728x90
반응형
국내에서 제작된 적립금 프로그램으로 소개된 Newsidebarpack 프로그램을 설치할 경우 사용자 몰래 악성코드를 설치하는 것을 확인하였습니다.
추가로 설치되는 악성코드 및 전체적인 프로그램 동작 방식은 이전에 살펴본 CashbackOK 프로그램과 일치하므로 참고하시기 바랍니다.
Newsidebarpack 프로그램의 Setup 설치 파일(MD5 : 452b6c5dd601eddfb07388f9e2f77398)을 이용하여 설치시 어떠한 화면 정보를 사용자에게 제공하지 않고 설치가 이루어지고 있습니다.
[Newsidebarpack : 생성 파일 진단 정보]
C:\Program Files\newsidebarpack\install.exe (avast : Win32:Banload-GJV)
C:\Program Files\newsidebarpack\unreg.exe (Dr.Web : BackDoor.BlackHole.3431)
C:\Program Files\newsidebarpack\newsidebarpack.dln (Kaspersky : not-a-virus:AdWare.Win32.BHO.gfx)
C:\Program Files\newsidebarpack\install.exe (avast : Win32:Banload-GJV)
C:\Program Files\newsidebarpack\unreg.exe (Dr.Web : BackDoor.BlackHole.3431)
C:\Program Files\newsidebarpack\newsidebarpack.dln (Kaspersky : not-a-virus:AdWare.Win32.BHO.gfx)
설치가 완료된 시점에서 해당 프로그램은 [newsidebarpack] 폴더에 적립금 프로그램을 설치합니다.
이렇게 설치된 프로그램은 newsidebarpack.dln / newsidebarreward.dll / newsidebarside.dll 3개의 파일을 BHO 방식으로 등록을 하도록 설정되어 있습니다.
newsidebarpack.dln
[ch.exe 다운로드 : tmp_(임의의 영문+숫자 10자리).exe]
Http: Request, GET /neomame/exe/update_t.html
Command: GET
URI: /neomame/exe/update_t.html?set=105
ProtocolVersion: HTTP/1.1
ContentType: text/html
Host: ov.overtn.com
Accept: text/html, */*
UserAgent: Mozilla/3.0 (compatible; Indy Library)
HeaderEnd: CRLF
Http: Request, GET /neomame/exe/update_t.html
Command: GET
URI: /neomame/exe/update_t.html?set=105
ProtocolVersion: HTTP/1.1
ContentType: text/html
Host: ov.overtn.com
Accept: text/html, */*
UserAgent: Mozilla/3.0 (compatible; Indy Library)
HeaderEnd: CRLF
[ovtli2 : 생성 파일 진단 정보]
%(사용자 계정)%\Local Settings\Temp\tmp_(임의의 영문+숫자 10자리).exe (nProtect : Trojan-Downloader/W32.Genome.656384.I)
C:\Program Files\ovtli2\ovtli2.exe (Kaspersky : Trojan.Win32.Sadenav.yt)
C:\Program Files\ovtli2\ovtli2.dll (nProtect : Trojan-Clicker/W32.AdMoke.622080.C)
%(사용자 계정)%\Local Settings\Temp\tmp_(임의의 영문+숫자 10자리).exe (nProtect : Trojan-Downloader/W32.Genome.656384.I)
C:\Program Files\ovtli2\ovtli2.exe (Kaspersky : Trojan.Win32.Sadenav.yt)
C:\Program Files\ovtli2\ovtli2.dll (nProtect : Trojan-Clicker/W32.AdMoke.622080.C)
서버에 접속하여 프로그램을 체크하는 과정을 통해 ch.exe 파일은 임시 폴더에 tmp_(임의의 영문+숫자 10자리).exe 파일 형태로 다운로드가 이루어지며 최종적으로 [ovtli2] 프로그램을 설치하는 것을 확인할 수 있습니다.
