안카메라(AnCamera), 변조 된 업데이트 파일에서 생성 되는 온라인게임 스파이웨어 감염 주의!!

반응형
728x90


지난 금요일(2013년 3월 23일) 오전에 안카메라가 업데이트 시 악성코드가 감염 된다는 소식을 지인으로 부터 전해들었다.
이에 확인 결과, 실제 안카메라 업데이트 파일이 변조되어 온라인게임 스파이웨어가 설치 되는 것이 확인되었다.

※ 현재 업데이트 파일은 정상파일로 수정되어있지만, 기록 차원에서 포스팅 한다.

- 안카메라 홈페이지 :  http://ancamera.co.kr/home/index.html
 

안카메라는 현재 비영리 목적으로 사용하는 국내 모든 개인 및 법인/기관/단체/공공기간에서 무료로 사용할 수 있기에 더욱
보안(파일의 무결성)에 신경써야 할 것이다. 



우선 "정상적인 안카메라 설치파일" 은 아래의 주소에서 받을 수 있다.



안카메라 메인 홈페이지에서 셋업파일을 받게되면 아래와 같은 파일을 받게 된다.
hxxp://down.ancamera.co.kr/app/install_2011/AnCamera_Setup_5.0.exe
(해당 파일은 정상적인 설치 파일로써 악의적인 행위는 하지 않는다!!)

 

AnCamera_Setup_5.0.exe 파일이 실행되면 특정 URL에서 프로그램의 업데이트를 위해 업데이트 파일을 다운로드 받게 된다.
hxxp://down.ancamera.co.kr/update/AnCamera_20130304_update_5.exe

아래는 프로그램 업데이트를 위해 다운로드 받은 "
AnCamera_20130304_update_5.exe" 의 파일정보이다.



해당 파일에 의해 아래와 같이 긴급업데이트 내용이 팝업된다.

 


문제는 해당 파일이 변조되어 지속적으로 악성파일을 유포시키고 있다는 점이다.

※ 파일 수집은 2013년 3월 23일 오후 11시 12분에 다운로드 받은 셋업파일 기준임!!
※ 파일 수집은 2013년 3월 24일 오후 11시 12분에 다운로드 받은 셋업파일 기준임!! 
    (이전까지 정상이였다가 다시 변경 된 것으로 확인 됨)


AnCamera_20130304_update_5.exe 파일은 실행 가능한 파일이 2개로 나뉘어져 있으며, 2개 모두 파일이 난독화가 되어 있다.

1번 리소스는 XOR 0x19 으로 암호화가 되어 있으며 정상적인 안카메라 업데이트 파일이다.
2번 리소스는 XOR 0x86 으로 암호화가 되어 있으며 온라인게임 스파이웨어를 설치하는 악성파일이다.
(아래의 그림에서 위 그림이 정상적인 안카메라 업데이트 파일, 아래의 그림이 스파이웨어 악성파일이다)


설치되는 악성파일은 사용자의 온라인게임 및 게임 사이트의 계정과 패스워드를 가로채는 스파이웨어이다.
* 생성파일
C:\WINDOWS\system32\kakutk.dll (Spyware.OnlineGames-GLG)
C:\WINDOWS\system32\fhdteeu (Spyware.OnlineGames-GLG - kakutk.dll의 복사본)
C:\WINDOWS\system32\wshtcpip.dll (Spyware.OnlineGames.pip) 
C:\WINDOWS\system32\Didu (정상파일 wshtcpip.dll의 백업 파일)
C:\WINDOWS\system32\ufuyGyYyfT (정상파일 wshtcpip.dll의 백업 파일)
C:\WINDOWS\system32\wshtcptk.dll (정상파일 wshtcpip.dll의 백업 파일) 
C:\WINDOWS\system32\drivers\1793e1a3.sys (Trojan.KillAV.sysdll)

* 레지스트리 생성
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AB705622-B25B-491B-A6BF-4A46FDDBC88E}

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\221fbf78


해당 파일에 감염 된 시스템은 알약의 전용백신으로 치료가 가능하다.
반응형

댓글(4)

  • 익명
    2013.04.08 14:19

    비밀댓글입니다

  • ㅇㅇ
    2013.05.17 10:22

    안카메라에서 딸려온 바이러스라니.. 충격이네요. 전용백신검사하면서 감염된 악성코드가뭔지 검색하고있었는데..

Designed by JB FACTORY