이엠플레이어(KMPlayer) 설치 파일이 변조되어 백도어가 설치되고 있다.

변조 된 파일은  The KMPlayer 3.0.0.1442 릴리즈버전으로 정상적인 파일정보는 아래와 같다.

File: KMPlayer_KR_3.0.0.1442_R2.exe (13,004,472 Bytes) - 정상 셋업 파일 정보
CRC-32: 6fc879b5
MD4: eff203146b06f5b3df657c940c17ee58
MD5: 01499e9fe650cc8fa09f80238564ea6b
SHA-1: dac91c04935f9cf0f3d8986471919700dec4578c


하지만 변조 된 파일은 아래의 정보를 갖는다.

KMPlayer_KR_3.0.0.1442_R2.exe (13,606,912 Byte) - 변조 된 셋업 파일 정보

CRC-32: 7c121bce
MD5: df09ccc1c473aae3e2cc4b0cfb37dd2f
SHA-1: 99b456d8d1474a20c8d464f7aeac81f71a2dfc12


정보만 비교해봐도 602,440 Byte가 증가한것을 볼 수 있다.

그렇다면 증가한 숫치만큼 생성 된 코드는 무엇인가라는 궁금증이....!! (이런 직업병;; 12MB를 봐야하는건가 ㅠㅠ )
다행스럽게 시작코드를 살펴봤더니 시작점에서 Resource에 담겨진 2개의 파일을 생성 후 실행하는 것이 확인되었다.

실제 파일에는 BIN이라는 리소스에 NORMAL 과 SOURCE 이름으로 2개의 리소스를 가지고 있었다.



이 중 NORMAL은 말그대로 KMPlyaer의 정상 셋업파일이며, SOURCE 가 백도어 파일을 만드는 드롭퍼이다.

코드상으로는 %TEMP% 폴더의 경로를 찾은 후
백도어를 만드는 드롭퍼의 이름을 "I(랜덤)a(랜덤)l(랜덤)r.exe" 로 생성하고,
정상 KMPlayer 셋업파일을 "e(랜덤)a(랜덤)l(랜덤)r.exe" 로 생성하고 실행시킨다.



실제 동작을 시켜보니, 정상 KMPlayer 설치가 진행되면서 악성행위도 동시에 이루어 지고 있었다.



C:\Documents and Settings\(사용자명)\Local Settings\Temp 폴더에 아래와 같이 정상파일과 악성파일이 드롭된다.



특히 드롭퍼는 Microsoft 파일로 위장하고 있다.(실행 후 삭제되면서 ㅡㅡㅋ 위장할 필요가 ㅋㅋㅋㅋㅋㅋ)



이후 악성파일 드롭퍼는 C:\WINDOWS\system32 폴더에 악성 dll 파일을 드롭시킨다.
dll파일도 악성파일 생성과 비슷하게 랜덤문자열과 고정문자열로 이루어진다.(귀찮아서 ㅡㅡㅋ 패스!!)



또한 악성 dll은 시스템 부팅 시 자동시작을 위해 서비스 레지스트리를 생성하여 등록한다.


이후 dll이 하는 행위는 따로 분석하지 않았다.
아래 탐지명에 보이듯이 DDoS를 하는 파일일테니 ㅎㅎㅎ

알약에서는 악성 Dll을 Trojan.DDoS.Agent.ulo 로 탐지 중이다.



현재 시간 11월 27일(12시 28분) 이 시간에도 아직 셋업파일은 수정되고 있지 않다.
빠른시일안에 수정이 되길 바란다.

 

댓글