본문 바로가기

벌새::Analysis

국내 악성코드 : Win Search forsecretkey

반응형
국내에서 제작되어 광고 프로그램을 통해 사용자 동의 없이 설치가 이루어지는 검색 도우미 Win Search forsecretkey 프로그램에 대해 살펴보도록 하겠습니다.

해당 프로그램의 설치 방식은 Live Float 광고 프로그램이 설치된 환경에서 시스템 시작시 자동으로 설치가 될 수 있으므로 참고하시기 바랍니다.

참고로 설치 파일(MD5 : a2263956e3b668109112638df89a2da9)에 대하여 안철수연구소(AhnLab) V3 보안 제품에서는 Downloader/Win32.Adload (VirusTotal : 6/44) 진단명으로 진단되고 있습니다.

또한 해당 프로그램은 과거부터 발견되고 있는 Win Search for 시리즈와 유사성이 강하므로 참고하시기 바랍니다.


[생성 폴더 / 파일 등록 정보]

C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\secretkey
C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\secretkey\evdat2.dmc
C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\secretkey\secretkey.dll :: BHO 등록 파일
C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\secretkey\secretkeys.exe :: 시작 프로그램 등록 파일
C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\secretkey\uninstall.exe :: 프로그램 삭제 파일
C:\WINDOWS\system32\sircheckfile.dat
[생성 파일 진단 정보]

C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\secretkey\secretkeys.exe
 - MD5 : 3273da2d7d77ae7dedc0c59335f29967
 - AhnLab V3 : Adware/Win32.Rogue (VirusTotal : 10/44)


해당 프로그램은 [C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\secretkey] 폴더에 파일을 생성하여 사용자가 설치 여부를 확인하기 매우 어렵습니다.

Windows 시작시 secretkeys.exe 파일을 시작 프로그램으로 등록하여 업데이트 체크를 하도록 구성되어 있습니다.

프로그램이 설치된 환경에서 사용자가 인터넷 검색을 하는 과정에서 팝업창을 통한 광고 사이트가 노출되는 동작을 확인할 수 있습니다.

해당 광고창 생성 접속 경로를 확인해보면 특정 서버(ezlinker.net)에 쿼리를 전송한 후, 특정 광고 코드를 추가하여 광고 사이트를 생성하는 것을 확인할 수 있습니다.

[추가 기능 관리 : 도구 모음 및 확장 프로그램]

O

 - CLSID : {4CA6DE8F-8AD8-44A6-BC8C-2B39175CDD12}
 - 파일 : C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\secretkey\secretkey.dll


해당 광고 행위를 중지하기 위해서는 Internet Explorer 웹 브라우저의 추가 기능 관리에 등록된 "O" 항목을 선택하여 [사용 안 함]으로 변경하시기 바랍니다.

프로세스 정보를 확인해보면 사용자가 Internet Explorer 웹 브라우저를 실행할 경우 iexplore.exe 프로세스에 secretkey.dll 파일을 BHO 방식으로 추가하여 동작하는 것을 확인할 수 있습니다.

프로그램 삭제시에는 Internet Explorer 웹 브라우저를 종료한 상태에서 제어판의 [Win Search forsecretkey] 삭제 항목을 이용하여 삭제하실 수 있습니다.

프로그램 삭제 후에는 추가적으로 다음의 폴더, 파일을 수동으로 삭제하시기 바랍니다.

  • C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\secretkey
  • C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\secretkey\uninstall.exe
[생성 레지스트리 등록 정보]

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - secretkeyv3 = C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\secretkey\secretkeys.exe
HKEY_CURRENT_USER\Software\secretkeypp
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{4CA6DE8F-8AD8-44A6-BC8C-2B39175CDD12}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\secretkey.P
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\secretkey
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{4CA6DE8F-8AD8-44A6-BC8C-2B39175CDD12}

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
secretkey


해당 프로그램은 프로그램 목록에 제시되지 않는 문제와 사용자 동의 없이 설치되는 문제로 인하여 설치 여부를 확인하기 매우 어려우므로 주의하시기 바랍니다.

728x90
반응형