최근 파일 다운로더 프로그램에 추가된 제휴(스폰서) 프로그램 중 "Safe Search" 검색 도우미로 등록된 프로그램을 통해 "CB Optimization" 프로그램이 설치되는 배포 행위를 확인하였습니다.
▷ AMD 파일로 위장한 국내 악성코드 유포 주의 (2012.3.21)
▷ NVIDIA 파일로 위장한 국내 악성코드 유포 주의 (2012.3.29)
▷ Microsoft Windows 데이타 Manager 파일로 위장한 악성코드 유포 주의 (2012.5.4)
해당 프로그램은 기존에 알려진 다양한 유명 프로그램으로 위장하여 금전적 수익을 창출하는 것으로 추정되는 변종으로 확인되고 있으므로 참고하시기 바랍니다.
Safe Search 검색 도우미 프로그램의 설치 파일(MD5 : 80ecfda986f82c841fd731518165c153)의 속성값을 확인해보면 "CB Optimization" 프로그램으로 등록되어 있으며, BitDefender 보안 제품에서는 Gen:Variant.Graftor.30431 (VirusTotal : 7/39) 진단명으로 진단되고 있습니다.
- h**p://lay****.pnsweb.net/ls_install.asp?mac=(사용자 Mac Address)&code=A1115
- h**p://lay****.pnsweb.net/xp_install.asp?mac=(사용자 Mac Address)&code=A1115
설치가 이루어지면 운영 체제(OS) 종류, 사용자 Mac Address 값을 중국(China)에 위치한 특정 서버에서 체크하는 동작을 확인할 수 있습니다.
C:\Documents and Settings\(사용자 계정)\My Documents\Visual Manager 2005 :: 숨김(H) 속성 폴더
C:\Documents and Settings\(사용자 계정)\My Documents\Visual Manager 2005\cb32.exe :: 메모리 상주 프로세스
C:\Documents and Settings\(사용자 계정)\My Documents\Visual Manager 2005\masu.exe :: 시작 프로그램 등록 파일
C:\Documents and Settings\(사용자 계정)\My Documents\Visual Manager 2005\nac.dll
C:\Documents and Settings\(사용자 계정)\My Documents\Visual Manager 2005\nbc.dll
C:\Documents and Settings\(사용자 계정)\My Documents\Visual Manager 2005\Temp
C:\Documents and Settings\(사용자 계정)\My Documents\Visual Manager 2005\UnInstall.exe :: 프로그램 삭제 파일
해당 프로그램은 사용자가 확인하기 어렵게 숨김(H) 속성값을 가지는 "C:\Documents and Settings\(사용자 계정)\My Documents\Visual Manager 2005" 폴더에 파일을 생성합니다.
이를 통해 Windows 시작시 masu.exe 파일을 시작 프로그램으로 등록하여 자동 실행되며, 실행된 파일은 1분이 경과하는 시점에서 다음과 같은 연결을 시도하여 업데이트 체크를 진행합니다.
그 후 30초가 경과하면 "masu.exe → cb32.exe" 파일을 로딩하여 다음과 같은 값들을 체크하도록 구성되어 있습니다.
- h**p://lay****.pnsweb.net/ls_init.asp
- h**p://lay****.pnsweb.net/ls_resettime.asp
- h**p://lay****.pnsweb.net/ls_cur_run.asp?mac=(사용자 Mac Address)&code=120627
이를 통해 cb32.exe 프로세스는 메모리에 상주하도록 구성되어 있으며, 최종적으로 생성된 파일들을 살펴보도록 하겠습니다.
1. "C:\Documents and Settings\(사용자 계정)\My Documents\Visual Manager 2005\masu.exe" 시작 프로그램 파일
해당 파일은 "Windows Safe Search" 파일로 등록되어 있으며, 시스템 시작시 자동으로 실행하여 업데이트 체크를 수행하도록 제작되어 있습니다.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
- Hidden = 1 :: 변경 전
- Hidden = 2 :: 변경 후
특히 시스템 시작시마다 "숨김 파일 및 폴더" 레지스트리 값을 반복적으로 수정하여 사용자가 숨김(H) 속성값을 가지는 폴더와 파일을 윈도우 탐색기를 통해 확인할 수 없도록 방해하는 동작이 포함되어 있습니다.
이는 Safe Search 검색 도우미 프로그램이 설치된 "C:\Documents and Settings\(사용자 계정)\My Documents\Visual Manager 2005" 폴더가 숨김(H) 속성값을 가지고 있으며, 해당 폴더를 사용자가 발견하지 못하도록 할 목적으로 보입니다.
2. "C:\Documents and Settings\(사용자 계정)\My Documents\Visual Manager 2005\cb32.exe" 메모리 상주 파일
메모리에 상주하는 cb32.exe 파일은 "Windows 작업 Helper" 속성값을 가지고 있으며, "CX Corp Ltd..." 업체에서 제작하였다고 등록되어 있습니다.
해당 파일은 중국(China)에 위치한 "210.51.4.124" 서버와 연결을 유지하고 있으며, 사용자가 인터넷 검색 활동을 하는 경우 다음과 같은 동작을 확인할 수 있습니다.
인터넷 검색 과정에서 중국(China)에 위치한 특정 서버에 등록된 키워드 값을 참조하는 것으로 보이며, 국내 광고(AD)와 관련된 값이 cb32.exe 파일에 등록되어 특정 조건시 동작할 것으로 추정됩니다.
기존과는 다르게 해당 프로그램은 삭제 기능을 제공하고 있으며, 프로그램 삭제시에는 Windows 작업 관리자에서 cb32.exe 프로세스를 찾아 수동으로 종료한 후 제어판의 "Safe Search" 삭제 항목을 이용하여 삭제할 수 있습니다.
프로그램 삭제 후에는 폴더 옵션에서 "숨김 파일 및 폴더 표시" 항목에 체크를 한 후, 다음의 폴더(파일)를 찾아 수동으로 삭제하시기 바랍니다.
- C:\Documents and Settings\(사용자 계정)\My Documents\Visual Manager 2005
- C:\Documents and Settings\(사용자 계정)\My Documents\Visual Manager 2005\UnInstall.exe
HKEY_CURRENT_USER\Software\INUA
HKEY_CURRENT_USER\Software\INUB
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
- Hidden = 1 :: 변경 전
- Hidden = 2 :: 변경 후
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- CB32 = "C:\Documents and Settings\(사용자 계정)\My Documents\Visual Manager 2005\masu.exe" -fx
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\SafeSearch
※ "변경 후" 값은 "변경 전" 값으로 수정하시기 바랍니다.
이번 프로그램은 삭제 기능까지 제공하는 정상적인 검색 도우미 프로그램 형태를 취하고 있지만, 여전히 신뢰할 수 없는 해외 서버와 연결하며 자신을 숨기려는 의도가 다분하므로 주의하시기 바랍니다.