울지않는벌새 : Security, Movie & Society

국내 악성코드 : Newsidebarpack

벌새::Analysis
국내에서 제작된 적립금 프로그램으로 소개된 Newsidebarpack 프로그램을 설치할 경우 사용자 몰래 악성코드를 설치하는 것을 확인하였습니다.

추가로 설치되는 악성코드 및 전체적인 프로그램 동작 방식은 이전에 살펴본 CashbackOK 프로그램과 일치하므로 참고하시기 바랍니다.

Newsidebarpack 프로그램의 Setup 설치 파일(MD5 : 452b6c5dd601eddfb07388f9e2f77398)을 이용하여 설치시 어떠한 화면 정보를 사용자에게 제공하지 않고 설치가 이루어지고 있습니다.

[Newsidebarpack : 생성 파일 진단 정보]

C:\Program Files\newsidebarpack\install.exe (avast : Win32:Banload-GJV)
C:\Program Files\newsidebarpack\unreg.exe (Dr.Web : BackDoor.BlackHole.3431)
C:\Program Files\newsidebarpack\newsidebarpack.dln (Kaspersky : not-a-virus:AdWare.Win32.BHO.gfx)

설치가 완료된 시점에서 해당 프로그램은 [newsidebarpack] 폴더에 적립금 프로그램을 설치합니다.


이렇게 설치된 프로그램은 newsidebarpack.dln / newsidebarreward.dll / newsidebarside.dll 3개의 파일을 BHO 방식으로 등록을 하도록 설정되어 있습니다.


이 중에서 newsidebarpack.dln 파일의 경우 사용자가 초기에 Internet Explorer를 실행할 경우 iexplore.exe 프로세스에 추가되며 사용자가 검색 사이트와 같은 인터넷에 접속시 특정 서버에 접속하여 ch.exe 파일을 다운로드하여 사용자 몰래 프로그램을 설치하고 자기 자신은 BHO 등록 정보에서 제거가 됩니다.


newsidebarpack.dln


[ch.exe 다운로드 : tmp_(임의의 영문+숫자 10자리).exe]

Http: Request, GET /neomame/exe/update_t.html
Command: GET
URI: /neomame/exe/update_t.html?set=105
ProtocolVersion: HTTP/1.1
ContentType:  text/html
Host:  ov.overtn.com
Accept:  text/html, */*
UserAgent:  Mozilla/3.0 (compatible; Indy Library)
HeaderEnd: CRLF

[ovtli2 : 생성 파일 진단 정보]

%(사용자 계정)%\Local Settings\Temp\tmp_(임의의 영문+숫자 10자리).exe (nProtect : Trojan-Downloader/W32.Genome.656384.I)
C:\Program Files\ovtli2\ovtli2.exe (Kaspersky : Trojan.Win32.Sadenav.yt)
C:\Program Files\ovtli2\ovtli2.dll (nProtect : Trojan-Clicker/W32.AdMoke.622080.C)

서버에 접속하여 프로그램을 체크하는 과정을 통해 ch.exe 파일은 임시 폴더에 tmp_(임의의 영문+숫자 10자리).exe 파일 형태로 다운로드가 이루어지며 최종적으로 [ovtli2] 프로그램을 설치하는 것을 확인할 수 있습니다.


이렇게 설치된 프로그램은 ovtli2.dll 파일을 BHO 방식으로 등록하여 사용자가 Internet Explorer를 실행할 경우 동작하도록 구성되며, 이전에 등록되었던 newsidebarpack.dln 파일은 BHO 등록 정보가 자동으로 제거된 것을 확인할 수 있습니다.

ovtli2.dll


이렇게 등록된 ovtli2.dll 파일 내부 정보를 살펴보면 일반 사용자가 보기 어렵게 정보를 구성하고 있는데, 해당 내용을 정리하면 다음과 같은 문자열을 확인할 수 있습니다.

[ovtli2.dll : 파일 내부 문자열 일부]

TMomoshot
.com/a1/ovnaspqy=                 
.com/a1/ovnoturlcheck.asp
.com/a1/ovn_o.asp?dll=1
.com/a1/ovn_click.asp
.com/a1/ovn_oturl.asp
.com/a1/ovn_check.asp
.com/a1/exe/dname.html
.com/qwerty/qwerty.html

아마 프로그램이 사용자가 인터넷 온라인 쇼핑몰에 구매 활동을 할 경우 적립금 관련 기능을 할 것으로 추정됩니다.

