국내 악성코드 : ilmasto

국내에서 검색 서치 프로그램으로 소개되어 사용자 PC에 ilmasto 이름의 서비스로 등록되어 유포자가 원하는 시점에서 사용자 동의 없이 프로그램을 다운로드하여 설치할 것으로 추정되는 악성 파일에 대해 살펴보도록 하겠습니다.

해당 프로그램의 설치 파일(MD5 : 75756653adfafe0b7e44a5df9052a407)에 대하여 McAfee 보안 제품에서는 Generic.dx!wmf 진단명으로 진단되고 있으므로 참고하시기 바랍니다.

[생성 폴더 / 파일 등록 정보]

C:\Program Files\ilmasto
C:\Program Files\ilmasto\ilmasto.dll :: 서비스 등록 파일

※ ilmasto.dll(MD5 : 82ebbfbe45968231ccd3f70ee50db3b8)

해당 프로그램은 [C:\Program Files\ilmasto] 폴더에 ilmasto.dll 파일을 생성하며, 해당 파일은 서비스에 등록됩니다.

ilmasto 이름으로 등록된 서비스는 시스템 시작시 자동 실행되어 다음과 같은 외부 연결을 시도한 후, 자동으로 중지되도록 구성되어 있어 사용자가 확인하기 매우 어렵습니다.

GET /check_counter.php?pid=ilmasto&kind=4 HTTP/1.1
User-Agent: IExplore
Host: maccounter.co.kr

GET /cnters/ilmasto/check_update.php HTTP/1.1
User-Agent: IExplore
Host: maccounter.co.kr

연결 정보를 살펴보면 설치 PC 카운터, 업데이트 기능이 포함되어 있으며, 테스트 과정에서는 추가적인 다운로드가 확인되지 않았지만 차후 사용자 동의 없이 시스템 시작시 자동으로 프로그램 다운로드 및 설치가 이루어질 수 있습니다.

특히 최초 사용자 PC에 설치에 성공한 경우 추가적인 프로그램 설치를 통해 위와 비슷한 류의 서비스 등록을 위한 파일을 생성하는 문제가 이전에도 있었습니다.

[생성 레지스트리 등록 정보]

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_ILMASTO
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ilmasto
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ILMASTO
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ilmasto

이렇게 설치된 프로그램은 삭제 기능을 제공하지 않으므로 사용자가 수동으로 생성 폴더, 파일, 레지스트리 항목을 삭제해야 하는 문제가 있습니다.

• Windows Sysinternals Autoruns 이용한 수상한 서비스 등록값을 찾는 방법

과거부터 이런 방식의 서비스 등록을 통해 원치 않는 보안 프로그램, 광고 프로그램 등이 Windows 시작시 매번 생성되는 문제가 있는 것으로 알려져 있으므로 주의하시기 바랍니다.