NOTICE


 최근 파일 공유 사이트를 통해 동영상 파일과 함께 악성코드 유포가 많이 이루어지고 있습니다. 모두 XtremeRAT Backdoor 변종 파일 입니다. 2015년 4월 24일, 특정 토렌트 사이트에 게시된 영화 ‘스물’의 토렌트 파일 또한 동일합니다.


[그림 1.] 영화 '스물' 토렌트 사이트 게시물 확인 


 해당 토렌트 시드를 통해 최종적으로 다운로드 된 파일에는 동영상 파일(.mp4)과 함께 화면 보호기 파일(.scr)이 포함되어 있습니다.


[그림 2.] 동영상 파일 다운로드


[그림 3.] 다운로드 된 파일 확인


 동영상 파일(Twenty, 2014.720p.HDRip-Unknown.mp4)은 정상적으로 재생되지 않습니다. 확인 결과 압축된 데이터인 것을 확인할 수 있습니다.


[그림 4.] Twenty, 2014.720p.HDRip-Unknown.mp4 파일 구조 확인


 Twenty, 2014.720p.HDRip-Unknown.mp4 파일의 압축을 풀면 모 방송사의 ‘강적들’과 성인 동영상 파일이 나옵니다.


[그림 5.] Twenty, 2014.720p.HDRip-Unknown.mp4 파일 압축 해제


 Twenty, 2014.720p.HDRip-Unknown-AA4PM.scr 파일은 화면보호기(.scr)로 보이지만 Backdoor 기능을 가지고 있는 악성코드입니다. 해당 파일을 실행할 경우 “C:\Windows” 경로에 108138406440562.mp4 파일을 생성하고 재생합니다.


[그림 6.] Twenty, 2014.720p.HDRip-Unknown-AA4PM.scr 파일 실행


 이로 인해 일반 사용자들은 단순히 음란 동영상 파일이라고 착각하기 쉽습니다. 그러나 동영상 생성, 재생 과정에서 백그라운드 방식으로 복제본 생성과 함께 악성행위를 합니다.

 악성코드의 동작을 살펴보겠습니다. Twenty, 2014.720p.HDRip-Unknown-AA4PM.scr은 자신이 독자적으로 동작하지 않고 하위에 svchost.exe와 iexplorer.exe 프로세스를 생성한 뒤에 각각의 프로세스에 Code를 Injection 시킵니다. 


[그림 7.] Twenty, 2014.720p.HDRip-Unknown-AA4PM.scr 파일 동작 확인


 이후 svchost.exe와 iexplorer.exe 프로세스에서 악성 행위가 이루어집니다. 대표적인 동작을 살펴보면 다음과 같습니다.


1. 복제 파일 생성 및 자동실행 등록


 특정 경로에 win31.exe 이름으로 복제 파일을 생성합니다. 파일 생성 경로는 다음과 같습니다.


Win 7_x86 : C:\Windows\System32\InstallDir\win31.exe

Win 7_x64 : C:\Windows\SysWOW64\InstallDir\win31.exe


[그림 8.] 악성코드 실행 시 생성되는 파일 확인


 그리고 해당 파일이 자동 실행되도록 레지스트리에 등록합니다.


HKCU\Software\Microsoft\Windows\CurrentVersion\Run

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run


[그림 9.] 악성코드 실행 시 생성되는 레지스트리 확인


2. 키로거 기능


 iexplorer.exe는 “C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Windows” 경로에 --((Mutex))--.dat 파일을 생성하고 사용자의 입력 값이 있을 때마다 기록합니다.


[그림 10.] 사용자 입력 값 저장 파일 확인


 임의로 입력 값을 넣을 때 마다 --((Mutex))--.dat 파일에 기록되는 것을 확인할 수 있습니다.


[그림 11.] 사용자 입력 값 기록 확인


3. Backdoor 기능


 iexplore.exe는 특정 서버(IP Address: 118.176.10.232:81)와 통신을 시도합니다. 이로 인해 추가적으로 악성 파일이 다운로드 될 수 있고 정보 유출 등의 위험이 있습니다.


