본문 바로가기

벌새::Analysis

ADSPY/Agent.QF (AntiVir)

반응형

국내 모공유 사이트에서 발견한 악성코드 샘플입니다.

해당 샘플의 유포 방식은 영화를 다운로드하여 보고 싶은 사람의 마음을 교묘하게 이용하는 방식을 취하고 있으며, 영화 다운을 위한 결제 외에도 해당 샘플을 설치하여 스폰서 프로그램을 추가로 설치하여 금전적인 이득을 노리는 것으로 추정됩니다.

사용자 삽입 이미지

위의 스크린샷과 같이 보고 싶은 영화를 클릭하도록 유도합니다. 특히 웹사이트 자체가 더 많은 사람들을 끌도록 하기 위해 추천수 조작 등 악의적인 형태를 취하고 있는 것으로 추정됩니다.

실제 특정 파일명을 클릭해 보겠습니다.

사용자 삽입 이미지

다운을 위한 아이디가 발급되었다는 메시지와 함께 특정 파일(Filegongu.exe)이 자동으로 다운로드 되도록 구성되어 있습니다.

보통의 경우 의심없이 일반적인 영화 다운로드 파일로 생각하고 다운을 하여 실행할 수 있습니다.

사용자 삽입 이미지

먼저 이들은 휴대폰 결제를 통해 영화 다운에 대한 금전적 이득을 취합니다. 그리고 추가적으로 다운로드된 파일의 실행을 통해 다음과 같은 금전적 이득을 취할 수 있습니다.

[Filegongu.exe] - MD5 : 986549aac7675c6e8b808d0f3175f76b

사용자 삽입 이미지

Antivirus Version Last Update Result
AhnLab-V3 2008.3.26.0 2008.03.26 -
AntiVir 7.6.0.75 2008.03.26 ADSPY/Agent.QF
Authentium 4.93.8 2008.03.26 -
Avast 4.7.1098.0 2008.03.26 -
AVG 7.5.0.516 2008.03.26 -
BitDefender 7.2 2008.03.26 -
CAT-QuickHeal 9.50 2008.03.26 -
ClamAV 0.92.1 2008.03.26 -
DrWeb 4.44.0.09170 2008.03.26 -
eSafe 7.0.15.0 2008.03.18 -
eTrust-Vet 31.3.5644 2008.03.26 -
Ewido 4.0 2008.03.26 -
FileAdvisor 1 2008.03.26 -
Fortinet 3.14.0.0 2008.03.26 -
F-Prot 4.4.2.54 2008.03.26 -
F-Secure 6.70.13260.0 2008.03.26 -
Ikarus T3.1.1.20 2008.03.26 -
Kaspersky 7.0.0.125 2008.03.26 -
McAfee 5259 2008.03.25 -
Microsoft 1.3301 2008.03.26 -
NOD32v2 2974 2008.03.26 probably a variant of Win32/Adware.SearchSpy
Norman 5.80.02 2008.03.26 -
Panda 9.0.0.4 2008.03.25 -
Prevx1 V2 2008.03.26 Heuristic: Suspicious Self Modifying File
Rising 20.37.22.00 2008.03.26 -
Sophos 4.27.0 2008.03.26 -
Sunbelt 3.0.978.0 2008.03.18 -
Symantec 10 2008.03.26 -
TheHacker 6.2.92.255 2008.03.26 -
VBA32 3.12.6.3 2008.03.25 -
VirusBuster 4.3.26:9 2008.03.25 -
Webwasher-Gateway 6.6.2 2008.03.26 Ad-Spyware.Agent.QF
Additional information
File size: 24576 bytes
MD5: 986549aac7675c6e8b808d0f3175f76b
SHA1: 58cef33022d6ff547a2701e677f733a8f090d6f6

진단명을 보시면 특정 보안 제품(서치스파이 - 스파이웨어류)을 다운로드 설치하는 것으로 보입니다.

[레지스트리 생성]

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\P3P
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\P3P\History
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - WinSysFolder32 = "%System%\sysfolder32gt.exe" -> 윈도우 시작시 작동
 - WinScanDriver32 = "%System%\scandriver32.exe" -> 윈도우 시작시 작동

[추가적인 파일 다운로드]

http://xxxx.xxxxxxxxx.co.kr/archive/HideWinRun.exe (4F095BB85B47E8FA8392AB31B0A66335)

http://xxxx.xxxxxxxxx.co.kr/data/GetHWinRun.html -> HideWinRun.exe (4CF6DDFF047A3AEA354406455AF7D30B)

