본문 바로가기

벌새::Analysis

국내 악성코드 : 윈도우즈 드라이버(WindowsDriver, WindowDV)

반응형
국내 검색 도우미 윈도우즈 드라이버(WindowsDriver, WindowDV) 프로그램을 설치시 작년경부터 확인된 정보에 의하면 사용자 몰래 추가적으로 적립금 프로그램 포인트&샵(Point&Shop)을 설치하는 것을 확인하였습니다.

WindowDV 설치 파일(MD5 : d49a6b7b3e358a52125b10cbb6423592)을 이용하여 프로그램을 설치하는 과정에서 어떻게 추가적인 프로그램을 설치하는지 네트워크 연결 정보를 통해 먼저 살펴보도록 하겠습니다.

(1) WindowDV 업데이트 파일 Payload 및 동작

HTTP:HTTP Payload, URL: /Update_A_P_SB_Windowsdriver_5/WinDVUpdate.exe

(2) WindowDV 서버에서 Pointnshop_ps1003_1029.exe 파일 다운로드

Http: Request, GET /Update_A_P_SB_Windowsdriver_5/Pointnshop_ps1003_1029.exe
Command: GET
URI: /Update_A_P_SB_Windowsdriver_5/Pointnshop_ps1003_1029.exe
Location: /Update_A_P_SB_Windowsdriver_5/Pointnshop_ps1003_1029.exe
ProtocolVersion: HTTP/1.1
UserAgent:  WinDV
Host:  up1.windowsdriver.co.kr
HeaderEnd: CRLF

(3) 포인트&샵(Point&Shop) 서버에서 pointnshop_ps1003.exe 파일 다운로드

Http: Request, GET /pointnshop_ps1003.exe
Command: GET
URI: /pointnshop_ps1003.exe
ProtocolVersion: HTTP/1.1
UserAgent:  Pointnshop_ps1003_1029
Host:  file.pnshop.co.kr
HeaderEnd: CRLF

(4) Point&Shop 프로그램 설치

Http: Request, GET /install.asp
Command: GET
URI: /install.asp?version=1.0.1.9&code=ps1003&mac=(Mac Address)
ProtocolVersion: HTTP/1.1
UserAgent:  HTTP
Host:  reward.pnshop.co.kr
Cache-Control:  no-cache
HeaderEnd: CRLF

(5) Point&Shop 서버에서 PS1028.exe 파일 다운로드

Http: Request, GET /update_ps1003/PS1028.exe
Command: GET
URI: /update_ps1003/PS1028.exe
ProtocolVersion: HTTP/1.1
UserAgent:  pointnshop
Host:  reward.pnshop.co.kr
HeaderEnd: CRLF

위와 같은 과정을 통해 설치된 2개의 프로그램은 프로그램 목록에서 확인이 불가능하므로, 사용자들은 자신의 컴퓨터에 설치된 프로그램에 대해 제대로 인지하지 못할 수 있습니다.

생성 폴더, 파일 정보

[생성 파일 진단 정보]

%Program Files%\pointnshop\pointnshop.dll (BitDefender : Trojan.Generic.IS.545200)
%Program Files%\pointnshop\pointnshopdll.dll (ViRobot : Backdoor.Win32.Agent.28672.T)

%Temp%\pointnshop_ps1003.exe (AhnLab : Win-Trojan/Xema.variant) - MD5 : 8116ac2f6a36f634a033ec63baaf30ce
%Temp%\PS1028.exe (Kaspersky : Backdoor.Win32.Agent.ahra) - MD5 : 43e0c4461b8e03d0e0d1894f97ecfbc3

사용자 몰래 설치된 적립금 프로그램 Point&Shop의 경우, 윈도우 시작시 pointnshop.exe 파일을 시작 프로그램으로 등록하여 자동 실행되며 메모리에 상주하여 동작하도록 구성되어 있습니다.

