국내 인터넷 사용자를 대상으로 TV 방송을 스트리밍 방식으로 제공하여 저작권 침해를 유발하는 유명 사이트로 베이코리언즈(BayKoreans), 온에어코리안TV(OnAirKoreanTV) 등이 존재한 것으로 보입니다.

 

그런데 2016년 1월경부터 해외에 위치한 특정 서버에서 다운로드되는 악성 파일을 통해 사용자 몰래 온에어코리안TV(OnAirKoreanTV) 사이트에 자동 접속하여 광고 수익을 노리는 행위가 이루어지고 있는 것이 확인되었습니다.

  • h**p://view***.info/direct.exe (SHA-1 : ec1afbb3bfc18e8d808a69b25693b4d0df8d56a8) - AhnLab V3 : Trojan/Win32.Downloader.C1326002
  • h**p://view***.info/baro.exe (SHA-1 : 8590109574a1162ff3ba2f456f2315041bd7bad0) - AhnLab V3 : Trojan/Win32.Agent.C1318529

direct.exe 파일 정보

첫 번째 사례로 최소 2개 이상의 변종이 존재할 것으로 추정되는 direct.exe 악성 파일은 사용자 몰래 설치 및 실행되어 특정 서버에 등록된 구성값을 체크하여 2016년 1월 15일경 baro.exe 악성 파일을 추가 다운로드하여 동작하였습니다.

 

특히 유포 시 AhnLab V3 클라우드 평판을 우회 목적으로 신뢰 파일로 10~20개 수준으로 등록한 부분이 눈에 띕니다.

  • h**p://view***.info/CMcos.exe (SHA-1 : 2583b4f753bbc9f82f35eb2474c0f249d2efc91b) - AhnLab V3 365 Clinic : PUP/Win32.Downloader.C1344492
  • h**p://view***.info/IEagent.exe (SHA-1 : c99713474d34a6854f6474113cf8134184f2f42c) - AhnLab V3 365 Clinic : PUP/Win32.Generic.C1339590

이 글에서는 두 번째 사례를 통해 기능을 살펴보도록 하겠으며, 해당 악성코드 역시 클라우드 평판 조작 작업을 통해 2016년 2월 19일경 유포가 이루어진 것으로 보입니다.

어떤 방식을 통해 사용자 PC에 설치되었는지 알 수 없지만 "C:\Users\(로그인 계정명)\AppData\Local\CMcos.exe" 파일로 생성된 파일은 실행 시 다음과 같은 추가적인 행위를 수행합니다.

실행된 CMcos.exe 악성 파일은 특정 서버에서 구성값을 체크하여 IEagent.exe 악성 파일을 추가 다운로드하여 다음과 같이 생성합니다.

 

생성 파일 및 진단 정보

 

C:\Users\(로그인 계정명)\AppData\Local\IEagent.exe :: 시작 프로그램(zebaro) 등록 파일, 메모리 상주 프로세스
 - SHA-1 : c99713474d34a6854f6474113cf8134184f2f42c
 - AhnLab V3 365 Clinic : PUP/Win32.Generic.C1339590

 

C:\Users\(로그인 계정명)\AppData\Local\tmp.ini :: CM_execonfig.ini 구성값

 

생성 레지스트리 등록 정보

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - zebaro = C:\Users\Asus7A\AppData\Local\CMcos.exe
HKEY_CURRENT_USER\Software\xmcos

 

생성된 IEagent.exe 파일은 Windows 시작 시 zebaro 시작 프로그램 등록값을 통해 "C:\Users\(로그인 계정명)\AppData\Local\IEagent.exe" 파일을 자동 실행하도록 구성되어 있습니다.

자동 실행된 IEagent.exe 악성 파일은 온에어코리안TV(OnAirKoreanTV) 사이트에 등록된 구성값을 체크하여 특정 게시글로 자동 연결을 시도합니다.

특히 부팅 시마다 연결되는 온에어코리안TV(OnAirKoreanTV) 사이트 게시글은 랜덤하게 변경되며, 특히 User-Agent 값을 다양하게 세팅하여 마치 서로 다른 인터넷 사용자가 접속하는 것처럼 조작합니다.

이를 통해 해당 악성코드가 설치된 PC 화면상에서는 표시되지 않는 백그라운드 방식으로 온에어코리안TV(OnAirKoreanTV) 사이트에 접속이 이루어집니다.

이 과정에서 온에어코리안TV(OnAirKoreanTV)에 게시된 다양한 광고 배너가 노출되어 수익과 연관될 수 있을 것으로 보입니다.

 

■ 온에어코리안TV(OnAirKoreanTV) 광고 악성코드 삭제 방법

 

확인된 악성코드는 공통적으로 "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\zebaro" 시작 프로그램 레지스트리 값을 추가하고 있습니다.

(a) 작업 관리자를 실행하여 메모리에 상주하는 baro.exe 또는 IEagent.exe 프로세스를 찾아 종료하시기 바라며, 파일명은 변종에 따라 다양하게 등록될 수 있습니다.(※ 기본 메모리 사용량이 190MB 수준으로 높은 특징이 있습니다.)

 

(b) "C:\Users\(로그인 계정명)\AppData\Local" 폴더를 확인하여 1.35MB ~ 1.82MB 수준의 파일 크기를 가진 EXE 파일이 존재한지 점검하시기 바라며, 더 정확한 확인은 백신 프로그램을 이용하여 검사해 보시기 바랍니다.

 

(c) 레지스트리 편집기(regedit)를 실행하여 "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\zebaro" 값을 찾아 삭제하시기 바랍니다.

 

해당 악성코드의 동작 과정을 고려한다면 온에어코리안TV(OnAirKoreanTV) 운영자측에서 제작한 것이 아닌가 강하게 의심이 들며, 다수의 광고 배너가 포함된 웹 사이트 접속에 불안감을 느끼는 요즘 시대에 사용자 몰래 접속되는 악성 파일이 설치되지 않도록 조심하시기 바랍니다.

블로그 이미지

울지않는 벌새

울지않는벌새가 되고 싶은 나..