본문 바로가기

벌새::Analysis

해외 가짜 백신 : Spy-Kill

반응형
해외에서 제작된 가짜 백신 Spy-Kill 프로그램에 대해 살펴보도록 하겠습니다.

[설치 파일 진단 정보]

MD5 : ead5fb77fc727c638e6b18f4fb6db0f3



해당 프로그램은 보안제품이지만, 설치시 추가적으로 사용자의 동의없이 광고 등 악성코드를 설치하고 있습니다.


[Spy-Kill 프로그램 진단 정보]

C:\Program Files\Spy-Kill\SpyKill.dll (AhnLab Smart Defense : Adware/Win32.Rogue)
C:\Program Files\Spy-Kill\SpyKill.exe (AhnLab Smart Defense : Adware/Win32.Rogue)

Spy-Kill 프로그램을 초기 설치한 상태에서는 추가적인 동작을 하지 않지만, 해당 제품이 보안제품인 것을 감안하여 업데이트를 진행하게 되면 다음과 같은 동작을 실행합니다.


[Update 실행]

GET /update/b.exe HTTP/1.1
Accept: */* Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0; .NET CLR 1.1.4322; .NET CLR 2.0.50727; .NET CLR 3.0.04506.30; .NET CLR 3.0.04506.648; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)
Host: www.spy-kill.com


Spy-Kill 제품의 설치 폴더 외에 생성되지 않던 상태에서 업데이트를 통하여 프로그램 폴더 내에 BHO Plugin 폴더와 윈도우 폴더 내에 IEBHO.DLL 파일을 추가적으로 생성을 합니다.

[추가 생성 파일 진단 정보]

C:\Program Files\BHO Plugin\plugin.dll (AhnLab Smart Defense : Trojan/Win32.Downloader)
C:\Program Files\BHO Plugin\uninstall.exe (AhnLab Smart Defense : Trojan/Win32.Downloader)
C:\WINDOWS\IEBHO.DLL (AhnLab Smart Defense : Trojan/Win32.Xema)

생성 파일은 Internet Explorer 동작과 함께 실행이 되는 형태로 구성이 되어 있습니다.

기본적으로 눈에 보이는 변경 사항은 즐겨찾기 항목에 추가적으로 해외 특정 광고 사이트 목록이 추가된 것을 확인할 수 있습니다.

특히 사용자가 Internet Explorer를 동작시 특정 서버에 접속을 하여 추가적인 파일을 다운로드하여 BHO Plugin 폴더에 파일을 생성하고 있습니다.

해당 파일의 구성을 살펴보면 Google, Yahoo, MSN 검색 사이트를 이용하여 검색을 할 경우 광고가 출력되게 변경을 한 것으로 확인이 됩니다.

[Internet Explorer 동작시 추가 다운로드 생성 파일 진단 정보]

C:\Program Files\BHO Plugin\plugin1.dll (AhnLab Smart Defense : Trojan/Win32.Small)
C:\Program Files\BHO Plugin\ustart.exe (AhnLab Smart Defense : Downloader/Win32.Ieser)


실제 윈도우 폴더 내에 추가적으로 생성되는 bhoa.dat / bhon.dat 파일 내부 문자열을 확인해보면, 위와 같이 특정 검색어가 추가되어 있는 것을 확인할 수 있습니다.


예를 들어 Google 사이트를 통해 검색어로 등록되어 있는 SEX를 입력하여 검색 결과가 출력되는 동시에 자동으로 팝업창이 생성되면서 특정 웹 사이트로 연결하는 것을 확인할 수 있습니다.


이런 이유는 Internet Explorer 프로세스에 IEBHO.DLL / plugin1.dll 파일이 BHO 형태로 등록되어 있는 것을 확인할 수 있습니다.

[BHO 등록 정보]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9BB5B49C-0D59-418d-A6A5-F6373B8FEF64}
 - C:\Program Files\BHO Plugin\plugin1.dll
※ HKEY_CLASSES_ROOT\CLSID\{9BB5B49C-0D59-418d-A6A5-F6373B8FEF64}

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{FCAFFC14-BD46-408A-9842-CDBE1C6D37FF}
 - C:\WINDOWS\IEBHO.DLL
※ HKEY_CLASSES_ROOT\CLSID\{FCAFFC14-BD46-408A-9842-CDBE1C6D37FF}

plugin1.dll 파일의 Strings 문자열을 추가적으로 확인해 보도록 하겠습니다.


해당 파일은 Internet Explorer 동작과 함께 설치되면서 특정 서버에 접속하여 추가적인 파일을 다운로드하는 역할을 담당하고 있습니다.

해당 서버는 현재 Permission이 풀린 상태로 존재하고 있으며 2007년경 생성된 악성코드로 추정됩니다.


IEBHO.DLL 파일의 Strings 문자열을 추가적으로 살펴보면 Internet Explorer에 광고와 관련된 특정 사이트가 즐겨찾기 방식으로 생성되도록 구성되어 있는 것을 확인할 수 있으며, 앞에서 살펴본 특정 검색어를 입력시 생성되는 팝업창을 통해 연결되는 사이트 목록이 있는 것을 확인할 수 있습니다.

해외 제품이 비단 아니더라도 국내 보안 솔루션 제품들 역시 설치시 BHO 등록을 통해 추가적인 광고 등을 설치하는 제품들이 일부 존재하므로 사용시 주의가 요구되며 이런 악성코드의 삭제시에는 반드시 보안제품의 도움을 받아 삭제를 시도하는 것이 안전합니다.
728x90
반응형