출처 : http://hummingbird.tistory.com/4340

(주)한글과컴퓨터에서 제공하는 한컴오피스 2010 제품이 토렌트(Torrent)를 통해 불법적으로 유포되는 과정에서 국내 마케팅 관련 조직에서 제작한 것으로 추정되는 악성 파일이 함께 설치되는 사례가 확인되었습니다.

  ▷ 불법 MS 오피스 2010 설치 파일에 추가된 국내 악성 파일 주의 (2013.1.6)

특히 해당 조직은 2012년 1년경에도 "Adware/Win32.Anyad (AhnLab V3 기준)" 계열을 비슷한 방식으로 유포하였다는 점을 감안하면 다수의 변종이 존재할 것으로 추정됩니다.

확인된 토렌트 파일은 "한글과컴퓨터오피스2010  정품.torrent" 이름으로 등록되어 있으며, 실제 다운로드를 시도하면 1.32GB 용량의 ALZip SFX 실행 압축 파일(한글과컴퓨터오피스2010  정품.exe)을 받아오는 것을 확인할 수 있습니다.

우선 한컴오피스 2010 정품 이미지를 확인해보면 AhnLab V3 Lite 무료 백신(V3Lite_Hancom_Setup.exe) 설치 파일이 포함되어 있으며, "/Install/readme/Css" 경로에는 Default.css 파일만 존재한 것을 확인할 수 있습니다.

하지만 2012년 4월 8일경 제작된 것으로 보이는 토렌트(Torrent)를 통해 다운로드된 불법판에는 AhnLab V3 Lite 무료 백신은 제외되어 있으며, "/Install/readme/Css/hrthrtSetup.exe" 파일이 추가되어 있는 것을 확인할 수 있습니다.

여기서 주목할 점은 hrthrtSetup.exe 파일은 2013년 1월 10일경에 추가된 것으로 보아, 기존에 유포되는 불법판에 악성 파일을 추가한 것으로 보입니다.

문제의 hrthrtSetup.exe 파일(MD5 : 0f7e03f52acf424801e9b18b76e1828e)을 추출하여 확인해보면 숨김(H) 속성값을 가지고 있으며, avast! 보안 제품에서는 Win32:Malware-gen (VirusTotal : 4/46) 진단명으로 진단되고 있습니다.

이렇게 토렌트(Torrent)를 통해 다운로드된 파일을 실행할 경우 ALZip Self-Extractor를 통해 자동으로 압축 해제되는 과정에서 다음과 같은 파일을 사용자 몰래 설치합니다.

생성된 악성 파일들은 숨김(H) 속성 폴더값을 가지는 폴더 내의 "C:Documents and Settings(사용자 계정)Application Datahrthrt" 폴더에 파일을 생성하며, btgsrhs.exe, hrthrt.exe 2개의 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.

우선 해당 악성 파일들에서는 공통적으로 "d:_yk-solutionanyadanyadclientlibraryanyadnetclient.cpp"와 같은 개발자 환경을 확인할 수 있으며, 해당 값을 기반으로 확인해보면 이전의 "Adware/Win32.Anyad" 악성코드 변종이며, 국내 특정 마케팅 관련 조직에서 제작된 것으로 추정되고 있습니다.

1. btgsrhs.exe (시작 프로그램 : adsol)

btgsrhs.exe 파일은 시스템 시작시 자동으로 실행되며, 일본(Japan)에 위치한 "61.213.1.106" IP 서버로 연결되도록 제작되어 있습니다.

실제 연결된 부분을 살펴보면 시스템 시작 후 1분이 경과하는 시점에서 일본(Japan)에 위치한"61.213.1.106" IP 서버와 통신을 합니다.

그 후 1분 간격으로 주기적으로 통신이 이루어지며, 시작 프로그램(Run)에 등록된 "adsol" 문자열이 포함되어 있는 특징을 확인할 수 있습니다.

2. hrthrt.exe (시작 프로그램 : itor6)

hrthrt.exe 파일은 시스템 시작시 자동으로 실행되어 일본(Japan)에 위치한 "103.247.88.110" IP 서버와 연결하며, hrthrtbrow.exe 파일과 연동되는 부분을 발견할 수 있습니다.

실제 동작 모습을 살펴보면 시스템 시작 후 1분이 경과하는 시점에서 일본(Japan)에 위치한"103.247.88.110" IP 서버와 연결을 지속적으로 유지하는 부분을 확인할 수 있습니다.

통신 부분을 확인해보면 시작 프로그램(Run)에 등록된 "itor6" 값과 유사한 "ITor50" 문자열이 포함되어 있습니다.

이를 통해 감염된 PC에서는 "103.247.88.110" C&C 서버에 등록된 FTP 서버에 등록된 추가적인 파일 다운로드 등의 악의적 동작이 예상됩니다.

3. hrthrtbrow.exe 파일

추가 실행이 예상되는 hrthrtbrow.exe 파일은 실행시 네이버(Naver), 다음(Daum), 네이트(Nate) 서버에 쿼리 전송을 하도록 제작되어 있습니다.

하지만 테스트 과정에서는 조건이 맞지 않는지 "Microsoft Visual C++ Runtime Library" 오류창만 생성되며 정상적인 동작은 확인되지 않고 있습니다.

이렇게 설치된 악성 프로그램의 삭제를 위해서는 Windows 작업 관리자를 실행하여 btgsrhs.exe, hrthrt.exe, hrthrtbrow.exe 프로세스가 존재할 경우 수동으로 종료한 후, "C:Documents and Settings(사용자 계정)Application Datahrthrt" 폴더를 찾아서 삭제를 하시기 바랍니다.

해당 악성코드에 감염된 시스템에서는 차후 해당 프로그램과 유사한 기능을 가진 또 다른 변종 프로그램을 지속적으로 설치하여 수익성 프로그램 설치 통로, 광고 생성 등의 악의적 행위를 사용자 몰래 할 가능성이 상당히 높습니다.

그러므로 토렌트와 같은 신뢰할 수 없는 경로를 통해 대용량 파일을 받을 경우에는 감염의 위험성이 높으므로 정품을 이용하시길 권장합니다.

또한 해당 유포 조직은 장기간에 걸쳐서 국내에서 인기있는 토렌트를 통해 유포되는 파일에 악성 파일을 추가하는 방식으로 감염을 유발하고 있는 것으로 보이므로 보안 업체의 적극적인 대응이 필요해 보입니다.