728x90
반응형
국내에서 제작되어 사용자가 특정 온라인 쇼핑몰 사이트에 접속시 사용자 몰래 특정 광고 코드를 추가하는 것으로 추정되는 악성코드 cbcem 프로그램에 대해 살펴보도록 하겠습니다.
해당 프로그램의 설치 파일(MD5 : fc1efc06df14e2184ee13c2a02efa390)에 대하여 안철수연구소(AhnLab) V3 보안 제품에서는 Trojan/Win32.Overtls (VirusTotal : 4/41) 진단명으로 진단하고 있습니다.
해당 프로그램이 설치된 환경에서는 사용자가 Internet Explorer를 실행할 경우 동작하는 방식이며, 웹 브라우저 상에서 특정 동작이 확인되지 않으므로 분석을 목적으로 하지 않는 경우 인지하기 매우 어렵습니다.
Internet Explorer에 등록된 2개의 악성 컨트롤 항목을 통해 사용자는 설치 여부를 확인하실 수 있습니다.
특히 프로그램 삭제 기능을 이용한 삭제 후에도 여전히 [C:\WINDOWS\system32\wincn3class.dat] 파일이 존재하므로 수동 삭제를 이용하시기 바랍니다.
참고로 프로그램 삭제시에는 반드시 Internet Explorer를 비롯한 모든 프로그램을 종료한 상태에서 진행하시기 바랍니다.
해당 프로그램은 삭제 기능을 제공하는 정상적인 프로그램으로 위장하고 있으며, 프로그램 삭제 후에도 시스템 폴더에 위치한 wincn3class.dat 파일을 남기어 BHO 방식으로 계속적인 수익을 창출할 목적이 아닌가 추정됩니다.
해당 프로그램의 설치 파일(MD5 : fc1efc06df14e2184ee13c2a02efa390)에 대하여 안철수연구소(AhnLab) V3 보안 제품에서는 Trojan/Win32.Overtls (VirusTotal : 4/41) 진단명으로 진단하고 있습니다.
[생성 파일 진단 정보]
C:\Program Files\cbcem\cbcem.exe (AhnLab V3 : Win-Trojan/Overtls.717312)
C:\Program Files\cbcem\uninstall.exe (AhnLab V3 : Trojan/Win32.Overtls)
C:\Program Files\cbcem\cbcem.dll (AhnLab V3 : Trojan/Win32.Overtls)
C:\WINDOWS\system32\wincn3class.dat (Sophos : Mal/BHO-J)
C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\(Random 6자리 숫자)_r_.exe (NOD32 : a variant of Win32/TrojanDownloader.Delf.PTW)
C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\(Random 6자리 숫자)amp (AhnLab V3 : Trojan/Win32.Overtls)
C:\Program Files\cbcem\cbcem.exe (AhnLab V3 : Win-Trojan/Overtls.717312)
C:\Program Files\cbcem\uninstall.exe (AhnLab V3 : Trojan/Win32.Overtls)
C:\Program Files\cbcem\cbcem.dll (AhnLab V3 : Trojan/Win32.Overtls)
C:\WINDOWS\system32\wincn3class.dat (Sophos : Mal/BHO-J)
C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\(Random 6자리 숫자)_r_.exe (NOD32 : a variant of Win32/TrojanDownloader.Delf.PTW)
C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\(Random 6자리 숫자)amp (AhnLab V3 : Trojan/Win32.Overtls)
해당 프로그램이 설치된 환경에서는 사용자가 Internet Explorer를 실행할 경우 동작하는 방식이며, 웹 브라우저 상에서 특정 동작이 확인되지 않으므로 분석을 목적으로 하지 않는 경우 인지하기 매우 어렵습니다.
[추가 기능 관리 : 도구 모음 및 확장 프로그램]
cqsvt : (게시자 확인 불가) web help object - C:\Program Files\cbcem\cbcem.dll
Win CM3 Class : (게시자 확인 불가) WinLMKCl4 - C:\WINDOWS\system32\wincn3class.dat
cqsvt : (게시자 확인 불가) web help object - C:\Program Files\cbcem\cbcem.dll
Win CM3 Class : (게시자 확인 불가) WinLMKCl4 - C:\WINDOWS\system32\wincn3class.dat
Internet Explorer에 등록된 2개의 악성 컨트롤 항목을 통해 사용자는 설치 여부를 확인하실 수 있습니다.
특히 프로그램 삭제 기능을 이용한 삭제 후에도 여전히 [C:\WINDOWS\system32\wincn3class.dat] 파일이 존재하므로 수동 삭제를 이용하시기 바랍니다.
참고로 프로그램 삭제시에는 반드시 Internet Explorer를 비롯한 모든 프로그램을 종료한 상태에서 진행하시기 바랍니다.
[생성 레지스트리 등록 정보]
HKEY_CLASSES_ROOT\cbcem.cqsvt
HKEY_CLASSES_ROOT\CLSID\{19AAAA41-964C-4A89-83B8-4206ED222111}
HKEY_CLASSES_ROOT\CLSID\{78D62654-3B9F-42ED-AD3B-B01873796FB4}
HKEY_CLASSES_ROOT\wincn3class.Win CM3 Class
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{19AAAA41-964C-4A89-83B8-4206ED222111}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{78D62654-3B9F-42ED-AD3B-B01873796FB4}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\cbcem Uninstall
HKEY_CLASSES_ROOT\cbcem.cqsvt
HKEY_CLASSES_ROOT\CLSID\{19AAAA41-964C-4A89-83B8-4206ED222111}
HKEY_CLASSES_ROOT\CLSID\{78D62654-3B9F-42ED-AD3B-B01873796FB4}
HKEY_CLASSES_ROOT\wincn3class.Win CM3 Class
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{19AAAA41-964C-4A89-83B8-4206ED222111}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{78D62654-3B9F-42ED-AD3B-B01873796FB4}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\cbcem Uninstall
해당 프로그램은 삭제 기능을 제공하는 정상적인 프로그램으로 위장하고 있으며, 프로그램 삭제 후에도 시스템 폴더에 위치한 wincn3class.dat 파일을 남기어 BHO 방식으로 계속적인 수익을 창출할 목적이 아닌가 추정됩니다.
728x90
반응형