본문 바로가기

벌새::Analysis

검색 도우미 : FrontCloud

반응형

인터넷 검색 시 사용자가 입력한 키워드 정보 조회 및 접속 사이트를 체크하여 다양한 광고창 생성 등을 수행할 수 있는 국내에서 제작된 FrontCloud 광고 프로그램(SHA-1 : 1da2222d855b53baee1e1c0f27bdf8336bf33a4d)에 대해 살펴보도록 하겠습니다.

 

생성 폴더 / 파일 등록 정보

 

C:\ProgramData\NetFramework
C:\ProgramData\NetFramework\System.NuGet.Protocol001.bin
C:\Users\All Users\NetFramework
C:\Users\All Users\NetFramework\System.NuGet.Protocol001.bin
C:\Users\%UserName%\AppData\Roaming\FrontCloud
C:\Users\%UserName%\AppData\Roaming\FrontCloud\FrontCloud.exe :: 작업 스케줄러(FrontCloud) 등록 파일, 메모리 상주 프로세스
C:\Users\%UserName%\AppData\Roaming\FrontCloud\FrontConsole.exe :: 작업 스케줄러(FrontConsole) 등록 파일, 메모리 상주 프로세스
C:\Users\%UserName%\AppData\Roaming\FrontCloud\FrontService.exe :: 작업 스케줄러(FrontService) 등록 파일
C:\Users\%UserName%\AppData\Roaming\FrontCloud\PackageCache.dll
C:\Users\%UserName%\AppData\Roaming\FrontCloud\uninst.exe :: 프로그램 삭제 파일
C:\Windows\System32\Tasks\dhfed
C:\Windows\System32\Tasks\FrontCloud
C:\Windows\System32\Tasks\FrontConsole
C:\Windows\System32\Tasks\FrontService
C:\Windows\dhfed.exe :: 작업 스케줄러(dhfed) 등록 파일
C:\Windows\System.NetCore.Algorithms001.dll

 

생성 파일 진단 정

 

C:\Users\%UserName%\AppData\Roaming\FrontCloud\PackageCache.dll
 - SHA-1 : cdbfb310f8cc690340c8998b4394326866cf9b40
 - ESET : a variant of Win32/Adware.SafeTerra.A

 

 

 

AJSOFT, Wetelecommunication 2종의 디지털 서명을 사용하는 해당 광고 프로그램은 "C:\Users\%UserName%\AppData\Roaming\FrontCloud" 폴더와 Windows 폴더 내에 주요 파일을 생성합니다.

 

 

  • dhfed 작업 스케줄러 등록값 : C:\Windows\dhfed.exe
  • FrontCloud 작업 스케줄러 등록값 : C:\Users\%UserName%\AppData\Roaming\FrontCloud\FrontCloud.exe (30분마다 반복 실행)
  • FrontConsole 작업 스케줄러 등록값 : C:\Users\%UserName%\AppData\Roaming\FrontCloud\FrontConsole.exe
  • FrontService 작업 스케줄러 등록값 : C:\Users\%UserName%\AppData\Roaming\FrontCloud\FrontService.exe

 

FrontCloud 광고 프로그램은 작업 스케줄러에 4개의 자동 실행값을 등록하여 Windows 부팅 후 자동 실행되며, 특히 광고 기능을 수행하기 위해 메모리에 상주하는 FrontCloud.exe 파일(SHA-1 : f07aec5ebc523f5e781b05513f86a2b905e1649d)은 사용자가 강제 종료할 경우에도 30분마다 자동 재실행되도록 등록되어 있습니다.

 

 

기본적으로 FrontCloud 광고 프로그램은 분석 방해 목적으로 Parallels, VirtualBox, VirtualPC, VMware 가상 환경 체크 및 Mac Address 값을 서버에 전송하여 광고 행위 수행 여부가 결정될 수 있습니다.

 

 

자동 실행되는 FrontCloud 광고 프로그램의 네트워크 연결 정보를 확인해보면 다양한 정보를 체크하는 대다수 의미없는 문자열이 포함되어 있는 것을 확인할 수 있으며, 해당 문자열은 다음과 같은 네트워크 연결 주소로 활용되는 것을 알 수 있습니다.

 

 

이를 통해 실행된 프로그램에 대한 정보를 체크하여 광고 동작 여부가 결정되는 것으로 추정됩니다.

