윈도우 정품 인증 툴로 유명한 KMSpico, 가상화폐 채굴 악성코드 포함되어 있어

최근 중국의 보안기업은 윈도우 정품 인증 툴로 유명한 KMSpico의 홈페이지에서 내려받는 툴에 가상화폐 채굴 악성코드가 포함되어 있다고 밝혔습니다. 

일반적으로 가상화폐 채굴 악성코드에 감염되면 컴퓨터를 사용하지 않는 상황 하에서도  CPU, GPU의 사용률이 100%에 달하며, 팬이 돌아가는 속도가 빨라지면 열이 발생하는 등의 현상이 나타납니다. 

KMSpico는 윈도우 정품 인증 툴로, 크랙버전을 사용하는 많은 사용자들이 해당 툴을 이용하여 정품인증을 받습니다. 

해당 파일을 분석해본 결과, 사용자가 KMSpico를 실행하면 컴퓨터 사용환경에 따라 32비트에서는 wuapp.exe / svchost.exe에, 64비트에서는 explorer.exe / notepad.exe에 모네로 채굴 악성코드 인젝션을 시도합니다. 또한  "jXuDLnugma"이름으로 레지스트리에 자동실행을 등록하여 컴퓨터가 켜질 때마다 자동으로 실행되도록 합니다.

이 모네로 채굴 악성코드는 오픈소스 cpuminer-multi를 사용한 것으로 확인되었습니다.

만약 taskmgr이 실행중이라면, 인젝션 하지 않고 대기하며, taskmgr이 종료된 후 실행 및 인젝션을 시도합니다. 

현재 알약에서는 해당 악성코드에 대하여 Misc.Riskware.MoneroMiner로 탐지중에 있습니다. 

참고 :

http://www.huorong.cn/info/151367762885.html