'야마꼬!' 키보드를 누르면 특정 소리가 들린다?

1. 서론
키보드의 특정 키를 누르면 해당 키에 따라 특정 소리가 나는 조커(컴퓨터에 자체에 크게 나쁜 영향을 주지는 않지만 사용자를 놀라게 하는 악성 프로그램들을 말한다.)류의 악성코드에 대해서 알려드립니다.

* 조커(Joker)란 무엇인지 아래 URL에 자세한 정보가 있으니 참조해 주시기 바랍니다.

http://www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?menu_dist=3&seq=13338

2. 감염 시 증상
아래 그림은 한 포털 사이트 Q&A에 작성된 질문입니다.

      [그림 1] 한 포털 사이트 Q&A 페이지에 등록된 질문

해당 악성코드에 감염 시 나타나는 대표적인 증상은 특정 키 ( 스페이스 바, 엔터 키 등) 를 누르게 되면 그에 해당하는 특정 소리가 들리게 됩니다.

스페이스 바 : "야마꼬"
엔터 키 : "아하하하"
그 외 Tab, Delete 키 등

[표 1] 키보드 키에 따른 소리

또한 모니터링 툴 및 작업관리자, 레지스트리 편집기 등의 실행을 방해하여 동작하지 못하게 하는 기능도 있습니다.

0001B66C   0041C26C      0   procexp.exe
0001B680   0041C280      0   procmon.exe
0001B694   0041C294      0   autoruns.exe
0001B6AC   0041C2AC      0   KillProcess.exe
0001B6C4   0041C2C4      0   PrcInfo.exe
0001B6D8   0041C2D8      0   filemon.exe
0001B6EC   0041C2EC      0   regmon.exe
0001B700   0041C300      0   taskmgr.exe
0001B714   0041C314      0   HiJackThis.exe
0001B72C   0041C32C      0   avz.exe
0001B73C   0041C33C      0   phunter.exe
0001B750   0041C350      0   UnlockerAssistant.exe
0001B770   0041C370      0   Unlocker.exe
0001B788   0041C388      0   regedit.exe
0001B79C   0041C39C      0   msconfig.exe

[표 2] 실행을 방해하는 프로그램 리스트

생성되는 파일 및 변경되는 레지스트리 정보는 아래와 같습니다. 시스템 시작 시 자동 실행되게 설정하며 폴더 옵션 비활성화 및 숨김 속성을 준 후 숨김 속성을 변경하지 못하게 하며 작업관리자 등을 disabled 로 설정하게 됩니다.

[파일 생성]
C:\WINDOWS\system32\logo.scr
C:\WINDOWS\system32\drivers\servise.exe
C:\WINDOWS\system32\drivers\Cache\XXX.scr

[레지스트리 변경]
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\NvCplDeamon                                                                                         "C:\WINDOWS\system32\drivers\servise.exe"
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden                                                                                "0" 
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden                                                                       "0"
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\HideFileExt                                                                           "1" 
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\NoFolderOptions                                                                       "1"
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr                                                                          "1" 

[표 3] 생성되는 파일 및 변경되는 레지스트리

3. 조치 방법
생성된 파일들은 동일한 파일이며 V3에서 아래와 같은 진단명으로 진단/치료가 가능합니다.

Win-Trojan/Agent.166912.BN