케이엠플레이어(KMPlayer), 허위 업데이트 창을 이용한 악성코드 주의!! (2013-09-04)

반응형
728x90


조금 지난 이슈지만, 기록용으로 포스팅!!

이번에 확인 된 악성코드는 국내 기업쪽에서 많이 발견되는 PlugX 악성코드로 아주 전형적인 사용자 정보 탈취 악성코드이다.

최초 유포는 명확하게 확인되지는 않았지만, 케이엠플레이어(KMPlayer)동작 시 새로운 버전이 업데이트 되었다고 허위 알림창이
사용자에게 보여지고 사용자는 이를 믿고 업데이트 파일을 다운로드 받아 실행 된 것으로 추측된다고 한다.


그럼 간단하게 파일을 살펴보자
우선 유포 된 파일은 "KMP_3.7.0.87.exe" 파일이름을 가지고 있으며 이는 실제 케이엠플레이어 배포파일명과 유사하다.
(참고로, 해당 유포 시 최신 업데이트 파일의 이름은 KMP_3.6.0.87.exe 이라고 한다.)


또한 이 파일은 정상적인 디지털서명을 통해 백신 프로그램의 탐지우회를 할 수 있도록 제작된 것으로 보인다.
(파수닷컴(Fasoo.com)의 디지털서명이 박혀 있는것이 영 찝찝하다;;)



자동압축해제(SFX : Self-extracting archive) 기능을 이용하여 사용자 PC에 악성파일을 자동으로 설치한다.
악성코드 제작자들이 참 좋아하는 방식 중 하나인듯;;



파일의 정보는 확인했고, 이제 생성되는 파일과 레지스트리 그리고 간단한 동작원리를 알아보자.

- 파일 생성 위치
C:\Documents and Settings\All Users\OleView\ACLUI.DLL (암호화 된 데이터 파일을 풀어주는 로더)
C:\Documents and Settings\All Users\OleView\ACLUI.DLL.UI (암호화 된 데이터 파일)
C:\Documents and Settings\All Users\OleView\NvSmart.hlp (키로깅 저장 파일)
C:\Documents and Settings\All Users\OleView\OleView.exe (정상파일)
C:\Documents and Settings\[사용자 계정]\Local Settings\Temp\time.exe (드롭퍼)

- 레지스트리 생성 위치
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\OleView

- 동작 원리
1) OleView.exe 파일이 실행되면 자신이 필요한 dll (C:\WINDOWS\system32\aclui.dll) 파일을 로드하게 되어있다. 하지만 기본적으로 윈도우라는 OS는 동일한 폴더에 있는 파일을 우선적으로 인식하기 때문에 C:\WINDOWS\system32\aclui.dll 파일이 아닌 동일 폴더에 있는 C:\Documents and Settings\All Users\OleView\ACLUI.DLL 파일을 로드한다.(정상적인 OleView.exe 프로그램은 실행되지 않는다)
2) 로드 된 ACLUI.DLL은 암호화 된 ACLUI.DLL.UI 파일을 찾아 로드시킨다.
3) ACLUI.DLL.UI 파일이 로드되면 암호화 된 내용을 재배치하여 악의적인 행위(키로깅) 시작
4) NvSmart.hlp 파일에 사용자가 입력 된 내용들을 저장 후 외부서버로 전송



알약에서는 이 파일을 "Bookdoor.PlugX.A" 로 탐지 중이다.



반응형

댓글(0)

Designed by JB FACTORY