[HideWinRun.exe] - MD5 : 4f095bb85b47e8fa8392ab31b0a66335

Antivirus Version Last Update Result
AhnLab-V3 2008.3.26.0 2008.03.26 -
AntiVir 7.6.0.75 2008.03.26 ADSPY/Agent.QF
Authentium 4.93.8 2008.03.26 -
Avast 4.7.1098.0 2008.03.26 -
AVG 7.5.0.516 2008.03.26 Downloader.Generic7.EM
BitDefender 7.2 2008.03.26 -
CAT-QuickHeal 9.50 2008.03.26 AdWare.Agent.ee (Not a Virus)
ClamAV 0.92.1 2008.03.26 -
DrWeb 4.44.0.09170 2008.03.26 Trojan.DownLoader.origin
eSafe 7.0.15.0 2008.03.18 -
eTrust-Vet 31.3.5644 2008.03.26 Win32/VMalum.CGWK
Ewido 4.0 2008.03.26 Downloader.Agent
F-Prot 4.4.2.54 2008.03.26 W32/Adware.ABTG
F-Secure 6.70.13260.0 2008.03.26 -
FileAdvisor 1 2008.03.26 -
Fortinet 3.14.0.0 2008.03.26 Adware/BHO
Ikarus T3.1.1.20 2008.03.26 not-a-virus:AdWare.Win32.BHO.ain
Kaspersky 7.0.0.125 2008.03.26 not-a-virus:AdWare.Win32.BHO.ain
McAfee 5259 2008.03.25 Generic Downloader.k
Microsoft 1.3301 2008.03.26 -
NOD32v2 2974 2008.03.26 probably a variant of Win32/Adware.SearchSpy
Norman 5.80.02 2008.03.26 W32/BHO.BWI
Panda 9.0.0.4 2008.03.25 Suspicious file
Prevx1 V2 2008.03.26 Heuristic: Suspicious Self Modifying File
Rising 20.37.22.00 2008.03.26 -
Sophos 4.27.0 2008.03.26 -
Sunbelt 3.0.978.0 2008.03.18 -
Symantec 10 2008.03.26 Downloader
TheHacker 6.2.92.255 2008.03.26 Adware/BHO.ain
VBA32 3.12.6.3 2008.03.25 -
VirusBuster 4.3.26:9 2008.03.25 -
Webwasher-Gateway 6.6.2 2008.03.26 Ad-Spyware.Agent.QF
Additional information
File size: 20480 bytes
MD5: 4f095bb85b47e8fa8392ab31b0a66335
SHA1: f8168e92c4007c7ba7569094ba1464c671df8039

해당 샘플의 진단명으로 추정해 보면, BHO 관련 악성코드로 설치시 웹브라우저에 추가되어 사용자의 IE 사용을 방해하거나 기타 원치않는 행동을 할 것으로 보입니다.

[HideWinRun.exe] - MD5 : 4CF6DDFF047A3AEA354406455AF7D30B

Antivirus Version Last Update Result
AhnLab-V3 2008.3.26.0 2008.03.26 -
AntiVir 7.6.0.75 2008.03.26 ADSPY/Agent.QF
Authentium 4.93.8 2008.03.26 -
Avast 4.7.1098.0 2008.03.26 -
AVG 7.5.0.516 2008.03.26 -
BitDefender 7.2 2008.03.26 -
CAT-QuickHeal 9.50 2008.03.26 -
ClamAV 0.92.1 2008.03.26 -
DrWeb 4.44.0.09170 2008.03.26 Trojan.DownLoader.origin
eSafe 7.0.15.0 2008.03.18 -
eTrust-Vet 31.3.5644 2008.03.26 -
Ewido 4.0 2008.03.26 -
F-Prot 4.4.2.54 2008.03.26 -
F-Secure 6.70.13260.0 2008.03.26 -
FileAdvisor 1 2008.03.26 -
Fortinet 3.14.0.0 2008.03.26 -
Ikarus T3.1.1.20 2008.03.26 AdWare.Agent.QF
Kaspersky 7.0.0.125 2008.03.26 -
McAfee 5259 2008.03.25 -
Microsoft 1.3301 2008.03.26 -
NOD32v2 2974 2008.03.26 probably a variant of Win32/Adware.SearchSpy
Norman 5.80.02 2008.03.26 -
Panda 9.0.0.4 2008.03.25 Suspicious file
Prevx1 V2 2008.03.26 Heuristic: Suspicious Self Modifying File
Rising 20.37.22.00 2008.03.26 -
Sophos 4.27.0 2008.03.26 -
Sunbelt 3.0.978.0 2008.03.18 -
Symantec 10 2008.03.26 -
TheHacker 6.2.92.255 2008.03.26 -
VBA32 3.12.6.3 2008.03.25 -
VirusBuster 4.3.26:9 2008.03.25 -
Webwasher-Gateway 6.6.2 2008.03.26 Ad-Spyware.Agent.QF
Additional information
File size: 24576 bytes
MD5: 4cf6ddff047a3aea354406455af7d30b
SHA1: 785235cfb76a7dfb7967887540d50a6ce48f79ca

이 샘플은 서치스파이 관련 프로그램으로 추정됩니다.

이와 같이 다운로드 된 파일의 실행으로 인해 추가적인 사용자가 원치않는 프로그램의 설치로 컴퓨터 사용에 불편을 야기하며, 악성코드를 심는 행위를 통해 해당 웹사이트 운영자는 또 다른 금전적인 이득을 취하고 있습니다.

풍족한 인터넷 환경의 영향으로 쉽게 영화를 다운받을 수 있고, 일반적인 영화 다운로드 프로그램으로 가장하여 추가적인 스파이웨어 설치와 금전적 이득을 취하는 행위에 일반 사용자 측면에서는 별 의심없이 당할 수 있습니다.

세계 유명 보안제품으로도 제대로 진단되지 않는 이와 같은 경우는 더욱 설치된 악성코드를 삭제하기 위해 또 다른 추가 비용이 들 수 있기에 정상적인 경로가 아닌, 특히 불법성이 강한 사이트에서 제공하는 파일들은 언제나 의심을 해 보시기 바랍니다.

728x90
반응형