인터넷 검색 활동 이후 Internet Explorer 웹 브라우저를 종료하는 시점에서 자동으로 광고창을 생성할 수 있는 국내에서 제작된 clover1217 악성 광고 프로그램<SHA-1 : 0087121d765b5820ab1613febd2d95af900bd0ec - AhnLab V3 : Trojan/Win32.Agent.R117983 (VT : 6/55)>에 대해 살펴보도록 하겠습니다.
해당 프로그램은 기존에 유사한 기능을 가진 conhost 악성 광고 프로그램의 변종으로 확인되고 있으므로 참고하시기 바랍니다.
- 2014년 5월 12일 : h**p://clover77.net/***/clover.exe (SHA-1 : bfaea532b18a16e5566a561a32b48a6cfbca82ab) - Symantec : Trojan Horse (VT : 6/56)
- 2014년 8월 23일 : h**p://clover77.net/***/clover79.exe (SHA-1 : 2d2358a54a87fa9e37c6aa81e482609c6027ad23) - AhnLab V3 : Trojan/Win32.Agent.R117983 (VT : 5/56)
- 2014년 8월 29일 : h**p://clover77.net/***/clover828.exe (SHA-1 : 54967b44659fb99e65c7f5b43c7795cd2b4d0cd7) - AhnLab V3 : Trojan/Win32.Agent.R117983 (VT : 6/56)
- 2014년 9월 17일 : h**p://clover77.net/***/clover917.exe (SHA-1 : 2b7e44aa19bd4eb988520ff53bc9189727aaa972) - Symantec : Backdoor.Trojan (VT : 7/56)
clover1217 악성 광고 프로그램은 일본(Japan)에 위치한 "clover77.net (153.254.133.234)" 서버에서 배포가 이루어지고 있으며, clover(숫자) 변종 프로그램은 2014년 5월경부터 지속적으로 발견되고 있습니다.
C:\Users\(사용자 계정)\AppData\Local\clover1217
C:\Users\(사용자 계정)\AppData\Local\clover1217\clover1217.exe :: 시작 프로그램 등록 파일, 메모리 상주 프로세스
- SHA-1 : 0087121d765b5820ab1613febd2d95af900bd0ec
- AhnLab V3 : Trojan/Win32.Agent.R117983 (VT : 6/55)
해당 프로그램은 숨김(H) 속성값을 가진 폴더 내의 "C:\Users\(사용자 계정)\AppData\Local\clover1217" 폴더 내에 자신을 복사한 후 시작 프로그램(clover1217) 항목에 등록하여 Windows 시작시 "C:\Users\(사용자 계정)\AppData\Local\clover1217\clover1217.exe" 파일을 자동 실행하도록 구성되어 있습니다.
자동 실행된 clover1217.exe 파일은 일본(Japan)에 위치한 서버에서 사용자 Mac Address 값을 기반으로 한 연결을 통해 AES 암호화 처리된 데이터 정보를 체크하며, 해당 내용은 파일 버전, 파일명, 광고 구성값 등이 포함되어 있을 것으로 추정됩니다.
이를 통해 clover1217 광고 프로그램이 설치되어 있는 경우 사용자가 인터넷 검색을 한 후 Internet Explorer 웹 브라우저를 종료하는 시점에서 자동으로 다양한 광고창을 생성할 수 있습니다. 특히 생성되는 광고창은 제휴 코드가 외형적으로 표시되지 않는 URL 주소값을 가지고 있습니다.
또한 광고창 생성 이후에는 자동으로 메모리에 상주하는 clover1217.exe 프로세스가 종료 처리되어 재부팅 때까지는 더 이상의 광고 동작을 수행하지 않는 단발성 광고 생성 프로그램입니다.
■ clover1217 광고 프로그램 삭제 방법
광고 기능 중지 및 프로그램 삭제를 위해서는 Windows 작업 관리자를 실행하여 메모리에 상주하는 clover1217.exe 프로세스를 찾아 종료하시기 바랍니다.
- "C:\Users\(사용자 계정)\AppData\Local\clover1217\clover1217.exe" -o u
그 후 제어판 또는 체크잇(CheckIt : www.checkitinfo.com) 프로그램에 등록된 "clover1217" 삭제 항목을 이용하여 프로그램 삭제를 진행할 수 있으며, 프로그램 삭제 후에는 추가적으로 다음의 폴더(파일)를 찾아 직접 삭제하시기 바랍니다.
- C:\Users\(사용자 계정)\AppData\Local\clover1217
- C:\Users\(사용자 계정)\AppData\Local\clover1217\clover1217.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- clover1217 = "C:\Users\(사용자 계정)\AppData\Local\clover1217\clover1217.exe" -o e
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\clover1217
clover1217 악성 광고 프로그램은 기존의 conhost 프로그램의 동작을 고려한다면 변종에 따라서는 제어판을 통한 프로그램 삭제 과정에서 사용자 몰래 추가적인 광고 프로그램 설치를 한 후 자신이 삭제될 수 있으므로 매우 주의하시기 바랍니다.