분석 정보/악성코드 분석 정보

[긴급]동영상 재생 플레이어 변조를 통한 DDoS 악성파일 유포

TACHYON & ISARC 2011. 11. 27. 13:43

1. 개 요 


국내 동영상 플레이어로 널리 알려져 있는 KMPlayer 최신 설치 파일이 변조되어 DDoS 공격에 악용되는 악성 파일이 추가로 설치되는 사고가 발생하여 사용자들의 각별한 주의가 요구되고 있다. 악의적인 공격자가 정상적인 동영상 프로그램의 설치 파일을 관리자 몰래 임의로 조작하여 "정상 KMP 설치시 악성 파일을 함께 설치시키는 기법"으로 이용자들은 자신도 모르게 악성 파일에 감염되었을 가능성이 높다. 따라서 해당 동영상 플레이어를 최근에 설치한 경우"신속한 보안 점검"이 요구된다.

  

KMPlayer 공식 웹 사이트에서 제공되었던 가장 최신 버전은 KMPlayer_KR_3.0.0.1442_R2.exe 으로 한글 버전이었으며, 2011년 09월 21일에 포스팅 된 것으로 기록되어 있다.


그러나 2011년 11월 26일경 해당 다운로드 링크에서 내려지는 파일은 누군가에 의해서 임의로 조작되었으며, 악성 파일을 추가로 설치하는 프로그램이 배포되었다. 변조된 파일은 아이콘이 정상적인 KMPlayer 와 동일하게 만들어져 있지만 다음 이미지와 같이 중국어로 제작되어 있다. 유포자는 2개의 실행 파일을 1개로 합쳐주는 이른바 Binder 프로그램을 이용한 것으로 보인다.

 


이렇게 조작된 KMPlayer_KR_3.0.0.1442_R2.exe 파일은 다음과 같이 SOURCE 라는 이름의 "악의적인 리소스 코드를 포함"하고 있으며, 실행시 사용자 컴퓨터에 임의의 이름으로 설치되고 자동으로 실행되며, 외부의 악의적인 공격자에 의해서 (D)DoS 명령을 수행시킬 수 있는 악성 파일을 감염시키게 된다.

 

2. 감염 과정

변조되어 배포된 KMPlayer_KR_3.0.0.1442_R2.exe 파일이 실행되면 사용자 임시 폴더(Temp)에 정상적인 설치 파일과 악의적인 설치 파일이 동시에 생성되고 실행된다.

정상 및 악성용 설치 파일 모두 특정 조건에 따라 임의의 파일명(고정+가변 알파벳)으로 정해지기 때문에 매번 다른 파일명으로 생성되므로, 파일명만으로 악성 파일을 수동으로 찾아 제거하기는 다소 까다로울 수 있다. 하지만 다음과 같은 방식을 참고하면 좋겠다.

※ 정상 파일명 조합 생성 방식(EXE) : e+(가변)+a+(가변)+l+(가변)+r.exe

※ 악성 파일명 조합 생성 방식(EXE) : l+(가변)+a+(가변)+l+(가변)+r.exe
※ 악성 파일명 조합 생성 방식(DLL) : T+(가변)+m+(가변)+t+(가변)+D.dll

 


정상적인 KMPlayer 설치 파일이 실행되면 사용자에게 설치시에 어떠한 언어 방식을 사용할 것인지에 대한 선택 화면을 보여주며, 악성 파일은 실행되면 시스템 폴더 경로에 숨김 속성으로 임의의 Dll 파일을 사용자 몰래 설치하게 된다. 이때 설치되는 DLL 파일도 위에서 표현한 파일명 조합 방식을 사용하고, Battery Meter Helper 파일로 교묘하게 위장하고 있다.

nProtect Anti-Virus 최신 버전으로는 Trojan/W32.DoS.67584.B 로 탐지 및 치료가 가능하며, 2009년 06월 04일자 패턴에 포함된 상태이다.


이러한 악성 파일에 감염이 되면 공격자는 자신의 원격 관리 프로그램을 이용해서 감염된 컴퓨터의 IP주소 등을 자동으로 연결시키고, 언제든 다양한 공격 명령을 수행시킬 수 있다.

아래 화면은 실제 중국산 DDoS 공격용 프로그램을 사용하는 해커가 악성 파일에 감염되어 있는 Zombie PC 의 연결된 화면을 공개한 것 중 일부이다. (부분 모자이크 처리) 이처럼  많은 컴퓨터들이 자신도 모르게 악성 파일에 감염되어 DDoS Agent 로 악용되거나 개인 정보 등이 유출되는 등의 피해를 입을 수도 있으며, 또 다른 컴퓨터에 악성 파일을 유포하는 경유지로 전락하는 경우도 비일비재하다.

 
3. 예방 조치 방법

위와 같은 악성파일로 부터 안전한 PC 사용을 위해서는 공식적인 프로그램 배포 사이트에 명시된 파일의 속성이나 MD5 Hash 등을 비교해 보는 것도 좋은 방법이며, 아래와 같은 기본적인 보안관리 수칙을 준수하여 이와 같은 악성파일 감염으로 부터 사전에 예방할 수 있도록 하자.

[보안 관리 수칙]

1. 윈도우 운영체제 및 응용 프로그램에 대한 최신 보안 패치를 적용하도록 한다.

2. 출처가 불분명한
이메일에 첨부파일이나, 특정 웹사이트 등에 업로드 되어진 파일에 대한 다운로드 및 열람은 자재하도록 한다.

3. 신뢰할 수 있는 보안 업체에서 제공하는
백신을 최신 엔진 및 패턴버전으로 업데이트 하며, 실시간 감시 기능을 항상 "ON" 상태로 유지하도록 한다.

4.
인스턴스 메신저 또는 SNS 등을 통해 접근이 가능한 링크 접속시 주의 하도록 한다.

※ 잉카인터넷(시큐리티 대응센터/대응팀) 에서는 위와 같은 악성파일에 대해 아래의 그림과 같은 진단/치료 기능을 모두 제공하고 있으며, 각종 보안 위협으로 부터 대비하기 위하여 상시 대응체계를 유지하고 있다.