[그림 12.] 특정 서버와 통신 시도


4. 치료 방법


 본 악성코드 수동 치료 방법입니다. 순서대로 따라하시면 됩니다.


1. 작업 관리자를 실행합니다. (Ctrl+Alt+Del을 누르면 됩니다.)


2. 작업 관리자에서 프로세스 탭을 선택하고 ‘모든 사용자의 프로세스 표시' 체크 박스를 해제합니다.



3. 악성 프로세스 종료

 나열되어 있는 프로세스 중에서 svchost.exe와 iexplorer.exe를 종료시켜야 합니다. svchost.exe를 먼저 종료시켜야 합니다. iexplorer.exe를 먼저 종료시킬 경우 svchost.exe에 의해 다시 생성됩니다.


 3.1. svchost.exe 종료 

  작업 관리자에서 하나의 svchost.exe 프로세스가 확인되실 겁니다. 해당 프로세스를 종료시키면 됩니다.


 3.2. iexplorer.exe 종료

  현재 iexplorer.exe를 사용해서 인터넷에 접속하신 것이 아니라면 하나의 iexplorer.exe가 동작하고 있을 것 입니  다. 해당 프로세스를 종료합니다. 만약 iexplorer.exe가 다수로 동작하고 있더라도 모두 종료시키세요. 단, 본인이  iexplorer.exe로 하고 있는 작업이 모두 종료되니 주의하시기 바랍니다.



4. 복제 파일 삭제

 아래 경로에 win31.exe라는 이름의 파일이 있을 것입니다. 윈도우 탐색기에서 해당 경로로 이동 후 삭제하시면 됩니다. 파일을 삭제하지 않으면 다음에 본인의 컴퓨터를 켰을 때 악성코드는 다시 동작합니다.


Win 7_x86 : C:\Windows\System32\InstallDir

Win 7_x64 : C:\Windows\SysWOW64\InstallDir


5. 자동 실행 등록된 레지스트리 삭제

 Win+R을 누르고 “regedit”를 입력해서 실행하면 레지스트리 편집기가 실행됩니다. 아래 경로로 이동해서 자동 실행 등록된 값을 삭제합니다.


HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run


5. 그 외 흔적 삭제

 이 외에 악성코드가 동작하면서 생성했던 파일 및 레지스트리를 삭제합니다.


<<파일 삭제>>

C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\--((Mutex))--.dat

C:\Windows\108138406440562.mp4

C:\Windows\108138406440562.mp4.exe


<<레지스트리 키 삭제>>

HKEY_CURRENT_USER\Software\--((Mutex))--

HKEY_CURRENT_USER\Software\XtremeRAT

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{470686HO-N115-HF27-6L2C-3DFW12L07TF3}


 이 모든 과정이 끝나면 악성코드 치료가 완료됩니다.


 이상으로 '[영화 스물] 토렌트로 악성코드 유포'에 대한 포스팅을 마치도록 하겠습니다.


  1. 이전 댓글 더보기
  2. no picture 분노의 질주 2015.05.08 16:58

    현재 분노의 질주 파일도 악성코드 인가요?

  3. no picture 스물 2015.05.08 20:32

    토렌트를 다운받다가 중간에 오류가 떠서 다운이 다 안됬는데 괜찮나요>?

  4. no picture 하잇 2015.05.08 20:50

    작업관리자에 iexploer랑 sv어쩌구랑 둘다떠서
    iex이거 먼저 지운다음에 sv지었는데
    sv가 계속 지어도 생기는데 어떻게 해야되요??
    파일은 중간에 오류떠서 다운이 안됬었는데

  5. no picture 감사합니다. 2015.05.08 21:48

    정말 감사합니다.
    멋모르고 받을 뻔 했네요...휴우...

  6. no picture BlogIcon 기태 2015.05.08 23:33

    스마트폰으로 다운받은거는 괜찮을까요?ㅠㅠ

  7. no picture 2015.05.09 12:22

    비밀댓글입니다

  8. no picture 한사람 2015.05.10 12:39

    정말 좋은 일 하시네요. 감사합니다.

