반응형
국내 멀티미디어 재생프로그램인 케이엠플레이어(KMPlayer) 설치 파일이 변조되어 백도어가 설치되고 있다.
변조 된 파일은 The KMPlayer 3.0.0.1442 릴리즈버전으로 정상적인 파일정보는 아래와 같다.
File: KMPlayer_KR_3.0.0.1442_R2.exe (13,004,472 Bytes) - 정상 셋업 파일 정보
CRC-32: 6fc879b5
MD4: eff203146b06f5b3df657c940c17ee58
MD5: 01499e9fe650cc8fa09f80238564ea6b
SHA-1: dac91c04935f9cf0f3d8986471919700dec4578c
하지만 변조 된 파일은 아래의 정보를 갖는다.
KMPlayer_KR_3.0.0.1442_R2.exe (13,606,912 Byte) - 변조 된 셋업 파일 정보
CRC-32: 7c121bce
MD5: df09ccc1c473aae3e2cc4b0cfb37dd2f
SHA-1: 99b456d8d1474a20c8d464f7aeac81f71a2dfc12
정보만 비교해봐도 602,440 Byte가 증가한것을 볼 수 있다.
그렇다면 증가한 숫치만큼 생성 된 코드는 무엇인가라는 궁금증이....!! (이런 직업병;; 12MB를 봐야하는건가 ㅠㅠ )
다행스럽게 시작코드를 살펴봤더니 시작점에서 Resource에 담겨진 2개의 파일을 생성 후 실행하는 것이 확인되었다.
실제 파일에는 BIN이라는 리소스에 NORMAL 과 SOURCE 이름으로 2개의 리소스를 가지고 있었다.
이 중 NORMAL은 말그대로 KMPlyaer의 정상 셋업파일이며, SOURCE 가 백도어 파일을 만드는 드롭퍼이다.
코드상으로는 %TEMP% 폴더의 경로를 찾은 후
백도어를 만드는 드롭퍼의 이름을 "I(랜덤)a(랜덤)l(랜덤)r.exe" 로 생성하고,
정상 KMPlayer 셋업파일을 "e(랜덤)a(랜덤)l(랜덤)r.exe" 로 생성하고 실행시킨다.
실제 동작을 시켜보니, 정상 KMPlayer 설치가 진행되면서 악성행위도 동시에 이루어 지고 있었다.
C:\Documents and Settings\(사용자명)\Local Settings\Temp 폴더에 아래와 같이 정상파일과 악성파일이 드롭된다.
특히 드롭퍼는 Microsoft 파일로 위장하고 있다.(실행 후 삭제되면서 ㅡㅡㅋ 위장할 필요가 ㅋㅋㅋㅋㅋㅋ)
이후 악성파일 드롭퍼는 C:\WINDOWS\system32 폴더에 악성 dll 파일을 드롭시킨다.
dll파일도 악성파일 생성과 비슷하게 랜덤문자열과 고정문자열로 이루어진다.(귀찮아서 ㅡㅡㅋ 패스!!)
또한 악성 dll은 시스템 부팅 시 자동시작을 위해 서비스 레지스트리를 생성하여 등록한다.
이후 dll이 하는 행위는 따로 분석하지 않았다.
아래 탐지명에 보이듯이 DDoS를 하는 파일일테니 ㅎㅎㅎ
알약에서는 악성 Dll을 Trojan.DDoS.Agent.ulo 로 탐지 중이다.
현재 시간 11월 27일(12시 28분) 이 시간에도 아직 셋업파일은 수정되고 있지 않다.
빠른시일안에 수정이 되길 바란다.
'IT 보안소식' 카테고리의 다른 글
| A양 유출 동영상을 위장한 악성파일 주의!! 과도한 검색으로 악성파일까지 감염되지 마시길!! (10) | 2011.12.09 |
|---|---|
| [SpamMail] 페이스북 친구추가를 위장 된 스팸메일 주의!! (9) | 2011.11.30 |
| 넥슨(Nexon), 메이플스토리(MapleStory) 개인정보 유출 확인 서비스 공개 (0) | 2011.11.26 |
| KT(한국통신)를 사칭하여 "미납요금 독촉장"을 통한 포스트피싱 주의!! (2) | 2011.11.26 |
| 넥슨(Nexon), 메이플스토리(MapleStory) 고객정보 1320만 여건 개인정보유출 해킹사건(11월 25일) (0) | 2011.11.26 |
댓글