PC방에서 플레이되는 고포류 게임을 노리는 악성코드 정보
Contents
2018년 8월 말부터 유포되었을 것으로 추정되는 국내에서 서비스되고 있는 고포류 게임을 통해 금전적 수익을 얻는 악성코드가 확인되어 살펴보도록 하겠습니다.
정확한 유포 경로는 확인되지 않고 있지만 기존에 이미 감염된 경로를 통해 패치되는 방식으로 전파가 이루어질 것으로 보이며, 특히 PC방 환경을 고려하여 제작된 것으로 보아 일반 개인 사용자에게는 노출되지 않았을 것으로 보입니다.
확인된 설치 파일(SHA-1 : 3a7fa60a969d9a51a570e74d5ee35a1d30cadfa6 - AhnLab V3 : Trojan/Win32.Downloader.C2433135) 또는 업데이트 파일(SHA-1 : e8ade2580be93921b51ff889130c3464e3b5cf25)을 통해 다음과 같은 사전 작업이 이루어집니다.
우선 "C:\Users\%UserName%\AppData\Local\Temp\syswnt.exe" 파일(SHA-1 : 7242cd786e494064cce7ebf5d5f0dc960acdafa4 - ESET : a variant of Win32/TrojanDownloader.Small.AYF) 생성 및 실행이 이루어집니다.
실행된 파일은 특정 프로세스가 실행 중인 경우 종료(taskkill.exe /f /im sysnt.exe, taskkill.exe /f /im AdobeDistiller.exe) 및 삭제가 이루어지며, 악성코드에서 사용할 SQLSVC 서비스명이 등록되어 있는 경우 중지(stop SQLSVC) 및 삭제(delete SQLSVC)가 이루어집니다.
작업이 완료된 후에는 "C:\Users\%UserName%\AppData\Local\Temp\killfile2.bat" 배치 파일 생성을 통해 임시 폴더에 생성되어 실행되었던 "%Temp%\syswnt.exe" 파일 삭제 후 자신도 자가 삭제되며, 위의 동작 중간에 다음과 같은 추가적인 악성 파일 다운로드가 진행됩니다.
먼저 특정 단축 URL 서비스 주소에 접속하여 일본(Japan)에 위치한 …
정확한 유포 경로는 확인되지 않고 있지만 기존에 이미 감염된 경로를 통해 패치되는 방식으로 전파가 이루어질 것으로 보이며, 특히 PC방 환경을 고려하여 제작된 것으로 보아 일반 개인 사용자에게는 노출되지 않았을 것으로 보입니다.
확인된 설치 파일(SHA-1 : 3a7fa60a969d9a51a570e74d5ee35a1d30cadfa6 - AhnLab V3 : Trojan/Win32.Downloader.C2433135) 또는 업데이트 파일(SHA-1 : e8ade2580be93921b51ff889130c3464e3b5cf25)을 통해 다음과 같은 사전 작업이 이루어집니다.
우선 "C:\Users\%UserName%\AppData\Local\Temp\syswnt.exe" 파일(SHA-1 : 7242cd786e494064cce7ebf5d5f0dc960acdafa4 - ESET : a variant of Win32/TrojanDownloader.Small.AYF) 생성 및 실행이 이루어집니다.
실행된 파일은 특정 프로세스가 실행 중인 경우 종료(taskkill.exe /f /im sysnt.exe, taskkill.exe /f /im AdobeDistiller.exe) 및 삭제가 이루어지며, 악성코드에서 사용할 SQLSVC 서비스명이 등록되어 있는 경우 중지(stop SQLSVC) 및 삭제(delete SQLSVC)가 이루어집니다.
작업이 완료된 후에는 "C:\Users\%UserName%\AppData\Local\Temp\killfile2.bat" 배치 파일 생성을 통해 임시 폴더에 생성되어 실행되었던 "%Temp%\syswnt.exe" 파일 삭제 후 자신도 자가 삭제되며, 위의 동작 중간에 다음과 같은 추가적인 악성 파일 다운로드가 진행됩니다.
먼저 특정 단축 URL 서비스 주소에 접속하여 일본(Japan)에 위치한 …
IoC
2a09963cbcc2634a87513b9a7ee519c103b05b81
3a7fa60a969d9a51a570e74d5ee35a1d30cadfa6
457f1e6462c9b8abff3adc578e6d36370d5d9963
7242cd786e494064cce7ebf5d5f0dc960acdafa4
77c1304dbee0ec0c42e01e781ec21bc42b71ab4b
c23fbe7cc6f185123fb9c8001fe6430afd75071e
e8ade2580be93921b51ff889130c3464e3b5cf25
f89ff7fb3e39fba9aeb723690afb6f9357376fe3
3a7fa60a969d9a51a570e74d5ee35a1d30cadfa6
457f1e6462c9b8abff3adc578e6d36370d5d9963
7242cd786e494064cce7ebf5d5f0dc960acdafa4
77c1304dbee0ec0c42e01e781ec21bc42b71ab4b
c23fbe7cc6f185123fb9c8001fe6430afd75071e
e8ade2580be93921b51ff889130c3464e3b5cf25
f89ff7fb3e39fba9aeb723690afb6f9357376fe3