  9. no picture ㅠㅠ망했네요 2015.05.10 23:15

    26개가있는데 하나도 안지워지네요 안전모드도 들어가서 지워보고 계속그러는데 포맷만이 답이겠죠?
    i 어쩌고는 없는데 ㅠㅠㅠ

  10. no picture BlogIcon sqwery 2015.05.11 14:17

    제가 win8 인데 동영상 파일 실행시켰더니 안돤다 그러구 scr인가 실행시켰는데 무슨 조그만 창뜨길래 예 눌렀는데 자세히 보진 못했어요ㅠㅠ 근데 쓰신거 보고 win31 이랑 installdir 도 찾아봤는데 없구요. Mutex 파일도 없었어요... win8은 설명이 없어서 잘모르겠네요..ㅜ 댓글들 보니까 win8은 어떻게 될지 잘 모르시나요..ㅜ

  11. no picture dhooweh 2015.05.12 01:58

    좋은정보 감사합니다~
    현재 맥북사용중인데 매킨토시에도 적용되는 악성코드인가요?

  12. no picture ekwjd 2015.05.12 22:59

    win31.exe 파일 아무리 찾아도 없는데 경고가 뜨는데...어떻게 하죠?ㅠ

  13. no picture wodkdfs 2015.05.13 00:04

    저 crs 파일 실행시켰다가 실행 안되길래 토렌트에서 토렌트와 데이터 둘 다 지움 눌렀는데 괜찮을까요?ㅠㅠ

  14. no picture windows 2015.05.17 11:59

    C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Windows” 경로에 --((Mutex))--.dat
    경로에 저 파일이 생성되지않으면 상관없나요?
    다른 레지스트리나 system32안에 파일들은 다 지웠어요

  15. no picture goku 2015.05.19 18:54

    저기요.....;; 그 Twenty, 2014.720p.HDRip-Unknown이 파일 압축을 풀어봤다고 하셨잔아요 근데 저 다른 토렌트에서 실행안되는 파일같은게 나왔는데 한번 압축 풀어보고 싶은데 어떻게 압축풀어요?

  16. no picture dlwoals201 2015.05.23 22:07

    토렌트받다가 중간에 다운중지하고 토렌트와파일지우기눌렀는데 괜찮나요?

  17. no picture 으이ㅓㅓㄹ 2015.05.25 09:23

    파일을 아무리 찾아도 없는데 자꾸 경고가 뜨네요..ㅜㅜㅜㅜㅜㅜㅜ 왜이러죠

    • no picture BlogIcon 이슝 itseeyou 2015.05.25 10:09 신고

      어떤 파일을 말하는 건가요?? .dat 파일은 숨김 속성으로 되어있습니다. 옵션 설정을 따로 해야 파일이 보입니다.

  18. no picture 으아 2015.05.25 22:40

    압축은 어떻게 푸나요?

  19. no picture 컴맹 2015.06.07 10:53

    ㅇ윈도우8을 써서 작업관리자에서 프로세스창으로 갔을때 '모든작업자의프로세스표시'버튼이 없어요ㅜㅜ
    그래서 그걸 헤제 못한상태에서 님이 설명해주신거 따라가려고 한는데요 프로세스창에서 svchost.exe가 없어요
    근데 작업관리자 세부정보 창에서는 svchost.exe가 13개?쯤 있는데...

    그럼 svchost.exe가 작업관리자 세부정보창에는 있고 프로세스 창에는 없으면 감염 안된건가요??

  20. no picture 컴맹 2015.06.07 11:05

    작성자님 ㅜ
    제가 그 스물토렌트 파일 받고 재생시켜봤는데(더블클릭) 안되더라구요 그냥 음성파일?로만 되더라구요 화면은 안뜨구요 그리고 에이뭐야 하면서 바로 지웠거든요? 토렌트씨드까지요 그럼 감염안된건가요?
    두가지동영상파일(강적들,음란동영상)은 있는지도 몰랏고 당연히 재생시키지도 않았구요

  21. no picture 티비연결 2015.07.07 13:34

    제가 집에있는 티비에다가 연결시켜서 실행했는데.......
    그건어뜩하죠 ㅠㅠ 개인정보유출되고그런건가요???