 

 

대표적인 광고 행위를 살펴보면 포털 사이트에 접속하여 사용자가 입력하는 검색 키워드 값을 특정 광고 서버에 조회하는 행위를 확인할 수 있습니다.

 

 

사용자가 인터넷 검색을 통해 특정 웹 사이트 접속 시 광고 서버에서 광고 정보를 받아와서 자동으로 열릴 웹 사이트 연결 정보를 통해 광고창이 생성될 수 있으며, 특정 사용자 환경에서는 광고창이 짧은 시간에 생성됨과 동시에 종료될 수도 있습니다.

 

특히 광고 연결 과정에서 사용자 IP 정보 및 시간 등을 체크하여 재연결이 이루어지지 않도록 세팅되어 있습니다.

 

FrontCloud 광고 프로그램 제거 방법

 

 

(a) 작업 관리자를 실행하여 메모리에 상주하는 FrontCloud.exe, FrontConsole.exe 프로세스를 찾아 종료하시기 바랍니다.

 

 

(b) 설정(제어판)의 앱 및 기능(프로그램 및 기능)에 등록된 FrontCloud 프로그램을 찾아 제거하시기 바랍니다.

 

생성 레지스트리 등록 정보

 

HKEY_CURRENT_USER\Software\FrontCloud
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\FrontCloud
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{357320C2-D24A-4901-A0F6-117E41D4FE52}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{AB6D3700-F069-427A-BA1E-65E2BFA5CA1E}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{D05D57F7-C45D-4E8B-964B-135F687AAC4B}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{D858CC14-D21A-4EF8-B4C6-CCA05DB6E34C}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\dhfed
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\FrontCloud
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\FrontConsole
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\FrontService

 

 

HubCloud 변종 광고 프로그램 정보

 

FrontCloud 광고 프로그램의 새로운 변종 프로그램으로 HubCloud 광고 프로그램도 함께 배포되고 있는 것으로 확인되고 있습니다.

 

생성 폴더 / 파일 등록 정보

 

C:\ProgramData\NetFramework
C:\ProgramData\NetFramework\System.NuGet.Protocol001.bin
C:\Users\All Users\NetFramework
C:\Users\All Users\NetFramework\System.NuGet.Protocol001.bin
C:\Users\%UserName%\AppData\Roaming\HubCloud
C:\Users\%UserName%\AppData\Roaming\HubCloud\HubCloud.exe :: 작업 스케줄러(HubCloud) 등록 파일, 메모리 상주 프로세스
C:\Users\%UserName%\AppData\Roaming\HubCloud\HubConsole.exe :: 작업 스케줄러(HubConsole) 등록 파일, 메모리 상주 프로세스
C:\Users\%UserName%\AppData\Roaming\HubCloud\HubService.exe :: 작업 스케줄러(HubService) 등록 파일
C:\Users\%UserName%\AppData\Roaming\HubCloud\PackageCache.dll
C:\Users\%UserName%\AppData\Roaming\HubCloud\uninst.exe :: 프로그램 삭제 파일
C:\Windows\System32\Tasks\dhfed
C:\Windows\System32\Tasks\HubCloud
C:\Windows\System32\Tasks\HubConsole
C:\Windows\System32\Tasks\HubService
C:\Windows\dhfed.exe :: 작업 스케줄러(dhfed) 등록 파일
C:\Windows\System.NetCore.Algorithms001.dll

 

 

HubCloud 광고 프로그램은 "C:\Users\%UserName%\AppData\Roaming\HubCloud" 폴더와 Windows 폴더 내에 주요 파일을 생성할 것으로 보이며, FrontCloud 광고 프로그램과 동작이 일치할 것으로 판단됩니다.

 

 

FrontCloud, HubCloud 광고 프로그램은 기존의 LuckyToolNetwork Application Express 광고 프로그램을 운영한 것으로 보이며, 기존 사례를 통해 추정해보면 다양한 이름의 ○○Cloud 광고 시리즈를 제작하여 배포할 것으로 보입니다.

 

특히 설치 방식에 따라서는 제어판을 통한 프로그램 제거를 지원하지 않을 가능성이 높으므로 만약 제어판을 통한 삭제가 어려운 경우에는 "C:\Users\%UserName%\AppData\Roaming\○○Cloud\uninst.exe" 프로그램 삭제 파일을 찾아 직접 실행하시기 바랍니다.

728x90
반응형