반응형
얼마 전 작성한 모 고등학교 웹 사이트의 카운터 서비스에 추가된 검색 도우미 프로그램에 대한 문제점을 언급한 적이 있습니다.
이번에는 실제 해당 검색 도우미를 설치된 경우를 가정하여 해당 프로그램에 대해 자세하게 알아보도록 하겠습니다.
테스트에서는 해당 프로그램 배포 사이트의 설치 파일을 기준으로 설치를 하였고, ActiveX 방식에 대한 부분은 제외 되었습니다.
[설치 파일 진단 정보 - MD5 : 714edacf17c6a68a8ab142d4cb719e8c]
해당 설치 파일은 설치시 어떠한 정보도 제공하지 않고 특정 서버에서 그림과 같이 Payload를 통해 프로그램을 설치하는 방식으로, nProtect 진단명 Trojan/W32.Agent.83728.C 으로 진단이 되는 악성코드입니다.
생성 폴더, 파일 정보
[생성 파일 진단 정보]
%Program Files%\westsidestory\uninstall.exe (ViRobot : Adware.WestSS.69632)
%Program Files%\westsidestory\updatecheck.exe (ALYac : Trojan.Generic.IS.505946)
%Program Files%\westsidestory\westsidestory.dll (ViRobot : Adware.WestSS.177936)
%Temp%\0109197.exe (ALYac : Adware.Generic.29549)
%Program Files%\westsidestory\uninstall.exe (ViRobot : Adware.WestSS.69632)
%Program Files%\westsidestory\updatecheck.exe (ALYac : Trojan.Generic.IS.505946)
%Program Files%\westsidestory\westsidestory.dll (ViRobot : Adware.WestSS.177936)
%Temp%\0109197.exe (ALYac : Adware.Generic.29549)
사용자 계정 임시폴더에 7자리 수의 Random 실행 파일을 생성하여 프로그램을 설치하고 있으며, 생성 파일은 모두 악성코드로 진단되고 있습니다.
프로그램 동작시 프로세스 정보
해당 프로그램의 동작 방식은 Internet Explorer가 동작시 해당 프로세스에 BHO 방식으로 westsidestory.dll 파일을 삽입하여 추천 사이트, 검색 관련 동작을 하는 것으로 보입니다.
특히 사용자가 지정한 시작 페이지를 프로그램 설치로 인하여 빈 페이지(about:blank)로 변경된 것을 확인할 수 있습니다.
프로그램의 삭제는 제어판의 [WestSideStory 웨스트사이드스토리] 삭제 항목을 제공하고 있지만, 보안제품에서 악성코드로 진단되는 점을 고려한다면 반드시 보안제품을 통한 삭제 또는 수동 삭제를 하시기 바랍니다.
[레지스트리 생성 등록 정보]
HKEY_CLASSES_ROOT\CLSID\{18FF56AF-E09D-4878-A7AD-42244E9BB20B}
HKEY_CLASSES_ROOT\CLSID\{4172429D-7CF9-478F-AEE9-E2EB13D2BC07}
HKEY_CLASSES_ROOT\Interface\{0DF92FFA-D4F8-46FB-883F-DC830DFE71E4}
HKEY_CLASSES_ROOT\Interface\{42D6FA1E-AFBC-49BB-88E9-E59E4ED34878}
HKEY_CLASSES_ROOT\Interface\{D6A815DC-CD25-4720-8092-48145E653DDE}
HKEY_CLASSES_ROOT\TypeLib\{9D35902F-AD2A-4636-93D8-0B07C6666181}
HKEY_CLASSES_ROOT\Westsidestory.SideBar
HKEY_CLASSES_ROOT\Westsidestory.SideBar.1
HKEY_CLASSES_ROOT\Westsidestory.ViewSource
HKEY_CLASSES_ROOT\Westsidestory.ViewSource.1
HKEY_LOCAL_MACHINE\software\Classes\CLSID\{18FF56AF-E09D-4878-A7AD-42244E9BB20B}
HKEY_LOCAL_MACHINE\software\Classes\CLSID\{4172429D-7CF9-478F-AEE9-E2EB13D2BC07}
HKEY_LOCAL_MACHINE\software\Classes\Interface\{0DF92FFA-D4F8-46FB-883F-DC830DFE71E4}
HKEY_LOCAL_MACHINE\software\Classes\Interface\{42D6FA1E-AFBC-49BB-88E9-E59E4ED34878}
HKEY_LOCAL_MACHINE\software\Classes\Interface\{D6A815DC-CD25-4720-8092-48145E653DDE}
HKEY_LOCAL_MACHINE\software\Classes\TypeLib\{9D35902F-AD2A-4636-93D8-0B07C6666181}
HKEY_LOCAL_MACHINE\software\Classes\Westsidestory.SideBar
HKEY_LOCAL_MACHINE\software\Classes\Westsidestory.SideBar.1