검색 도우미 WinDV 프로그램의 경우에도 윈도우 시작시 WinDV.exe 파일을 시작 프로그램으로 등록하여 자동 실행되며 메모리에 상주하여 동작하도록 구성되어 있습니다.

이들 프로그램은 사용자가 Internet Explorer를 실행할 경우 iexplore.exe 프로세스에 pointnshop.dll / WinDV.dll 파일을 BHO 방식으로 등록하여, 프로그램에서 등록한 각종 상업적 사이트, 검색 사이트에서도 동작하며 웹 브라우저의 사이드바에 추천 사이트 제시 및 특정 사이트에서의 회원 가입 및 물품 구매에 따른 적립금 생성이 발생할 수 있습니다.

프로그램 삭제시에는 반드시 Internet Explorer를 비롯한 모든 프로그램을 종료한 상태에서 제어판의 [pointnshop] 삭제 항목과 [WinDV 제거] 항목을 이용하여 삭제하실 수 있습니다.

프로그램 삭제 후에는 추가적으로 [%Temp%\pointnshop_ps1003.exe], [%Temp%\Pointnshop_ps1003_1029.exe], [%Temp%\PS1028.exe], [%Temp%\WinDVUpdate.exe] 파일을 수동으로 삭제하시기 바랍니다. 또한 일부 파일에 대해 보안 제품에서 악성코드로 진단하므로 반드시 신뢰할 수 있는 보안 제품을 이용하여 시스템 정밀 검사를 하시기 바랍니다.

위와 같이 사용자 동의없이 추가적인 프로그램을 설치하는 프로그램의 경우에는 차후 다른 프로그램을 설치할 가능성이 있으므로 추가적으로 설치된 프로그램 뿐만 아니라 프로그램을 설치하게 만드는 프로그램까지 반드시 삭제하시기 바랍니다.

[포인트&샵(Point&Shop) : 생성 레지스트리 등록 정보]

HKEY_CLASSES_ROOT\CLSID\{E8ED86D1-7258-4c5f-9543-229CBE54242B}
HKEY_CLASSES_ROOT\Interface\{9FF43820-C325-440A-BEB2-03D925D13E3E}
HKEY_CLASSES_ROOT\Reward.RewardCtl
HKEY_CLASSES_ROOT\Reward.RewardCtl.1
HKEY_CLASSES_ROOT\TypeLib\{02C54EF6-3CE2-4B40-BD1F-6F75717C6991}
HKEY_CURRENT_USER\software\pointnshop
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper
 Objects\{E8ED86D1-7258-4c5f-9543-229CBE54242B}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - pointnshop = C:\Program Files\pointnshop\pointnshop.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\pointnshop

[윈도우즈 드라이버(WindowsDriver, WindowDV) : 생성 레지스트리 등록 정보]

HKEY_CLASSES_ROOT\CLSID\{80A63128-BD32-490b-95B6-53B636CBEEC8}
HKEY_CLASSES_ROOT\CLSID\{FBC3626A-25D7-4ff5-B480-4658E7E83924}
HKEY_CLASSES_ROOT\Interface\{723795DD-2C53-4B61-8AAD-FD3B2F550D69}
HKEY_CLASSES_ROOT\Interface\{E71D0323-2D4F-45A0-86DD-55620634CD9F}
HKEY_CLASSES_ROOT\SideBar.InfoBand
HKEY_CLASSES_ROOT\SideBar.InfoBand.1
HKEY_CLASSES_ROOT\SideBar.SideBarHlp
HKEY_CLASSES_ROOT\SideBar.SideBarHlp.1
HKEY_CLASSES_ROOT\TypeLib\{30EA55BA-BFCB-4E48-9E3F-345130B16F45}
HKEY_CURRENT_USER\software\WinDV
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper
Objects\{FBC3626A-25D7-4ff5-B480-4658E7E83924}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - WinDV = C:\Program Files\WinDV\WinDV.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\WinDV

728x90
반응형