본문 바로가기

벌새::Analysis

국내 악성코드 : Windows Desktop Batang Icon Ver 3.1.1.2

반응형

즐겨찾기와 바탕 화면에 "서치바이미" 바로가기 아이콘을 등록하며, 사용자 몰래 백그라운드 방식으로 특정 검색 키워드를 이용한 인터넷 검색을 시도하는 "Windows Desktop Batang Icon Ver 3.1.1.2" 프로그램에 대해 살펴보도록 하겠습니다.

 

해당 프로그램의 설치 파일(MD5 : 45ff16e37867187a97aa8666efb927cf)에 대하여 AhnLab V3 보안 제품에서는 Trojan/Win32.Agent (VT : 29/48) 진단명으로 진단되고 있습니다.

 

  국내 악성코드 : brainclan CP (2013.6.13)

 

  국내 악성코드 : KoreaMessenger CP (2013.6.14)

 

또한 기존에 "서치바이미" 관련 유사 변종 프로그램이 유포된 적이 있으므로 참고하시기 바랍니다.

 

  • h**p://m.batang****.net/files/pav2/c_exe.exe (= BTIcon.exe) (MD5 : f13aa1a738b9157b3856f76d5c67f2ab) - AhnLab V3 : PUP/Win32.CloverPlus (VT : 17/48)
  • h**p://m.batang****.net/files/pav2/c_updater.exe (= BTIcon_updater.exe) (MD5 : 831f2bc09cb26671e68e2007c4f87847) - AhnLab V3 : PUP/Win32.CloverPlus (VT : 12/48)

프로그램 설치 과정에서는 특정 서버로부터 CloverPlus 관련 파일을 다운로드하여 설치가 이루어집니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Users\(사용자 계정)\AppData\Local\BTIcon
C:\Users\(사용자 계정)\AppData\Local\BTIcon\BTIcon.exe :: 시작 프로그램(BTIcon) 등록 파일, 메모리 상주 프로세스
C:\Users\(사용자 계정)\AppData\Local\BTIcon\BTIcon_uninstall.exe :: 프로그램 삭제 파일
C:\Users\(사용자 계정)\AppData\Local\BTIcon\BTIcon_updater.exe :: 시작 프로그램(BTIconu) 등록 파일
C:\Users\(사용자 계정)\Desktop\서치바이미.url
C:\Users\(사용자 계정)\Favorites\서치바이미 - 내가 만들어가는 검색형 블로그.url
C:\Users\(사용자 계정)\Favorites\연결\서치바이미.url
C:\Windows\searchbyme.ico

 

[생성 파일 진단 정보]

 

C:\Users\(사용자 계정)\AppData\Local\BTIcon\BTIcon.exe
 - MD5 : f13aa1a738b9157b3856f76d5c67f2ab
 - AhnLab V3 : PUP/Win32.CloverPlus (VT : 17/48)

 

C:\Users\(사용자 계정)\AppData\Local\BTIcon\BTIcon_uninstall.exe
 - MD5 : 3a8359c4cf92e9bc6d840b5c236b6842
 - AhnLab V3 : PUP/Win32.CloverPlus (VT : 27/48)

 

C:\Users\(사용자 계정)\AppData\Local\BTIcon\BTIcon_updater.exe
 - MD5 : 831f2bc09cb26671e68e2007c4f87847
 - AhnLab V3 : PUP/Win32.CloverPlus (VT : 12/48)

해당 프로그램은 "C:\Users\(사용자 계정)\AppData\Local\BTIcon" 폴더에 파일을 생성하며, Windows 시작시 다음과 같은 2개의 시작 프로그램 등록값을 추가하여 자동 실행되도록 구성되어 있습니다.

 

  • BTIcon = C:\Users\(사용자 계정)\AppData\Local\BTIcon\BTIcon.exe
  • BTIconu = C:\Users\(사용자 계정)\AppData\Local\BTIcon\BTIcon_updater.exe

"Windows Desktop Batang Icon Ver 3.1.1.2" 프로그램이 설치된 환경에서는 기본적으로 즐겨찾기와 바탕 화면에 "서치바이미" 바로가기 아이콘이 생성되어 웹 사이트 접속을 유도하고 있습니다.

 

1. "C:\Users\(사용자 계정)\AppData\Local\BTIcon\BTIcon_updater.exe" 시작 프로그램 정보

시작 프로그램으로 등록된 BTIcon_updater.exe 파일은 구글(Google) 서버에 쿼리 전송을 통한 인터넷 연결 체크 및 프로그램 업데이트 정보를 체크한 후 자동 종료 처리됩니다.

 

2. "C:\Users\(사용자 계정)\AppData\Local\BTIcon\BTIcon.exe" 시작 프로그램 정보

시작 프로그램으로 등록된 BTIcon.exe 파일은 자동 실행되어 메모리에 상주한 후 6분이 경과하는 시점에서 다음과 같은 동작을 수행합니다.

특정 서버로부터 검색 URL 정보 및 키워드 값을 받아 백그라운드 방식으로 Internet Explorer 웹 브라우저(iexplore.exe)를 실행하여 인터넷 검색을 시도합니다.

해당 검색 화면은 실제 화면상으로는 표시되지 않습니다.

테스트 과정에서는 연합뉴스에서 제공하는 통합검색 서비스를 통해 특정 검색 키워드 및 제휴 아이디(ID) 정보가 포함된 검색이 이루어진 것을 확인할 수 있습니다.

그 외에도 다양한 웹 사이트 검색 서비스를 이용하여 특정 검색 키워드 값을 이용한 백그라운드 검색을 수행할 수 있습니다.

프로그램 삭제시에는 Windows 작업 관리자를 실행하여 메모리에 상주하는 BTIcon.exe 프로세스를 찾아 수동으로 종료한 후, 제어판에 등록된 "Windows Desktop Batang Icon Ver 3.1.1.2" 삭제 항목을 이용하여 삭제할 수 있습니다.

 

프로그램 삭제 후에는 추가적으로 다음의 폴더(파일)를 찾아 수동으로 삭제하시기 바랍니다.

 

  • C:\Users\(사용자 계정)\AppData\Local\BTIcon
  • C:\Users\(사용자 계정)\AppData\Local\BTIcon\BTIcon_uninstall.exe
  • C:\Users\(사용자 계정)\Desktop\서치바이미.url
  • C:\Users\(사용자 계정)\Favorites\서치바이미 - 내가 만들어가는 검색형 블로그.url
  • C:\Users\(사용자 계정)\Favorites\연결\서치바이미.url
  • C:\Windows\searchbyme.ico
[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\Microsoft\BTIcon
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - BTIcon = C:\Users\(사용자 계정)\AppData\Local\BTIcon\BTIcon.exe
 - BTIconu = C:\Users\(사용자 계정)\AppData\Local\BTIcon\BTIcon_updater.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\cloverplus

 

"Windows Desktop Batang Icon Ver 3.1.1.2" 프로그램은 "서치바이미" 웹 사이트 홍보 프로그램처럼 제작되어 있지만, 사용자 몰래 다양한 웹 사이트를 대상으로 인터넷 검색을 시도하여 불필요한 트래픽을 유발할 수 있으므로 주의하시기 바랍니다.

728x90
반응형