하지만 초기 사용자가 설치한 Newsidebarpack 프로그램의 적립금 기능 이외에 해당 서비스 업체와는 다른 서버를 통해 또 다른 프로그램이 설치되는 점은 의심이 가는 대목입니다.


프로그램의 삭제시에는 반드시 Internet Explorer를 비롯한 모든 프로그램을 종료한 상태에서, 제어판의 [newsidebarpack Uninstall] 삭제 항목과 [ovtli2 Uninstall] 삭제 항목을 이용하여 삭제하실 수 있습니다.

프로그램 삭제 후에는 추가적으로 [%(사용자 계정)%\Local Settings\Temp\tmp_(임의의 영문+숫자 10자리).exe] 파일을 수동으로 삭제하시기 바랍니다.

하지만 보안 제품에서 해당 프로그램들을 악성코드로 진단하므로 추가적으로 보안 제품을 이용하여 시스템 정밀 검사를 하시기 바랍니다.

[Newsidebarpack : 생성 레지스트리 등록 정보]

HKEY_CLASSES_ROOT\.dln
HKEY_CLASSES_ROOT\.gtb
HKEY_CLASSES_ROOT\AppID\newsidebarreward.DLL
HKEY_CLASSES_ROOT\AppID\newsidebarside.DLL
HKEY_CLASSES_ROOT\AppID\{B92F7E1D-5827-4835-BC9A-E0F1E2F1670F}
HKEY_CLASSES_ROOT\AppID\{E489BEA9-7655-4480-A128-B48CA3F77C98}
HKEY_CLASSES_ROOT\CLSID\{19EA4A41-D423-4D8C-9F9D-DA99E065566B}
HKEY_CLASSES_ROOT\CLSID\{2E0B7F7D-1FDA-4503-B6B0-1A55DB2F67E7}
HKEY_CLASSES_ROOT\CLSID\{C3AB9EC6-90B4-4fd2-946B-A39AE18B555D}
HKEY_CLASSES_ROOT\CLSID\{FD8F1D28-178E-4636-8314-D47D7AB88BE5}
HKEY_CLASSES_ROOT\Interface\{8B2054A8-4044-43C0-966D-02349B7D9999}
HKEY_CLASSES_ROOT\Interface\{D825F37B-50CF-4C30-B6FB-E2B8D344B7C5}
HKEY_CLASSES_ROOT\newsidebarpack.Windows helper
HKEY_CLASSES_ROOT\newsidebarreward.newsidebarreward
HKEY_CLASSES_ROOT\newsidebarreward.newsidebarreward.1
HKEY_CLASSES_ROOT\newsidebarside.newsidebarside
HKEY_CLASSES_ROOT\newsidebarside.newsidebarside.1
HKEY_CLASSES_ROOT\TypeLib\{A2D0C79F-F560-4CAD-B474-144F99138CDA}
HKEY_CLASSES_ROOT\TypeLib\{AB4621D5-5364-4633-8045-145C566D8B7E}
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{C3AB9EC6-90B4-4fd2-946B-A39AE18B555D}
HKEY_LOCAL_MACHINE\software\Microsoft\Internet Explorer\Explorer Bars\{C3AB9EC6-90B4-4fd2-946B-A39AE18B555D}
HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{2E0B7F7D-1FDA-4503-B6B0-1A55DB2F67E7}

HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{FD8F1D28-178E-4636-8314-D47D7AB88BE5}

HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Uninstall\
newsidebarpack

HKEY_LOCAL_MACHINE\software\newsidebarpack
HKEY_LOCAL_MACHINE\software\NEWSID~1

[ovtli2 : 생성 레지스트리 등록 정보]

HKEY_CLASSES_ROOT\CLSID\{CC01FC6C-A236-40CB-A289-5BF3C626F975}
HKEY_CLASSES_ROOT\ovtli2.a1
HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{CC01FC6C-A236-40CB-A289-5BF3C626F975}
HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Uninstall\ovtli2 Uninstall