HKEY_LOCAL_MACHINE\software\Classes\Westsidestory.ViewSource
HKEY_LOCAL_MACHINE\software\Classes\Westsidestory.ViewSource.1
HKEY_LOCAL_MACHINE\software\Microsoft\Internet Explorer\Extensions\{4A2F919B-16EC-41A7-ADA2-6E241FBC8EB9}
HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{18FF56AF-E09D-4878-A7AD-42244E9BB20B}
HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Run
- ucwss = C:\Program Files\westsidestory\updatecheck.exe
HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Uninstall\westsidestory
HKEY_LOCAL_MACHINE\software\westsidestory
[레지스트리 수정 등록 정보]
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
- (수정 전) Start Page = 사용자 지정 시작 페이지 도메인
- (수정 후) Start Page = about:blank
HKEY_CLASSES_ROOT\CLSID\{18FF56AF-E09D-4878-A7AD-42244E9BB20B}
HKEY_CLASSES_ROOT\CLSID\{4172429D-7CF9-478F-AEE9-E2EB13D2BC07}
HKEY_CLASSES_ROOT\Interface\{0DF92FFA-D4F8-46FB-883F-DC830DFE71E4}
HKEY_CLASSES_ROOT\Interface\{42D6FA1E-AFBC-49BB-88E9-E59E4ED34878}
HKEY_CLASSES_ROOT\Interface\{D6A815DC-CD25-4720-8092-48145E653DDE}
HKEY_CLASSES_ROOT\TypeLib\{9D35902F-AD2A-4636-93D8-0B07C6666181}
HKEY_CLASSES_ROOT\Westsidestory.SideBar
HKEY_CLASSES_ROOT\Westsidestory.SideBar.1
HKEY_CLASSES_ROOT\Westsidestory.ViewSource
HKEY_CLASSES_ROOT\Westsidestory.ViewSource.1
HKEY_LOCAL_MACHINE\software\Classes\CLSID\{18FF56AF-E09D-4878-A7AD-42244E9BB20B}
HKEY_LOCAL_MACHINE\software\Classes\CLSID\{4172429D-7CF9-478F-AEE9-E2EB13D2BC07}
HKEY_LOCAL_MACHINE\software\Classes\Interface\{0DF92FFA-D4F8-46FB-883F-DC830DFE71E4}
HKEY_LOCAL_MACHINE\software\Classes\Interface\{42D6FA1E-AFBC-49BB-88E9-E59E4ED34878}
HKEY_LOCAL_MACHINE\software\Classes\Interface\{D6A815DC-CD25-4720-8092-48145E653DDE}
HKEY_LOCAL_MACHINE\software\Classes\TypeLib\{9D35902F-AD2A-4636-93D8-0B07C6666181}
HKEY_LOCAL_MACHINE\software\Classes\Westsidestory.SideBar
HKEY_LOCAL_MACHINE\software\Classes\Westsidestory.SideBar.1
HKEY_LOCAL_MACHINE\software\Classes\Westsidestory.ViewSource
HKEY_LOCAL_MACHINE\software\Classes\Westsidestory.ViewSource.1
HKEY_LOCAL_MACHINE\software\Microsoft\Internet Explorer\Extensions\{4A2F919B-16EC-41A7-ADA2-6E241FBC8EB9}
HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{18FF56AF-E09D-4878-A7AD-42244E9BB20B}
HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Run
- ucwss = C:\Program Files\westsidestory\updatecheck.exe
HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Uninstall\westsidestory
HKEY_LOCAL_MACHINE\software\westsidestory
[레지스트리 수정 등록 정보]
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
- (수정 전) Start Page = 사용자 지정 시작 페이지 도메인
- (수정 후) Start Page = about:blank
728x90
반응형