본문 바로가기

조치 가이드

Win32/Bredolab 류로 인한 네트워크 트레픽 유발 가이드

1. 서론
최근 다수의 시스템에서 네트워크 트래픽을 유발하는 악성코드가 확인 되어 가이드를 작성합니다.


2. 악성코드 감염 증상
해당 악성코드에 감염이 되면 다수의 파일을 다운로드 및 드랍하여 지속적인 재감염 및 네트워크 트래픽을 유발하여 네트워크 장애 및 시스템 리소스를 고갈 시킵니다.

네트워크 트래픽의 대부분은 스팸메일 발송으로 V3 제품이 설치된 시스템이라면 아래와 같은 메시지를 확인할 수 있습니다.


3. 악성코드 감염 시 생성되는 파일 및 레지스트리
3. 1 파일
대표적으로 아래와 같은 파일을 생성하며 해당 파일 외 다수의 파일이 있습니다.

C:\RECYCLER\S-1-5-21-4023274132-7382142363-650398018-2867(임의의 폴더명)\wnzip32.exe
C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811(임의의 폴더명)\vsbntlo.exe
C:\Documents and Settings\Administrator\Local Settings\Temp\init.exe
C:\bdxcphif.exe, C:\hfhhhml.exe, C:\uipcafn.exe 등의 임의의 파일명
C:\windows\system32\notepad.exe
C:\WINDOWS\system32\regedit.exe
C:\WINDOWS\system32\imPlayok.exe
C:\Documents and Settings\Administrator\imPlayok.exe
C:\program files\windows nt\dialer.exe
C:\program files\windows nt\pinball\pinball.exe



3. 2 레지스트리

시작 프로그램에 등록하기 위해 아래와 같은 레지스트리 값을 추가 합니다.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Taskman
"C:\RECYCLER\S-1-5-21-4023274132-7382142363-650398018-2867(임의의 폴더명)\wnzip32.exe"

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
"C:\WINDOWS\system32\userinit.exe,C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\init.exe"

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\12CFG214-K641-12SF-N85P (임의의 폴더명)
"C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811(임의의 폴더명)\vsbntlo.exe"

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Calc32
"C:\WINDOWS\system32\regedit.exe"

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\임의의 숫자
"c:\ecjew.exe"

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\imPlayok
"C:\WINDOWS\system32\imPlayok.exe

윈도우 기본 방화벽을 우회하기 위해 init.exe 파일을 예외 처리 합니다.

HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\C:\Documents and Settings\Administrator\Local Settings\Temp\init.exe
"C:\Documents and Settings\Administrator\Local Settings\Temp\init.exe:*:Enabled:ENABLE" 


다수의 메일을 발송하기 위해 기본 연결 포트를 최대값으로 수정 합니다.
HKLM\SYSTEM\ControlSet001\Services\Tcpip\Parameters\MaxUserPort
0xFFFE

 

윈도우 기본 방화벽 설정을 해제 합니다.
HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\EnableFirewall
0x0


3.3 hosts 파일 변조
C:\WINDOWS\system32\drivers\etc\hosts 파일을 변조하기도 합니다.


4. 조치 방법
 현재 해당 악성코드는 아래의 진단명으로 V3 제품군에서 진단 및 치료가 가능합니다. 따라서 스마트 업데이트를 통해 엔진을 최신버전으로 업데이트 하신 후 검사 및 치료를 진행해 보시기 바랍니다.

Win32/Bredolab.worm.62464
Win32/Palevo.worm.117248.G
Win32/Palevo.worm.119808.D
Win32/Polip
Win-Trojan/Agent.182791
Win-Trojan/Bifrose.61952.K
Win-Trojan/Bredolab.18432.G
Win-Trojan/Fakesys.23552.E
Win-Trojan/Injector.164864
Win-Trojan/Spamer.791552

위 악성코드 외 Win32/Dnis.C 바이러스와 함께 Win-Trojan/Rootkit 이 함께 설치되는 경우도 있습니다.


5. 기타
 이러한 악성코드의 전파 경로는 주로 아래와 같으니 확인 후 차후에 재감염이 되지 않도록 주의해 주시기 바랍니다.

1. 스팸 메일을 통한 전파
- 메일 열람 시 확인되지 않은 발신자에게서 온 메일에 포함된 첨부파일은 실행하지 않도록 합니다. 그리고 최근 PDF 취약점을 이용한 악성코드가 유행하고 있어 첨부파일의 확장자가 EXE가 아니더라도 열람을 하지 않는 것을 권장 드립니다.


2. 이동형 USB 디스크를 통한 전파
- 주로 Autorun 계열 악성코드가 이동형 USB 디스크를 통해 전파가 됩니다. Autorun 계열 악성코드는 이동형 USB 디스크를 연결 시 자동으로 실행되어 악성코드에 감염되게 됩니다.

따라서 아래 안내해 드리는 방법으로 설정하여 이동형 USB 디스크 연결 시 자동 실행을 막아 악성코드 감염을 예방하시기 바랍니다.