이렇게 설치된 프로그램은 ovtli2.dll 파일을 BHO 방식으로 등록하여 사용자가 Internet Explorer를 실행할 경우 동작하도록 구성되며, 이전에 등록되었던 newsidebarpack.dln 파일은 BHO 등록 정보가 자동으로 제거된 것을 확인할 수 있습니다.
ovtli2.dll
이렇게 등록된 ovtli2.dll 파일 내부 정보를 살펴보면 일반 사용자가 보기 어렵게 정보를 구성하고 있는데, 해당 내용을 정리하면 다음과 같은 문자열을 확인할 수 있습니다.
[ovtli2.dll : 파일 내부 문자열 일부]
TMomoshot
.com/a1/ovnaspqy=
.com/a1/ovnoturlcheck.asp
.com/a1/ovn_o.asp?dll=1
.com/a1/ovn_click.asp
.com/a1/ovn_oturl.asp
.com/a1/ovn_check.asp
.com/a1/exe/dname.html
.com/qwerty/qwerty.html
TMomoshot
.com/a1/ovnaspqy=
.com/a1/ovnoturlcheck.asp
.com/a1/ovn_o.asp?dll=1
.com/a1/ovn_click.asp
.com/a1/ovn_oturl.asp
.com/a1/ovn_check.asp
.com/a1/exe/dname.html
.com/qwerty/qwerty.html
아마 프로그램이 사용자가 인터넷 온라인 쇼핑몰에 구매 활동을 할 경우 적립금 관련 기능을 할 것으로 추정됩니다.
하지만 초기 사용자가 설치한 Newsidebarpack 프로그램의 적립금 기능 이외에 해당 서비스 업체와는 다른 서버를 통해 또 다른 프로그램이 설치되는 점은 의심이 가는 대목입니다.
프로그램의 삭제시에는 반드시 Internet Explorer를 비롯한 모든 프로그램을 종료한 상태에서, 제어판의 [newsidebarpack Uninstall] 삭제 항목과 [ovtli2 Uninstall] 삭제 항목을 이용하여 삭제하실 수 있습니다.
프로그램 삭제 후에는 추가적으로 [%(사용자 계정)%\Local Settings\Temp\tmp_(임의의 영문+숫자 10자리).exe] 파일을 수동으로 삭제하시기 바랍니다.
하지만 보안 제품에서 해당 프로그램들을 악성코드로 진단하므로 추가적으로 보안 제품을 이용하여 시스템 정밀 검사를 하시기 바랍니다.
[Newsidebarpack : 생성 레지스트리 등록 정보]
HKEY_CLASSES_ROOT\.dln
HKEY_CLASSES_ROOT\.gtb
HKEY_CLASSES_ROOT\AppID\newsidebarreward.DLL
HKEY_CLASSES_ROOT\AppID\newsidebarside.DLL
HKEY_CLASSES_ROOT\AppID\{B92F7E1D-5827-4835-BC9A-E0F1E2F1670F}
HKEY_CLASSES_ROOT\AppID\{E489BEA9-7655-4480-A128-B48CA3F77C98}
HKEY_CLASSES_ROOT\CLSID\{19EA4A41-D423-4D8C-9F9D-DA99E065566B}
HKEY_CLASSES_ROOT\CLSID\{2E0B7F7D-1FDA-4503-B6B0-1A55DB2F67E7}
HKEY_CLASSES_ROOT\CLSID\{C3AB9EC6-90B4-4fd2-946B-A39AE18B555D}
HKEY_CLASSES_ROOT\CLSID\{FD8F1D28-178E-4636-8314-D47D7AB88BE5}
HKEY_CLASSES_ROOT\Interface\{8B2054A8-4044-43C0-966D-02349B7D9999}
HKEY_CLASSES_ROOT\Interface\{D825F37B-50CF-4C30-B6FB-E2B8D344B7C5}
HKEY_CLASSES_ROOT\newsidebarpack.Windows helper
HKEY_CLASSES_ROOT\newsidebarreward.newsidebarreward
HKEY_CLASSES_ROOT\newsidebarreward.newsidebarreward.1
HKEY_CLASSES_ROOT\newsidebarside.newsidebarside
HKEY_CLASSES_ROOT\newsidebarside.newsidebarside.1
HKEY_CLASSES_ROOT\TypeLib\{A2D0C79F-F560-4CAD-B474-144F99138CDA}
HKEY_CLASSES_ROOT\TypeLib\{AB4621D5-5364-4633-8045-145C566D8B7E}
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{C3AB9EC6-90B4-4fd2-946B-A39AE18B555D}
HKEY_LOCAL_MACHINE\software\Microsoft\Internet Explorer\Explorer Bars\{C3AB9EC6-90B4-4fd2-946B-A39AE18B555D}
HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{2E0B7F7D-1FDA-4503-B6B0-1A55DB2F67E7}
HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{FD8F1D28-178E-4636-8314-D47D7AB88BE5}
HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Uninstall\
newsidebarpack
HKEY_LOCAL_MACHINE\software\newsidebarpack
HKEY_LOCAL_MACHINE\software\NEWSID~1
[ovtli2 : 생성 레지스트리 등록 정보]
HKEY_CLASSES_ROOT\CLSID\{CC01FC6C-A236-40CB-A289-5BF3C626F975}
HKEY_CLASSES_ROOT\ovtli2.a1
HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{CC01FC6C-A236-40CB-A289-5BF3C626F975}
HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Uninstall\ovtli2 Uninstall
HKEY_CLASSES_ROOT\.dln
HKEY_CLASSES_ROOT\.gtb
HKEY_CLASSES_ROOT\AppID\newsidebarreward.DLL
HKEY_CLASSES_ROOT\AppID\newsidebarside.DLL
HKEY_CLASSES_ROOT\AppID\{B92F7E1D-5827-4835-BC9A-E0F1E2F1670F}
HKEY_CLASSES_ROOT\AppID\{E489BEA9-7655-4480-A128-B48CA3F77C98}
HKEY_CLASSES_ROOT\CLSID\{19EA4A41-D423-4D8C-9F9D-DA99E065566B}
HKEY_CLASSES_ROOT\CLSID\{2E0B7F7D-1FDA-4503-B6B0-1A55DB2F67E7}
HKEY_CLASSES_ROOT\CLSID\{C3AB9EC6-90B4-4fd2-946B-A39AE18B555D}
HKEY_CLASSES_ROOT\CLSID\{FD8F1D28-178E-4636-8314-D47D7AB88BE5}
HKEY_CLASSES_ROOT\Interface\{8B2054A8-4044-43C0-966D-02349B7D9999}
HKEY_CLASSES_ROOT\Interface\{D825F37B-50CF-4C30-B6FB-E2B8D344B7C5}
HKEY_CLASSES_ROOT\newsidebarpack.Windows helper
HKEY_CLASSES_ROOT\newsidebarreward.newsidebarreward
HKEY_CLASSES_ROOT\newsidebarreward.newsidebarreward.1
HKEY_CLASSES_ROOT\newsidebarside.newsidebarside
HKEY_CLASSES_ROOT\newsidebarside.newsidebarside.1
HKEY_CLASSES_ROOT\TypeLib\{A2D0C79F-F560-4CAD-B474-144F99138CDA}
HKEY_CLASSES_ROOT\TypeLib\{AB4621D5-5364-4633-8045-145C566D8B7E}
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{C3AB9EC6-90B4-4fd2-946B-A39AE18B555D}
HKEY_LOCAL_MACHINE\software\Microsoft\Internet Explorer\Explorer Bars\{C3AB9EC6-90B4-4fd2-946B-A39AE18B555D}
HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{2E0B7F7D-1FDA-4503-B6B0-1A55DB2F67E7}
HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{FD8F1D28-178E-4636-8314-D47D7AB88BE5}
HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Uninstall\
newsidebarpack
HKEY_LOCAL_MACHINE\software\newsidebarpack
HKEY_LOCAL_MACHINE\software\NEWSID~1
[ovtli2 : 생성 레지스트리 등록 정보]
HKEY_CLASSES_ROOT\CLSID\{CC01FC6C-A236-40CB-A289-5BF3C626F975}
HKEY_CLASSES_ROOT\ovtli2.a1
HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{CC01FC6C-A236-40CB-A289-5BF3C626F975}
HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Uninstall\ovtli2 Uninstall
728x90
반응형