skype_utility.exe 악성코드 분석 보고서
1. 개요
1.1. 파일정보
파일명 | skype_utility.exe |
파일크기 | 45,056 byte |
진단명 | Trojan/W32.Agent.45056.BXY |
악성동작 | 스카이프 프로필 변경 / 등록 연락처 대상 스팸 메시지 발송 |
1.2. 분석환경
운영체제 | Windows XP SP3 32bit (한글) |
분석도구 | PEview, OllyDbg , VB Decompiler |
2. 분석정보
2.1. 수집 경로
본 악성파일은 메일로 수집되었다. 악성파일을 분석한 결과 스카이프(인터넷 음성통화, 메시지 전송 프로그램) 사용자를 대상으로 제작된 것으로 보이지만 복제 및 전파, 은닉 루틴이 발견되지 않아 그 피해 및 파급력은 크지 않을 것으로 보인다.
2.2. 파일 분석
“skype_utility.exe” 또는 “스카이프 유틸리티.exe” 파일명으로 접수되었다. 파일명에서 알 수 있듯이 스카이프 메신저 사용자를 대상으로 한 악성파일로, 해당 메신저가 설치 및 실행된 환경에서만 동작한다.
유포경로가 특정되어 있지 않기 때문에 본 악성코드 감염 순서를 감염 시나리오를 통해 알아보고자 한다.
2.2.1. 감염 시나리오
악성코드 감염 피해자(이하 피해자)는 평소 업무를 위해 스카이프를 자주 사용한다. 어느 날, 피해자는 웹서핑 도중 특정 블로그에서 스카이프 기능을 업그레이드 할 수 있다는 플러그인 skype_utility.exe를 알게되고 이를 다운로드하게 된다.
[그림]감염되기 전 스카이프 화면
다운로드한 플러그인을 실행한 피해자는 스카이프 상에서 아래와 같은 '권한 경고 메시지'를 확인하지만, 다른 정상 플러그인을 실행할 때와 동일한 화면이기에 별다른 의심 없이 엑세스 허용 버튼을 클릭하게 된다.
[그림]권한 경고 메시지
하지만 실행 파일은 파일명을 위장한 악성파일이었고, 피해자 본인과 등록 연락처의 프로필이 모두 수정되고, 피해자가 기존에 등록한 모든 연락처에 아래와 같은 스팸 메시지가 자동 전송되는 피해를 입게 된다.
[그림]감염된 스카이프 화면
[그림]감염 후 프로필 변화
[그림]스팸 메시지 내용
2.3. 특이사항
해당 악성파일은 Visual Basic으로 작성된 것으로 작동 구현에 있어 스카이프에서 제공하는 Skype4COM.dll을 이용한다. 이 dll파일은 ‘스카이프가 아닌 어플리케이션’에서 ‘스카이프의 기능을 이용’할 수 있도록 제공하는 정상 파일이다.
위의 악성파일은 정상 파일의 *API를 사용하여 스팸메시지를 발송 하는데, 2.2.1.감염 시나리오에서 보았던 '권한 경고 메시지'에서 액세스 허용버튼을 클릭하면 본 악성파일이 API를 사용할 수 있게 된다.
(*API : Application Programming Interface의 약자, 어플리케이션의 기능을 이용할 수 있도록 해당 어플리케이션에서 제공하는 인터페이스의 일종이다. 예를 들어 홈페이지에 지도를 올리고 싶다면 구글 맵에서 제공하는 API를 이용하여 구현 할 수 있고, 윈도우 OS용 프로그램을 만들고 싶다면 윈도우 API를 사용할 수 있다)
즉, '권한 경고 메시지'에서 액세스 거부 버튼을 클릭한다면 사용자는 아무런 피해를 입지 않게된다. 또한 자가 복제 및 자동실행 등의 지속적인 악성 동작 유지가 아닌, 실행-메시지전송-종료 의 단순한 루틴을 갖고 있기에 사용자가 직접 악성파일을 실행시키지 않는 한 악성 동작을 수행하지 않는다.
3. 결론
skype_utility.exe는 사용자가 등록한 연락처로 스팸 메시지를 전송하는 동작과 자신 및 다른 연락처의 프로필을 변경하는 행위를 수행하는 악성 파일이다.
본 악성파일은 잉카인터넷 안티 바이러스/스파이웨어 제품 'nProtect Anti-Virus/Spyware (nProtect AVS)'에서 Trojan/W32.Agent.45056.BXY로 진단 및 치료 가능하다.
이처럼 정상 프로세스와 동일한 루틴으로 동작하는 경우에도 악성동작을 수행하는 악성파일이 있기 때문에, 항상 실행파일(.exe)을 실행 하기 전에 백신 검사를 하는 습관이 중요하다.
[그림]진단 및 치료 가능
'분석 정보 > 악성코드 분석 정보' 카테고리의 다른 글
[악성코드 분석] dcujl.exe (금융 파밍) (0) | 2015.11.09 |
---|---|
[악성코드 분석] nasdfgf.exe (사용자 정보유출) (0) | 2015.11.05 |
[악성코드 분석] ebay_4181254791235_091015.exe (0) | 2015.10.30 |
[악성코드 분석] kaulj.exe (인터넷 뱅킹 파밍, 인증서 탈취) (0) | 2015.10.23 |
[악성코드 분석] BERPOY.exe (인터넷 뱅킹 파밍, 인증서 탈취) (0) | 2015.10.22 |