KMSPico 정품 인증 툴에서 가상화폐 채굴 기능 악성코드 자동 설치
악성파일, 자가 복제하고 및 Windows 부팅 시 자동 실행...숨는 기능까지 있어
[보안뉴스 김경애 기자] KMSPico 정품 인증 툴에서 가상화폐 채굴 기능이 발견돼 이용자들의 각별한 주의가 필요하다.
▲KMSPico 10.2.2 버전에서 가상 화폐 채굴 기능파일이 설치된 화면[이미지=울지않는벌새]
2017년 12월 초에 등록된 Windows, Microsoft Office 프로그램의 정품 인증 툴로 유명한 KMSPico 10.2.2 버전에서 가상화폐 채굴 기능을 가진 악성코드가 추가된 정황이 포착된 것이다.
보안전문 파워블로거 울지않는벌새는 “KMSPico 정품 인증 툴에서 가상화폐 채굴 기능이 필수적으로 설치된다”며 “채글 기능이 있는 악성파일은 KMSPico 정품 인증툴 설치 창이 생성된 후 ‘C:\Program Files (x86)\KMSPico 10.2.2 Final’ 폴더를 생성하며, 가상화폐 채굴 기능을 수행하는 win32.exe 악성파일이 생성된다”고 분석했다.
가상화폐 채굴용 악성코드(win32.exe)는 x64 운영체제의 경우 메모장(notepad.exe) 또는 Windows 탐색기(explorer.exe)에서 코드 인젝션을 통해 동작한다.
explorer.exe 실행파일 또는 notepad.exe 프로세스는 ‘xmr.pool.minergate.com:45560 (94.130.9.194:45560)’ 서버와의 통신을 통해 Zcash 가상화폐 채굴 기능을 수행한다.
또한, 악성파일은 자가 복제하는 행위를 수행하고, Windows 부팅 시에도 시작 프로그램(RunOnce)에서 자동 실행하도록 구성돼 있다. 또한, 재부팅 이후에도 악성파일은 지속적으로 Zcash 가상화폐 채굴을 위해 notepad.exe 프로세스로 동작한다.
가상화폐 채굴 기능을 수행하는 notepad.exe 프로세스는 50% 수준의 CPU 사용을 유지하며, 만약 100%로 상승할 경우 자동으로 종료해 재실행된다. 실행된 notepad.exe 프로세스는 약 2~3분 간격으로 종료와 재실행을 반복해 채굴 작업을 진행한다.
특히, 사용자가 작업 관리자(Taskmgr.exe)를 실행해 CPU 사용을 확인할 경우 notepad.exe 프로세스를 자동 종료 처리해 자신의 행위를 숨기며, 작업 관리자가 종료될 경우 재실행해 지속적인 작업을 수행한다.
또한, x86 운영체제 사용자는 가상화폐 채굴 기능을 수행하는 svchost.exe 또는 wuapp.exe 프로세스를 통해 채굴되도록 제작됐다.
이에 대해 벌새는 “KMSPico 정품 인증 툴을 확인하는 과정에서 필수적으로 가상화폐 채굴 기능과 특정 시간 단위로 추가적인 악성 프로그램 설치를 유도하는 웹사이트 접속 행위가 수행될 수 있다”며 “KMSPico 정품 인증 툴은 되도록 사용하지 않는 것이 바람직하며, 백신에서 탐지한다고 해도 정품 인증 툴 특성 때문에 진단한 것으로 무시하는 경향이 있어 더욱 주의해야 한다”고 당부했다.
[김경애 기자(boan3@boannews.com)]
악성파일, 자가 복제하고 및 Windows 부팅 시 자동 실행...숨는 기능까지 있어
[보안뉴스 김경애 기자] KMSPico 정품 인증 툴에서 가상화폐 채굴 기능이 발견돼 이용자들의 각별한 주의가 필요하다.
▲KMSPico 10.2.2 버전에서 가상 화폐 채굴 기능파일이 설치된 화면[이미지=울지않는벌새]
2017년 12월 초에 등록된 Windows, Microsoft Office 프로그램의 정품 인증 툴로 유명한 KMSPico 10.2.2 버전에서 가상화폐 채굴 기능을 가진 악성코드가 추가된 정황이 포착된 것이다.
보안전문 파워블로거 울지않는벌새는 “KMSPico 정품 인증 툴에서 가상화폐 채굴 기능이 필수적으로 설치된다”며 “채글 기능이 있는 악성파일은 KMSPico 정품 인증툴 설치 창이 생성된 후 ‘C:\Program Files (x86)\KMSPico 10.2.2 Final’ 폴더를 생성하며, 가상화폐 채굴 기능을 수행하는 win32.exe 악성파일이 생성된다”고 분석했다.
가상화폐 채굴용 악성코드(win32.exe)는 x64 운영체제의 경우 메모장(notepad.exe) 또는 Windows 탐색기(explorer.exe)에서 코드 인젝션을 통해 동작한다.
explorer.exe 실행파일 또는 notepad.exe 프로세스는 ‘xmr.pool.minergate.com:45560 (94.130.9.194:45560)’ 서버와의 통신을 통해 Zcash 가상화폐 채굴 기능을 수행한다.
또한, 악성파일은 자가 복제하는 행위를 수행하고, Windows 부팅 시에도 시작 프로그램(RunOnce)에서 자동 실행하도록 구성돼 있다. 또한, 재부팅 이후에도 악성파일은 지속적으로 Zcash 가상화폐 채굴을 위해 notepad.exe 프로세스로 동작한다.
가상화폐 채굴 기능을 수행하는 notepad.exe 프로세스는 50% 수준의 CPU 사용을 유지하며, 만약 100%로 상승할 경우 자동으로 종료해 재실행된다. 실행된 notepad.exe 프로세스는 약 2~3분 간격으로 종료와 재실행을 반복해 채굴 작업을 진행한다.
특히, 사용자가 작업 관리자(Taskmgr.exe)를 실행해 CPU 사용을 확인할 경우 notepad.exe 프로세스를 자동 종료 처리해 자신의 행위를 숨기며, 작업 관리자가 종료될 경우 재실행해 지속적인 작업을 수행한다.
또한, x86 운영체제 사용자는 가상화폐 채굴 기능을 수행하는 svchost.exe 또는 wuapp.exe 프로세스를 통해 채굴되도록 제작됐다.
이에 대해 벌새는 “KMSPico 정품 인증 툴을 확인하는 과정에서 필수적으로 가상화폐 채굴 기능과 특정 시간 단위로 추가적인 악성 프로그램 설치를 유도하는 웹사이트 접속 행위가 수행될 수 있다”며 “KMSPico 정품 인증 툴은 되도록 사용하지 않는 것이 바람직하며, 백신에서 탐지한다고 해도 정품 인증 툴 특성 때문에 진단한 것으로 무시하는 경향이 있어 더욱 주의해야 한다”고 당부했다.
[김경애 기자(boan3@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