※ Autorun 계열 악성코드 예방 방법
 아래 안내해 드리는 사이트의 파일을 우선 다운로드 합니다. 그리고 다운로드 후 실행을 하시기 바랍니다. 실행을 하면 아무런 창이 나타나지 않지만 설정이 완료된 것이며 이후로 이동형 USB 디스크를 연결하더라도 자동실행이 되지 않아 악성코드 감염을 예방할 수 있습니다.

Autorun 실행 방지 툴(다운로드)

3. Microsoft Windows 보안 취약점을 통한 감염
- 윈도우 보안 취약점을 이용하여 악성코드에 감염이 되는 경우도 많습니다. 따라서 윈도우 보안 업데이트를 꼭! 하여 미연에 예방하도록 합니다. 업데이트 방법은 인터넷 익스플로러 실행 후 메뉴에서 [도구] - [Windows Update] 를 선택하여 업데이트를 하도록 합니다.

  • cswoo 2010.02.11 15:57 댓글주소 수정/삭제 댓글쓰기

    제가 경험한 바이러스에대하여 찾아본 결과, 이 글이 제 경우였던것 같아 제 경험을 댓글로 올려봅니다.
    ===========================================
    2월10일 바이러스 스캔 결과

    증상: svchost.exe프로세스가 일반사용자인 cswoo계정으로 계속해서 자가번식하며 시스템리소스를 소비함
    (또는 lsass.exe, CMD, ping등등.., 같은 증상으로 인한것인지는 모르겠음-다른 사용자 컴퓨터에서 확인)
    V3백신프로그램의 방화벽기능등을 무력화시킴
    조치: 이 바이러스들은 일반사용자환경에서 일반사용자권한으로 실행됨
    시스템이 느려지고 무거울 때, 타스크관리자에서 이상프로세서의 증식이 있는지 확인하고, 이상 발견시
    로그오프하여 다른 계정으로(Administrator)로그인하여 백신프로그램 가동
    결과: 백신으로 점검 후, 컴퓨터를 다시 시작하면 블루스크린으로 정상 부팅이 안됨
    결국 OS를 재설치하였음


    아래는 V3검사결과 검출된 바이러스임(엔진버전: 2월10일 6)

    Suspicious Autoloading Entries spyware
    HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon "Taskman"="C:\RECYCLER\S-1-5-21-9190127172-032925047-8812\wnzip32.exe"
    Win-Trojan/Antisb.144896.C virus
    C:\windows\system32\wiacmfgr.exe owner:cswoo
    Win32/Palevo.worm.119808.D virus
    C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe owner:cswoo
    Win-Trojan/Bifrose.61952.K
    C:\Documents and Settings\cswoo\Local Settings\Temporary Internet Files\Content.IE5\HCXH3T17\temflash[1].exe owner:cswoo
    Win32/Palevo.worm.119808.D
    C:\Documents and Settings\cswoo\Local Settings\Temporary Internet Files\Content.IE5\HCXH3T17\pr3xy[1].exe owner:cswoo
    Win-Trojan/Bredolab.18432.G
    C:\Documents and Settings\cswoo\Local Settings\Temporary Internet Files\Content.IE5\HCXH3T17\loaderadv563[1].exe owner:cswoo
    Win-Trojan/Bredolab.55296
    C:\Documents and Settings\cswoo\Local Settings\Temp\wmpscfgs.exe owner:cswoo
    Win-Trojan/Agent.38912.AGY
    C:\Documents and Settings\cswoo\Local Settings\Temp\tmp898.exe owner:cswoo
    Win-Trojan/Bifrose.61952.K
    C:\Documents and Settings\cswoo\Local Settings\Temp\init.exe owner:cswoo
    Win32/Palevo.worm.119808.D
    C:\Documents and Settings\cswoo\Local Settings\Temp\217.exe owner:cswoo
    Win-Trojan/Agent.18432.QC
    C:\Documents and Settings\cswoo\mrlulin.exe owner:cswoo
    Win-Trojan/Agent.40996.D
    C:\Documents and Settings\cswoo\imPlayok.exe owner:cswoo
    Win-Trojan/Injector.49152.U
    C:\vqadpj.exe owner:cswoo
    Win-Trojan/Injector.164864.B
    C:\uipcafn.exe owner:cswoo
    Win-Trojan/Agent.40996.D
    C:\ubcqaqi.exe owner:cswoo
    Win32/Palevo.worm.119808.D
    C:\rkfo.exe owner:cswoo
    Win32/Palevo.worm.119808.D
    C:\mxsimjn.exe owner:cswoo
    Win-Trojan/Injector.164864.B
    C:\hmov.exe owner:cswoo

    • 완벽하게 해결이 안되었군요.... 최근에 발견된 악성코드가 다시 다수의 악성코드를 다운로드 하는 형태라 조치하기가 까다롭습니다.. 이후에 다시 증상이 발생하면 신고센터로 신고주시면 확인하고 답변 드리겠습니다.

  • 요시 2010.02.11 19:29 댓글주소 수정/삭제 댓글쓰기

    유익한 정보 감사합니당 ㅎㅎ