반응형
최근 인터넷 게시판을 통해 타 프로그램으로 사용자를 속이고 설치를 유도하는 애드웨어(Adware)류인 UtilGuide에 대해 살펴보도록 하겠습니다.
해당 악성코드의 설치로 인한 변경된 부분은 IE의 BHO를 통하여 guidetoolbar라는 명칭으로 등록이 되어 있습니다.
위와 같은 등록을 통하여 사용자가 IE를 동작하면서 평소에는 동작하지 않던 Utilguide 관련 파일이 동작을 시작합니다. 명칭은 툴바이지만 실제 IE상에서 외형적으로 설치되는 툴바가 존재하지 않기 때문에 사용자가 인식하기 어렵습니다.
그러면 해당 악성코드를 배포하는 곳이 어떤 곳인지 정보를 수집하여 보았습니다.
해당 사이트 도메인을 통해 등록 정보를 확인해 보아도 서울 강남에 위치한 허위 등록자 정보만 있을 뿐 악의적으로 개설한 사이트로 추정이 됩니다.
해당 프로그램이 네트워크 연결을 시도하는 부분을 체크해 보았습니다.
만약 자신의 컴퓨터에 utilguide 관련 툴바로 고생을 하시는 분들은 보안 제품을 이용하여 치료를 하시기 바라며, 예방 차원에서 방화벽을 이용하여 해당 서버 아이피(IP)를 차단하시는 것도 추천해 드립니다.
해당 배포자에 대한 정보를 수집해 보면 국내 M 온라인 음악 관련 사이트 운영자가 해당 서버 등록자로 추정이 되고, 그 외에도 과거부터 국내 애드웨어를 배포하던 W 관련 업체도 연관성이 있어 보입니다.
사용자 몰래 특정 서버와 연결되어 추가적인 다운로드를 시도하는 것으로 인해 국내에서 제작된 악성코드 치료 프로그램의 설치나 각종 툴바, 원치않는 팝업창 광고 등에 노출될 수 있으므로 신뢰할 수 없는 파일은 다운로드하지 마시고 각종 프로그램을 다운로드하여 설치할 때에는 반드시 해당 제작사 홈페이지 또는 신뢰할 수 있는 공개 자료실을 이용하시기 바랍니다.
[설치 파일 정보]
■ 다운로드 경로 : hxxp://down.utilguide.com/[삭제]/install.exe
하우리(Hauri), 안연구소 제품의 진단명으로 추정해보며 애드웨어 또는 가짜 백신을 다운로드하는 기능이 포함된 악성코드로 추정이 됩니다.
■ 다운로드 경로 : hxxp://down.utilguide.com/[삭제]/install.exe
하우리(Hauri), 안연구소 제품의 진단명으로 추정해보며 애드웨어 또는 가짜 백신을 다운로드하는 기능이 포함된 악성코드로 추정이 됩니다.
해당 악성코드의 설치로 인한 변경된 부분은 IE의 BHO를 통하여 guidetoolbar라는 명칭으로 등록이 되어 있습니다.
[BHO 등록]
HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{19EA4A41-948F-4A02-B915-448BE72A5706}
해당 등록 정보를 토대로 확인한 세부적인 내용은 다음과 같습니다.
HKEY_CLASSES_ROOT\CLSID\{19EA4A41-948F-4A02-B915-448BE72A5706}
\InprocServer32
\ProgID
- 기본값 = utilguide
- 기본값 = "C:\PROGRA~1\UTILGU~1\UTILGU~1.DLU"
- 기본값 = utilguide.utilguide
HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{19EA4A41-948F-4A02-B915-448BE72A5706}
해당 등록 정보를 토대로 확인한 세부적인 내용은 다음과 같습니다.
HKEY_CLASSES_ROOT\CLSID\{19EA4A41-948F-4A02-B915-448BE72A5706}
\InprocServer32
\ProgID
- 기본값 = utilguide
- 기본값 = "C:\PROGRA~1\UTILGU~1\UTILGU~1.DLU"
- 기본값 = utilguide.utilguide
위와 같은 등록을 통하여 사용자가 IE를 동작하면서 평소에는 동작하지 않던 Utilguide 관련 파일이 동작을 시작합니다. 명칭은 툴바이지만 실제 IE상에서 외형적으로 설치되는 툴바가 존재하지 않기 때문에 사용자가 인식하기 어렵습니다.
그러면 해당 악성코드를 배포하는 곳이 어떤 곳인지 정보를 수집하여 보았습니다.
해당 사이트 도메인을 통해 등록 정보를 확인해 보아도 서울 강남에 위치한 허위 등록자 정보만 있을 뿐 악의적으로 개설한 사이트로 추정이 됩니다.
해당 프로그램이 네트워크 연결을 시도하는 부분을 체크해 보았습니다.
만약 자신의 컴퓨터에 utilguide 관련 툴바로 고생을 하시는 분들은 보안 제품을 이용하여 치료를 하시기 바라며, 예방 차원에서 방화벽을 이용하여 해당 서버 아이피(IP)를 차단하시는 것도 추천해 드립니다.
해당 배포자에 대한 정보를 수집해 보면 국내 M 온라인 음악 관련 사이트 운영자가 해당 서버 등록자로 추정이 되고, 그 외에도 과거부터 국내 애드웨어를 배포하던 W 관련 업체도 연관성이 있어 보입니다.
[설치 파일 진단 정보]
■ C:\Program Files\utilguide\uninstall.exe <MD5 : 3ec639da83fcea6fb30ab5e291c9315b>
■ C:\Program Files\utilguide\uninstall.exe <MD5 : 3ec639da83fcea6fb30ab5e291c9315b>
사용자 몰래 특정 서버와 연결되어 추가적인 다운로드를 시도하는 것으로 인해 국내에서 제작된 악성코드 치료 프로그램의 설치나 각종 툴바, 원치않는 팝업창 광고 등에 노출될 수 있으므로 신뢰할 수 없는 파일은 다운로드하지 마시고 각종 프로그램을 다운로드하여 설치할 때에는 반드시 해당 제작사 홈페이지 또는 신뢰할 수 있는 공개 자료실을 이용하시기 바랍니다.
728x90
반응형