본문 바로가기

벌새::Analysis

Trojan.Agent.26484 진단명을 유발하는 제트MP3 주의

728x90
반응형
해외 특정 온라인 공유 서비스를 이용하여 mp3 음원을 다운로드할 수 있도록 제공하는 국내에서 제작된 제트MP3 프로그램이 있습니다.

해당 프로그램은 설치 과정에서 어떠한 화면 정보를 제공하지 않으며 설치가 이루어지며, 기본적인 동작 방식은 제트MP3 사이트에서 제공하는 검색 기능과 웹 브라우저와 연동된 다운로드 방식을 사용하는 것으로 보입니다.

그런데 프로그램을 설치한 후 시스템 재부팅 후 등록된 파일로 인해 보안 제품에서 악성코드 진단을 유발함과 동시에 사용자가 제대로 인지하지 못하는 과정에서 각종 제휴(스폰서) 프로그램을 설치하는 동작이 확인되고 있으므로 주의가 필요합니다.

[생성 파일 등록 정보]

C:\Program Files\zmp3\tmp\zmp3s.exe
C:\Program Files\zmp3\default.mp3
C:\Program Files\zmp3\uninstall.exe :: 프로그램 삭제 파일
C:\Program Files\zmp3\zmp3.dll
C:\Program Files\zmp3\zmp3.exe
C:\Program Files\zmp3\zmp3s.exe :: 시작 프로그램 등록 파일
C:\Program Files\zmp3\zmp3_ver.ini
C:\Documents and Settings\(사용자 계정)\Application Data\Microsoft\Internet Explorer\Quick Launch\제트MP3.lnk
C:\Documents and Settings\(사용자 계정)\Favorites\제트MP3 무료 다운.lnk
C:\Documents and Settings\(사용자 계정)\바탕 화면\제트MP3.lnk
C:\Documents and Settings\(사용자 계정)\시작 메뉴\제트MP3 무료 다운.lnk
C:\Documents and Settings\(사용자 계정)\시작 메뉴\프로그램\제트MP3\제트MP3 무료 다운.lnk

[생성 레지스트리 등록 정보]

HKEY_CLASSES_ROOT\CLSID\{68CD7819-00C9-4fe3-8936-B98C5E7473DC}
HKEY_CLASSES_ROOT\Interface\{4B200D40-07CE-4B24-8C24-28A4009593CE}
HKEY_CLASSES_ROOT\TypeLib\{BFA9C43A-CF40-4570-9A98-0121BD0CDEBE}
HKEY_CLASSES_ROOT\zmp3xObj.zmp3xObjCtrl
HKEY_CLASSES_ROOT\zmp3xObj.zmp3xObjCtrl.1
HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Run
 - ZMP3UpdateSched = C:\Program Files\zmp3\zmp3s.exe WindowsInit
HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Uninstall\zmp3
HKEY_LOCAL_MACHINE\software\zmp3

프로그램이 설치된 환경에서 Windows 시작시 zmp3s.exe 파일을 시작 프로그램으로 등록하여 자동 실행되도록 설정되는 부분이 존재합니다.

사용자에게는 시스템 시작시 [Free MP3 Downloader Update] 창을 통해 ZMP3 다운로드 컨트롤(필수), ZMP3 Desktop Shortcuts(필수) 항목에 대해 설치를 해야한다는 업데이트 창이 생성됩니다.

이용약관으로 제시되는 부분은 해당 프로그램에 대해 영문으로 표시를 하고 있으며, 해당 설치창의 스크롤바를 추가적으로 내리면 그림과 같이 인터넷 쇼핑몰 바로가기, 검색 도우미, 악성코드 치료 프로그램 등과 같은 제휴(스폰서) 프로그램이 체크된 상태로 포함되어 있는 것을 확인할 수 있습니다.

일차적으로 사용자가 해당 제휴(스폰서) 프로그램이 가려진 상태로 존재한다는 점을 인지하기 매우 어렵다는 점과 해당 프로그램에 대한 이용약관을 제대로 제시하지 않는 문제가 있습니다.

또한 Windows 시작시 생성되는 업데이트창과 동시에 알약(AlYac) 보안 제품에서는 [C:\Program Files\Internet Explorer\MDM.exe] 파일의 생성에 대해 Trojan.Agent.26484 진단명으로 진단을 하는 동작을 확인할 수 있습니다.

해당 MDM.exe 파일(SHA1 : 3c877f1eec10bfe596d56f96627026df6f11f414)은 Internet Explorer 웹 브라우저 폴더 내에 숨김(H) 속성으로 등록되어 있으며, 안철수연구소(AhnLab) V3 보안 제품에서 Trojan/Win32.Scar (VirusTotal : 23/43) 진단명으로 진단되고 있는 것을 확인할 수 있습니다.

[MDM.exe 레지스트리 등록 정보]

HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Run
 - MDM = "C:\Program Files\Internet Explorer\MDM.exe" init

생성된 MDM.exe 파일은 Windows 시작시 시작 프로그램으로 등록하여 자동 실행되며, 국내 특정 웹하드 광고를 위해 등록된 [h**p://**angu.com/app/m.php] 도메인으로 연결이 이루어지는 것을 추가로 확인하였습니다.

다시 업데이트 창 생성 부분으로 돌아와 Windows 시작시 동작하는 zmp3s.exe 파일에 대해 조금 더 살펴보도록 하겠습니다.

zmp3s.exe

zmp3s.exe 파일은 프로그램 업데이트를 담당하면서 Windows 시작시마다 업데이트창을 통해 사용자가 제휴(스폰서) 프로그램을 최종적으로 설치하도록 할 가능성이 다분하며, 이로 인하여 사용자가 특정 웹하드에 회원 가입, 온라인 쇼핑몰 구입 등을 할 경우 부가적인 수익을 유발할 수 있습니다.
  • h**p://**angu.com/partner/install.php?p_id=zmp3&mac=(사용자 Mac Address)&pmac=
  • h**p://**angu.com/partner/boot.php?p_id=zmp3&mac=(사용자 Mac Address)
  • h**p://*mp3.net/zmp3/ax/zmp3_ver.ini
  • h**p://*mp3.net/zmp3/ax/zmp3s.exe
  • h**p://*mp3.net/zmp3/ax/MDM.exe
  • h**p://*mp3.net/zmp3/ax/delold.exe
  • h**p://**angu.com/app/zmp3.dat
해당 제트MP3 프로그램 자체는 음원 저작권을 우회할 목적으로 해외 온라인 스토리지 서비스를 통해 파일 공유를 목적으로 하는 프로그램이면서, 사용자 몰래 악성 파일을 설치함과 동시에 사용자 눈을 속여 제휴(스폰서) 프로그램을 설치하는 동작이 있으므로 프로그램 사용자는 주의를 하시기 바랍니다.

참고로 제트MP3 프로그램 자체에 대한 삭제 기능은 제어판의 [제트MP3] 삭제 항목을 통해 정상적으로 지원하고 있지만, 추가로 설치되는 파일에 대해서는 보안 제품을 통한 진단 및 치료 또는 사용자가 설치된 프로그램을 개별적으로 찾아 삭제를 해야하는 불편함이 있습니다. 

 

728x90
반응형