최근 수익성 프로그램을 배포할 목적으로 제작된 업데이트 기능을 가진 글자수 세기 프로그램을 설치하는 과정에서 사용자 몰래 추가적으로 설치된 "alexa drv" 프로그램을 소개한 적이 있었습니다.
▷ 국내 악성코드 : alexa drv & Miclient service allupdate x86 (2012.6.27)
분석 당시에는 업데이트 기능을 통해 추가적인 설치 유도 행위가 없었지만, 그 후 다수의 수익성 프로그램을 추가하여 설치되는 과정에서 IFavorPop 광고 프로그램을 설치하는 과정에서 사용자 몰래 악성 서비스 등록 파일을 설치하는 동작이 확인되었습니다.
- h**p://****.win-daim.com/favovvx.exe (MD5 : 1f064b381acc0de23a5a521231b03e02) - AhnLab V3 : ASD.Prevention (VirusTotal : 17/42)
다운로드된 favovvx.exe 파일 내부에는 IFavorPop 광고 프로그램을 설치하는 IFavorPop.exe (MD5 : d6f7bad0658f6e041518ead765312338) 파일과 악성 서비스를 등록하는 vvxtklvbudjkkld.exe (MD5 : ccb50f01fde36b51fb5fd0f44945984f) 파일이 포함되어 있습니다.
- vvxtklvbudjkkld.exe (MD5 : ccb50f01fde36b51fb5fd0f44945984f) - Kaspersky : Trojan-Downloader.Win32.Agent.wcwp (VirusTotal : 12/42)
이렇게 설치되는 과정에서 vvxtklvbudjkkld.exe 파일은 특정 서버에 사용자 PC의 Mac Address 값을 체크하여 설치 카운터(Counter)를 확인하는 동작을 확인할 수 있습니다.
C:\Documents and Settings\(사용자 계정)\Application Data\IFavorPop :: 숨김(H) 속성 폴더
C:\Documents and Settings\(사용자 계정)\Application Data\IFavorPop\IFavorPop.dll :: BHO 등록 파일
C:\Documents and Settings\(사용자 계정)\Application Data\IFavorPop\IFavorU.exe :: 시작 프로그램 등록 파일
C:\Documents and Settings\(사용자 계정)\Application Data\IFavorPop\msvcp100.dll
C:\Documents and Settings\(사용자 계정)\Application Data\IFavorPop\msvcr100.dll
C:\Documents and Settings\(사용자 계정)\Application Data\IFavorPop\uninstall.exe :: 프로그램 삭제 파일
C:\Documents and Settings\(사용자 계정)\Application Data\xcvbhcxtydtygd
C:\Program Files\vvxtklvbudjkkld
C:\Program Files\vvxtklvbudjkkld\vvxtklvbudjkkld.dll :: vvxtklvbudjkkld 서비스 등록 파일
C:\Documents and Settings\(사용자 계정)\Application Data\IFavorPop\IFavorPop.dll
- MD5 : 24f5d3c0396da7595bec347701659b2a
- AhnLab V3 : PUP/Win32.Tbars (VirusTotal : 1/42)
C:\Documents and Settings\(사용자 계정)\Application Data\IFavorPop\IFavorU.exe
- MD5 : f0d0e0de7914d5b35d942675647cc079
- AhnLab V3 : PUP/Win32.Tbars (VirusTotal : 2/42)
C:\Program Files\vvxtklvbudjkkld\vvxtklvbudjkkld.dll
- MD5 : feeb5b20336e579fcc7a45ed2fe9a362
- AhnLab V3 : Downloader/Win32.Agent (VirusTotal : 10/42)
설치된 파일 구성을 확인해보면 사용자가 확인하기 어려운 숨김(H) 속성값을 가진 폴더 내의 "C:\Documents and Settings\(사용자 계정)\Application Data\IFavorPop" 폴더에 IFavorPop 광고 프로그램을 설치하며, 이 과정에서 사용자 몰래 "C:\Program Files\vvxtklvbudjkkld\vvxtklvbudjkkld.dll" 악성 서비스 등록 파일을 추가하고 있습니다.
1. 검색 도우미 : IFavorPop
IFavorPop 프로그램은 Windows 시작시 IFavorU.exe 파일을 시작 프로그램으로 등록하여 자동 실행되며, 실행된 파일은 다음의 특정 업데이트 서버에서 업데이트 체크를 하도록 제작되어 있습니다.
GET /app/ss01/update.php HTTP/1.1
User-Agent: IExplore
Host: favorshop.kr
프로그램이 설치된 환경에서 사용자가 Internet Explorer 웹 브라우저를 실행할 경우, 추가적인 광고 구성값과 카운터(Counter) 체크를 하는 동작을 확인할 수 있습니다.
이를 통해 "HKEY_CURRENT_USER\Software\AppDataLow\SoftWare\IFavorPop\option" 하위값에는 특정 광고 코드(click.interich.com)와 코드가 실행될 다양한 인터넷 쇼핑몰 사이트가 등록된 것을 확인할 수 있습니다.
