일본(Japan)에 위치한 서버를 이용하여 국내 포털 검색 서비스를 악용하는 조직이 2015년 8월 6일경부터 유포한 궁합 프로그램<SHA-1 : cb2bea305289dc26d64718d964a9216dc9a86995 - Malwarebytes : Trojan.Downloader>에 대해 살펴보도록 하겠습니다.

2008년경 전후부터 활동하고 있는 것으로 추정되는 일명 스머프마을 유포 조직은 불법 도박, 광고 프로그램, 악성앱 등의 사이버 범죄 활동을 꾸준하게 수행하고 있으며, 자신의 정체를 숨길 목적으로 해외에 위치한 서버를 활용하는 특징이 있습니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Program Files\Gunghap
C:\Program Files\Gunghap\Gunghap.exe :: 속궁합 프로그램 실행 파일
C:\Program Files\Gunghap\gunghap.ico
C:\Program Files\Gunghap\IFUCC39.inf
C:\Users\(사용자 계정)\Desktop\궁합.LNK
C:\Windows\MSFontProvider.exe :: 시작 프로그램(MSFontProvider) 등록 파일, 메모리 상주 프로세스
C:\Windows\YoutubeCache.exe :: 시작 프로그램(YoutubeCache) 등록 파일, 메모리 상주 프로세스

 

[생성 파일 진단 정보]

 

C:\Windows\MSFontProvider.exe
 - SHA-1 : 01321ffa4c09d0ba09716e7d9b9f9d75a5640b98
 - AhnLab V3 : Spyware/Win32.FakeMS.C975234

 

C:\Windows\YoutubeCache.exe
 - SHA-1 : 067b5cafcb5a7bac21d7234ac709505ae07e426b
 - Hauri ViRobot : Adware.Agent.53248.W[h]

궁합 프로그램으로 소개되어 설치된 해당 프로그램은 기본적으로 "C:\Program Files\Gunghap" 폴더에 파일을 생성합니다.

프로그램이 설치된 환경에서 외형적으로는 바탕 화면에 생성된 궁합 바로가기 아이콘을 실행할 경우 속궁합 프로그램(C:\Program Files\Gunghap\Gunghap.exe)이 실행되는 평범한 프로그램으로 구성되어 있습니다.

특히 Gunghap.exe 파일 속성값에 표시된 "스머프마을"은 기존부터 광고 기능을 가진 파일에서 발견되던 사례가 있습니다.

 

하지만 설치 과정에서 Windows 폴더 내에 마이크로소프트(Microsoft) 관련 파일처럼 제작된 악성 파일을 추가하여 다음과 같은 악의적인 기능을 수행할 수 있습니다.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - MSFontProvider = C:\Windows\MSFontProvider
 - YoutubeCache = C:\Windows\YoutubeCache

1. "C:\Windows\MSFontProvider.exe" 악성 파일 기능

Windows 시작시 MSFontProvider 시작 프로그램 등록값을 통해 자동 실행된 "C:\Windows\MSFontProvider.exe" 파일은 일본(Japan)에 위치한 "aha0803.com (153.254.136.123)" 서버와 통신을 수행합니다.

실행 후 1분이 경과하면 최대 15종의 검색 키워드 값 정보를 체크하여 네이버(Naver) 검색 서비스에 주기적으로 연결하는 동작을 수행합니다.

실제 검색 활동은 PC 화면상으로는 표시되지 않는 백그라운드 방식으로 진행되며 이를 통해 마치 사람이 인터넷 검색을 하는 것처럼 속입니다.

 

해당 인터넷 검색 활동은 7분 동안 진행한 후 동작을 중지하여 52분 동안 대기한 후 서버로부터 검색 키워드 정보를 받아 재활동하는 1시간 로테이션 방식입니다.

 

2. "C:\Windows\YoutubeCache.exe" 악성 파일 기능

Windows 시작시 YoutubeCache 시작 프로그램 등록값을 통해 자동 실행된 "C:\Windows\YoutubeCache.exe" 파일은 일본(Japan)에 위치한 동일 서버에 접속하여 다양한 멀티미디어 플레이어 값(VALID)과 유튜브(YouTube) 값을 체크합니다.

이를 통해 특정 유튜브(YouTube) URL 값이 추가된 경우 사용자 PC에 설치된 멀티미디어 플레이어를 통해 백그라운드 방식으로 5분 동안 사운드가 나올 것으로 추정됩니다.

 

궁합 프로그램 및 악성코드 제거 방법

"C:\Windows\IFinst27.exe" -UC:\Program Files\Gunghap\IFUCC39.inf

제어판 또는 체크잇(CheckIt : www.checkitinfo.com) 프로그램에 등록된 궁합프로그램 삭제 항목(HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\궁합프로그램)을 이용하여 프로그램 삭제를 진행하시기 바랍니다.

 

하지만 프로그램 삭제가 완료된 상태에서는 "C:\Program Files\Gunghap" 폴더만 제거될 뿐 악성코드는 제거되지 않고 지속적으로 악의적인 기능을 수행하므로 다음과 같은 방식으로 제거하시기 바랍니다.

(a) Windows 작업 관리자를 실행하여 메모리에 상주하는 MSFontProvider.exe, YoutubeCache.exe 프로세스를 찾아 종료하시기 바랍니다.

 

(b) 다음의 파일을 찾아 삭제하시기 바랍니다.

  • C:\Windows\MSFontProvider.exe
  • C:\Windows\YoutubeCache.exe

(c) 레지스트리 편집기(regedit)를 실행하여 다음의 레지스트리 값을 찾아 삭제하시기 바랍니다.

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\MSFontProvider_RASAPI32
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\MSFontProvider_RASMANCS
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - MSFontProvider = C:\Windows\MSFontProvider
 - YoutubeCache = C:\Windows\YoutubeCache

 

사용자의 부주의에 의해 설치된 광고 프로그램 중에서는 삭제 이후에도 돈벌이 목적의 광고 행위를 수행하는 경우가 많으므로 프로그램 설치시 추가적으로 설치되는 광고 프로그램은 각별히 주의하시기 바랍니다.

블로그 이미지

울지않는 벌새

울지않는벌새가 되고 싶은 나..