분석 정보/악성코드 분석 정보

[악성코드 분석] HashCop_Bypass.exe (토렌트를 통한 악성코드 유포)

TACHYON & ISARC 2016. 1. 13. 10:56

HashCop_Bypass.exe 악성코드 분석 보고서

 


1. 개요


1.1. 파일정보


구분

내용

파일명

HashCop_Bypass.exe, svchost.exe

파일크기

1,009,152 byte

진단명

Trojan-Downloader/W32.Agent.1009152.C

악성동작

Bot, Downloader











1.2. 유포경로


HashCop_Bypass.exe는 *토렌트를 통해 유포되었다. 이 악성 파일에 대한 내용이 담긴 torrent 파일 “Inside Men, 2015 .720p.HDRip-H264.by-kyh -.torrent” 은 현재에도 토렌트 공유 사이트에 업로드 되어 있고 파일 다운로드가 가능하므로 주의가 요구된다.


*토렌트 – 사용자와 사용자 간(peer-to-peer) 파일 전송 프로토콜이자 그것을 이용하는 응용 소프트웨어. 하나의 파일을 인터넷 상에 분산 저장하고, 다수의 접속을 사용하여 여러 곳에서 동시에 파일을 가져오게 되어 전송 속도가 빨라진다.
파일을 공유하기 위해서 해당 파일이 아닌, 그 파일에 대한 정보와 공유하는 사람에 대한 정보가 담긴 시드파일(.torrent)을 사용한다. (출처-위키백과)




[그림] 유포지 캡쳐화면






2. 분석정보


2.1. 실행 과정


토렌트를 통해 파일을 다운받으면 아래와 같은 파일들을 확인할 수 있다. 해당 토렌트 다운로드 안내글에선 암호화된 영화파일의 복호화 하기 위해 HashCop_Bypass.exe 파일을 실행하도록 유도하고 있다. 


또한, 함께 다운받아진 Read Me First.txt 파일 내용을 확인하면 HashCop_Bypass.exe 파일이 백신의 오진으로 실행이 안 될 수 있다고 백신 종료를 유도한다. 해당 내용은 사실이 아니며, 이런 형태의 백신 종료 유도는 악성코드의 전형적인 행동 패턴이다.





[그림] 토렌트 다운로드 파일





[그림] 허위 안내문


 




유도에 따라 HashCop_Bypass.exe 를 실행하면 %UserProfile%\Local Settings \Application Data\Microsoft 하위에 svchost.exe로 자신을 복제한 후 이를 실행시킨다. 또한 이 파일을 'Windows Update'란 이름으로 자동실행 등록한다. 이 파일은 윈도우 정상 프로세스 svchost.exe 와 같은 파일명을 사용하기 때문에 사용자가 감염사실을 알기 어렵다.





[그림] 숨김 속성으로 복제된 HashCop_Bypass.exe






3. 악성 동작

HashCop_Bypass.exe는 PC에 상주하며 악성서버에서 명령을 받아 악성동작을 수행한다. 악성서버는 현재 접속되지 않지만 다운로더, DDoS 봇 등에 활용될 수 있는 실행코드가 내장되어 있다. 




 


[그림] 추가 악성 파일 다운로드 동작






[그림] 각종 DDoS 공격 코드의 일부





4. 결론


이 악성 파일은 최신 영화 '내부자들'로 위장 유포되고 있다. 파일이 복호화에 대한 안내문이 있지만 다운로드 된 'Inside Men, 2015 .720p.HDRip-H264.by-kyh -.JTJ' 파일은 단순히 7zip으로 압축된 파일이며, 안내문에 따라 악성 파일을 실행해도 압축은 해제되지 않는다. 또한 수동으로 압축을 풀더라도 압축된 영화 파일은 '내부자들'이 아닌 '8월의 크리스마스'이다.


이처럼 정상적인 유통경로를 거치지 않은 공유 파일에 악성코드를 삽입하는 방식은 이전부터 해커들이 즐겨 사용하던 방식이다. 비단 영화뿐 아닌, 음악, 만화, 게임, 프로그램 여러 형태로 위장한 악성파일들이 곳곳에 산재해 있다. 악성코드가 포함된 파일이 쉽게 공유되고 불법임에도 토렌트를 통해 저작권이 있는 파일을 공유하는 행위는 줄어들지 않고 있다.


안전한 PC 이용을 위해선 저작권이 있는 콘텐츠는 저작권자가 제공하는 방법으로 이용하고, 불법 공유 사이트에 방문하지 않는 것이 바람직하다. 또한, 악성코드 실행 유도에 속아 백신 프로그램의 실행을 종료하는 것은 위험한 행위며, 백신 설치 및 상시 업데이트를 통해 악성코드 공격에 대비해야 한다.


해당 악성파일은 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.




[그림] nProtect Anti-Virus/Spyware V4.0 악성코드 검사 화면





[그림] nProtect Anti-Virus/Spyware V3.0 악성코드 검사 화면