본문 바로가기
분석 정보/악성코드 분석 정보

감염형 코인마이너 XiaoBa

by TACHYON & ISARC 2026. 4. 14.

XiaoBa는 중국어로 소형 버스를 의미하는 말로, 2017년 동명으로 활동하는 랜섬웨어가 처음으로 발견되었다. 이후 XiaoBa는 수 차례의 버전업을 거치다 랜섬웨어 기능을 포기하고 감염 기능을 가진 코인 마이닝 멀웨어로 노선을 변경했다. 최근 다시 전파되는 XiaoBa 변종은 Windows OS 의 실행 파일, 연결된 USB 드라이브를 감염시키고 시스템의 정상 기능을 마비시키기 때문에 주의가 필요하다.

 

 

멀웨어 은닉, 지속성 유지

XiaoBa 는 중국의 보안 업체 Qihoo360 의 보안 프로그램으로 위장하고 있다는 점, 중국에서 활발하게 사용되는 EPL(Easy Programming Language)를 빌드하는 프레임워크 중 하나인 BlackMoon 으로 작성된 점으로 보아 기본적으로 중국을 공격 대상으로 작성된 멀웨어로 추정된다.

 

 

[그림 1] 중국 보안 프로그램으로 위장한 XiaoBa

 

최초로 실행되는 XiaoBa 파일은 현재 실행 파일 경로가 C:\Windows\360\360Safe\deepscan 이 아닌 경우 해당 경로에 ZhuDongFangYu.exe 라는 이름으로 자기 자신을 복제, 실행한다.

 

[그림 2] ZhuDongFangYu.exe 로 복사된 XiaoBa 실행 파일

 

복사된 파일 ZhuDongFangYu.exe 는 현재 파일의 경로가 C:\Windows\360\360Safe\deepscan 이면 본격적인 악성 행위를 수행한다. 우선 CreateEventA() API 에 하드코딩된 문자열 XiaoBa-2018-1-10 을 전달해 중복 실행 여부를 검증한다. 이미 XiaoBa 가 실행 중이라면 악성 행위 없이 현재 프로세스를 종료한다.

 

[그림 3] 중복 실행 검증 코드

 

중복 실행 검증에 성공하면 자기 자신 파일에 읽기 전용, 숨김 파일, 시스템 파일 속성을 부여한다.

 

[그림 4] ZhuDongFangYu.exe 파일 은닉 코드

 

이후 다음과 같은 레지스트리를 조작해 사용자가 숨김 속성 파일, 시스템 보호 속성 파일을 탐색기에서 볼 수 없게 하고 레지스트리 편집기, 숨김 설정에 대한 접근을 차단한다. 또한 Run 레지스트리에 자기 자신 파일을 등록해 시스템 재부팅 시 자동으로 실행되도록 설정한다.

 

[표 1] XiaoBa 지속, 은닉을 위해 조작되는 레지스트리

 

[그림 5] 레지스트리 편집기, 파일 숨김 설정에 대한 접근 차단

 

C:\Windows\System32\drivers\etc 경로의 hosts 파일을 조작해 안티 바이러스 관련 도메인에 접속을 시도하면 루프백 주소로 리다이렉트 시켜 통신을 방해한다.

 

[그림 6] 조작된 hosts 파일

 

시스템 감염

지속성, 은닉을 위한 동작을 완료하면 접근 가능한 파일 시스템을 모두 탐색하며 지정된 확장자의 파일을 발견하면 감염 동작을 실행한다.

exe, com, scr, pif 확장자 파일을 발견하면 XiaoBa 로 대체하고 감염 대상 파일 데이터를 XiaoBa 뒤에 붙인다. 감염된 정상 파일의 코드를 실행하지 않기 때문에 XiaoBa에 감염된 시스템은 정상적인 기능을 수행할 수 없다.

 

[그림 7] 정상 exe 파일이 XiaoBa 에 감염되는 과정

 

시스템 백업을 위해 사용되는 이미지 파일인 gho, iso 확장자 파일이 발견되면 삭제해 사용자의 시스템 복구를 방해한다.

또한 현재 시스템 뿐만 아니라 연결된 USB 도 감염시켜 전파를 시도한다. 이를 위해 시스템에 연결된 각 드라이브의 루트 경로에 RECYCLER 라는 이름의 폴더를 생성, 자기 자신을 복제한다. 그 다음 autorun.inf 파일에 복사한 파일 경로를 추가해 감염된 USB를 연결하면 XiaoBa가 자동 실행되도록 유도한다.

 

[그림 8] XiaoBa 를 실행하도록 작성된 autorun.inf

 

코인 마이닝

시스템 탐색 중 htm, html 확장자 파일을 발견하면 파일 최하단에 코인 마이닝 스크립트를 추가한다. 본래는 사용자가 감염된 파일을 실행하면 코인 마이닝 스크립트가 실행되나, 현 시점에서는 Coinhive 서비스가 종료돼 더 이상 채굴 기능은 실행되지 않는다.

 

[그림 9] htm, html 파일에 삽입되는 코인 마이닝 스크립트

 

이번에 소개한 XiaoBa 는 감염된 USB를 통해 전파되어 코인 마이닝 스크립트를 실행해 시스템 리소스를 갉아먹는다. 비록 코인 마이닝 스크립트는 무력화됐지만, 파일 감염 기능은 여전히 건재해 정상 파일 기능을 무력화하고 시스템 복구 이미지를 제거해 피해 시스템의 정상 기능을 마비시킨다. 감염 기능을 가진 멀웨어는 개인의 피해로 끝나지 않고 조직과 주변 사람들까지 영향을 끼칠 수 있기에 주의가 필요하다.

 

 

 

저작자표시 비영리 변경금지 (새창열림)

'분석 정보 > 악성코드 분석 정보' 카테고리의 다른 글

DeepLoad, 확장 프로그램으로 위장해 암호화폐 탈취  (0) 2026.04.14
ISO 파일로 유포되는 Phantom Stealer  (0) 2026.02.13
NSIS 플러그인을 악용해 유포되는 Lumma Stealer  (0) 2026.01.29
Yokai 백도어를 유포하는 SnakeDisk 웜  (0) 2025.12.24
USB를 감지해 전파하는 HIUPAN 웜  (0) 2025.12.24

관련글

티스토리툴바