본문 바로가기

벌새::Analysis

국내 악성코드 : lcmemo.exe

반응형

삭제 기능이 존재하지 않는 제휴 프로그램 방식으로 설치가 이루어지면서 백그라운드 방식으로 특정 검색 키워드를 기반으로 다양한 상업적 웹 사이트로 자동 연결되는 방식으로 수익을 창출하는 lcmemo 악성 광고 프로그램에 대해 살펴보도록 하겠습니다.

해당 프로그램은 2014년 9월 하순경에 발견된 VMware 아이콘으로 위장한 국내에서 제작된 애드웨어(Adware)의 변종이므로 참고하시기 바랍니다.

유포 방식을 살펴보면 블로그, 파일 자료실 등에 등록된 파일을 다운로드하여 실행할 경우 생성되는 다운로더 창에 포함된 다수의 제휴 프로그램 중 lcmemo 이름으로 등록되어 있었습니다.

  • h**p://kjr****.cafe24.com/lcmemo.exe (SHA-1 : f568950b0517965cdc87eb70fc979e65e4c92d30) - AhnLab V3 : Win-Trojan/Agent.2315776.R (VT : 7/53)

설치 파일은 Cafe24 웹 호스팅 서버의 특정 계정에 등록되어 있으며, 2014년 10월 7일경부터 발견되고 있었습니다.

 

다운로드된 파일이 실행되면 "C:\Users\(사용자 계정)\AppData\Local\Temp\ServiceManager.exe" 파일<SHA-1 : 17ffd99e6f1146a7bb238a6e7317d019df267e90 - BitDefender : Gen:Variant.Symmi.15169 (VT : 9/53)>을 임시 생성하여, 다음과 같은 설치가 진행된 후 자동 삭제 처리됩니다.

 

[생성 파일 및 진단 정보]

 

C:\Windows\System32\lcmemo.exe :: 시작 프로그램(lcmemo) 등록 파일, 예약 작업(lcmemo) 등록 파일, 메모리 상주 프로세스
 - SHA-1 : fcb985eff3c67dc279c523dcc672e2750118fd78
 - AhnLab V3 : Win-Trojan/Agent.2315776.R (VT : 1/54)

 

C:\Windows\System32\Tasks\lcmemo

설치된 파일은 시스템 폴더 내에 Windows 시스템에서 사용하는 파일 아이콘과 유사하게 생성되어 "C:\Windows\System32\lcmemo.exe" 파일을 시작 프로그램(lcmemo)으로 등록하여 자동 실행되도록 구성되어 있습니다.

또한 시스템 시작시 예약 작업 영역에 lcmemo 작업 스케줄러 값을 등록하여 "C:\Windows\System32\lcmemo.exe" 파일을 자동 실행하도록 구성되어 있습니다.

이렇게 자동 실행된 파일(lcmemo.exe)은 "183.111.161.106:80" IP 웹 서버(zzang79.co.kr, hawon1.pe.kr)와 암호화된 통신을 시도합니다.

 

테스트 당시에는 자동 종료 처리가 이루어지고 있지만, 정상적인 동작이 이루어진다면 화면 상으로는 표시되는 다양한 웹 사이트 연결을 백그라운드 방식으로 진행하며 이 과정에서 특정 광고 서버를 경유하여 수익을 내는 구조로 판단됩니다.

참고로 해당 IP 서버를 기준으로 연결되는 도메인을 조사해보면 수십개의 웹 서버와 연결될 수 있습니다.

 

만약 해당 악성코드에 감염된 사용자는 다음과 같은 절차에 따라 프로그램을 찾아 삭제를 진행하시기 바랍니다.

 

(a) Windows 작업 관리자를 실행하여 메모리에 상주하는 lcmemo.exe 프로세스가 존재한다면 종료하시기 바랍니다.

 

(b) 다음의 파일을 찾아 삭제하시기 바랍니다.

  • C:\Windows\System32\lcmemo.exe
  • C:\Windows\System32\Tasks\lcmemo

(c) 레지스트리 편집기(regedit)를 실행하여 다음의 값을 찾아 삭제하시기 바랍니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - lcmemo = C:\Windows\system32\lcmemo.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{679F23D5-EC39-46AD-BD77-4CA036D571FD}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\lcmemo

 

해당 악성코드에 감염된 경우에는 불필요한 다수의 웹 서버 연결 과정에서 트래픽 유발을 통해 인터넷 속도 저하를 유발할 수 있으므로 설치되지 않도록 각별히 주의하시기 바랍니다.

728x90
반응형