해당 프로그램의 동작 방식을 살펴보면 사용자가 인터넷 검색을 통해 프로그램에서 지정한 인터넷 쇼핑몰에 접속하는 과정에서 사용자 몰래 광고 코드가 추가되는 동작을 확인할 수 있습니다.
이름 : IFavorPops Class
유형 : 브라우저 도우미 개체
CLSID : {CEAEF2A5-0101-4EA2-BB17-7911BCE84EA0}
파일 : C:\Documents and Settings\(사용자 계정)\Application Data\IFavorPop\IFavorPop.dll
해당 프로그램은 Internet Explorer 웹 브라우저 실행시 iexplore.exe 프로세스에 IFavorPop.dll 파일을 브라우저 도우미 개체(BHO)로 등록하여 프로그램에서 지정한 인터넷 쇼핑몰 접속시 광고 코드를 추가하도록 제작되어 있습니다.
그러므로 광고 동작의 중지를 위해서는 웹 브라우저의 추가 기능 관리에 등록된 "IFavorPops Class" 항목을 선택하여 "사용 안 함"으로 변경하시기 바랍니다.
프로그램 삭제시에는 Internet Explorer 웹 브라우저를 종료한 상태에서 제어판의 "IFavorPop" 삭제 항목을 이용하여 삭제할 수 있습니다.
HKEY_CURRENT_USER\Software\AppDataLow\SoftWare\IFavorPop
HKEY_CURRENT_USER\Software\IFavorPop
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- IFavorPop = C:\Documents and Settings\(사용자 계정)\Application Data\IFavorPop\IFavorU.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CEAEF2A5-0101-4ea2-BB17-7911BCE84EA0}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{784BD533-47B2-46FD-9589-D0A9651BD63F}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{F9883551-6E61-4C1F-BC2C-DF64D684A70B}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{524A661C-4D4F-4dd4-9FBE-126737D16B7C}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{CEAEF2A5-0101-4ea2-BB17-7911BCE84EA0}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- IFavorPop = C:\Documents and Settings\(사용자 계정)\Application Data\IFavorPop\IFavorU.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
IFavorPop
2. vvxtklvbudjkkld 서비스
IFavorPop 검색 도우미 프로그램을 설치하는 과정에서 사용자 몰래 추가된 "C:\Program Files\vvxtklvbudjkkld\vvxtklvbudjkkld.dll" 파일의 기능을 살펴보도록 하겠습니다.
해당 파일은 서비스에 "vvxtklvbudjkkld" 항목을 등록하여 시스템 시작시 svchost.exe 서비스 파일을 통해 자동으로 실행되도록 구성되어 있습니다.
해당 서비스는 특정 서버에 연결하여 실행 카운터(Counter) 체크 및 추가적인 업데이트가 존재할 경우 사용자 몰래 수익성 프로그램 또는 유사한 다운로드 기능을 가진 서비스 설치 파일을 다운로드하여 설치가 이루어지게 됩니다.
▷ 제휴(스폰서) 프로그램 : 컴오프(Comoff) 1.0 (2012.5.16)
▷ 용(龍)TV를 이용한 악성코드 유포 주의 (2012.6.28)
해당 다운로드 기능을 가진 서비스 등록 행위는 최근 다양한 프로그램을 설치하는 과정에서 사용자 몰래 지속적으로 설치하는 사례를 소개한 적이 있으므로 관련 내용을 참고하시기 바랍니다.
이런 서비스를 사용자가 삭제하지 않을 경우 차후 또 다른 이름의 서비스를 지속적으로 설치하여 유포자의 의도에 따라 언제든지 다양한 광고 프로그램, 악성코드 제거 프로그램, 개인정보 보안 솔루션, PC 최적화 프로그램 등을 설치하여 금전적 수익을 얻을 수 있습니다.
이번에 설치된 악성 서비스 관련 정보를 제거하시기 위해서는 다음의 절차에 따라 진행하시기 바랍니다.
(1) 다음의 폴더(파일)를 수동으로 삭제하시기 바랍니다.
- C:\Documents and Settings\(사용자 계정)\Application Data\xcvbhcxtydtygd
- C:\Program Files\vvxtklvbudjkkld
- C:\Program Files\vvxtklvbudjkkld\vvxtklvbudjkkld.dll
(2) 실행창에 [sc delete "vvxtklvbudjkkld"] 명령어를 입력하여 서비스 등록값을 제거하시기 바랍니다.
▷ Windows Sysinternals Autoruns 이용한 수상한 서비스 등록값을 찾는 방법 (2011.2.17)
참고로 이런 류의 다운로드 기능을 가진 서비스는 Windows Sysinternals Autoruns 도구를 이용하여 설치 여부를 점검하는 방법을 참고하여 사용자 PC에 존재하는 악성 서비스를 찾아 제거하시기 바랍니다.