Archives
Today
468
Total
7,220,657
관리 메뉴

꿈을꾸는 파랑새

윈도우 정품 인증 툴 KMSpico에 포함이 된 가상화폐 채굴 악성코드 발견 본문

보안

윈도우 정품 인증 툴 KMSpico에 포함이 된 가상화폐 채굴 악성코드 발견

Sakai 2017.12.26 00:11

오늘은 아마도 윈도우 정품을 구매하지 않고 윈도우 정품 인증을 하려고 사용을 하는 윈도우 정품 인증 툴 KMSpico에서 가상화폐 채굴 악성코드가 포함되었다는 소식입니다.

가상화폐 모네로를 채굴을 하는 코드가 포함된 것을 확인되었습니다. 일단 모네로(Monero)는 단축코드는 XMR이며 2014년 4월 18일에 시작이 되었으며 발행방식은 PoW(Proof-of-Work, 작업 증명)으로 하면 모네로(Monero)라는 이름은 에스페란토 어로 동전을 뜻하며 비트코인의 블록체인가 다르게 모네로는 CryptoNote 프로토콜을 채택하여 사용자의 익명성을 보장합니다.

CryptoNight라는 독자적인 작업증명 기법을 사용하며 채굴기(ASIC 채굴기)와 이를 소유한 자본에 의해 탈 중앙화(decentralization)적 가치가 훼손되는 것을 막고 있으며 1CPU당 1표(one-CPU-one-vote) 식 PoW를 구현했으면 한마디로 CPU가 좋으면 CPU로도 잘 캐진 다는 것입니다. 일단 기본적으로 가상화폐 채굴 악성코드에 감염되면 사용자 컴퓨터의 CPU,GPU 사용률은 상승해서 사용자의 컴퓨터 고장의 원인이 되기도 할 것입니다.

Canon | Canon EOS DIGITAL REBEL

KMSpico는 윈도우 정품 인증 툴로서 크랙버전(일명 복돌이)을 사용하는 윈도우,마이크로소프트 오피스등의 불법 정품인증도구로 사용됩니다. 일단 기본적으로 해당 KMSpico ISO 파일을 풀고 포함이 된 KMSPico 10.2.2 Final이 있습니다.

일단 해당 파일인 KMSPico 10.2.2 Final SHA256:2229f604bcbd3ad8064ec7854edad85d49bd70bb94fe1a21340038d0c9b64dc7은 기본적으로 PUP/Win32.Amonetize.R215175로 진단을 하고 있으면 해당 파일을 실행하면 다음과 같이 폴더와 파일을 생성합니다.

C:\Program Files\KMSPico 10.2.2 Final
C:\Program Files\KMSPico 10.2.2 Final\INSTALL_KMS.bat
C:\Program Files\KMSPico 10.2.2 Final\KMSPico Setup.exe
SHA256:fed1b2c40ab8fde0a3813266ab76d40a32afe8480f609d4718a46f931cf5dbb9

PUP/Win32.Amonetize.R215175

바이러스토탈 결과

C:\Program Files\KMSPico 10.2.2 Final\KMSpico_patch.exe
SHA256:9c41ea2ea06efd9c65d7bab818f61c862f981a6765a3d0f602a5b0122f0184de
PUP/Win32.DealPly.R214963

바이러스토탈 결과

C:\Program Files\KMSPico 10.2.2 Final\win32.exe:시작 프로그램(jXuDLnugma) 등록 파일을 하면 가상 화폐(모네로)로 채굴에 동원됩니다.
그리고 레지스터리에 다음과 같이 등록을 합니다.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce- jXuDLnugma = "C:\Users\%UserName%\AppData\Local\KAUNCU~1\win32.exe

그리고 jXuDLnugma를 컴퓨터가 부팅을 할 때마다 실행되어서 가상화폐인 모네로 채굴을 시도합니다.
그리고 사용자가 컴퓨터가 느려지거나 평상시보다 냉각 펜이 많이 돌아서 작업 관리자(Taskmgr.exe)를 통해서 CPU 사용률을 확인을 할려고 하면 악의적인 프로세스로 활용되는 notepad.exe 프로세스를 자동 종료해서 가상화폐 채굴을 하는 것을 숨기면 사용자가 작업 관리자를 종료하면 다시 재실행하여 모네로 가상화폐 채굴을 계속합니다.

notepad.exe 프로세스를 자동 종료해서 가상화폐 채굴을 하는 것을 숨기면 사용자가 작업 관리자를 종료하면 다시 재실행하여 모네로 가상화폐 채굴을 계속합니다.
일단 보조 백신프로그램인 Zemana AntiMalware에서는 기본적으로 실시간 감시를 하고 있을 때는 Zemana AntiMalware에서 백신프로그램보다 먼저 해당 가상화폐 채굴 악성코드들을 먼저 차단하는 것을 확인되었습니다.

일단 최근에 가상화폐 열풍에 해당 부분에 아마도 가상화폐 채굴 악성코드가 늘어가는 것 같습니다.
일단 이런 악성코드에 감염되기 싫으면 깔끔하게 정품을 사용하는 것이 컴퓨터를 안전하게 사용하는 방법이면 백신프로그램은 항상 설치를 해두어야지 이런 악성코드에 감염되는 것을 최소화할 수가 있을 것입니다.



Tag
, , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , ,
8 Comments
댓글쓰기 폼