반응형
예전부터 국내에서 제휴(스폰서) 프로그램 배포 방식으로 새롭게 등장한 공개 자료실 형태에 대해 언급한 적이 있는데, 최근 기존에 알려진 특정 도메인과 연관된 새로운 배포 파일을 발견하였습니다.
해당 화면에서는 제휴(스폰서) 프로그램이 추가되어 있으며, 사용자가 해당 소프트웨어를 다운로드할지 여부를 결정하기 이전에 다음과 같은 동작을 사용자 몰래 진행합니다.
[생성 파일 진단 정보]
C:\WINDOWS\system32\cssrscSetup.exe (BitDefender : Gen:Win32.Malware.luZ@a8uOzohi)
C:\Documents and Settings\(사용자 계정)\Templates\cssrscUpdater.exe (ViRobot : Trojan.Win32.Downloader.229376.M)
C:\WINDOWS\system32\cssrscSetup.exe (BitDefender : Gen:Win32.Malware.luZ@a8uOzohi)
C:\Documents and Settings\(사용자 계정)\Templates\cssrscUpdater.exe (ViRobot : Trojan.Win32.Downloader.229376.M)
사용자 동의없이 설치된 프로그램은 Windows 시작시 cssrsc.exe 파일을 시작 프로그램으로 등록하여 자동 실행되며, 메모리에 상주하여 동작하도록 구성되어 있습니다.
[cssrsc.exe 네트워크 연결 정보]
GET /cssrsc/cssrsc.ini HTTP/1.1
Accept: */*
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0; .NET CLR 1.1.4322; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)
Host: o-k-g-o.com
Connection: Keep-Alive
POST /cssrsc/log2.php?msg=fd/30e4b3a1/1/1.0.0.3/4/0/8.0/0 HTTP/1.1
User-Agent: cssrsc
Host: o-k-g-o.com
Content-Length: 0
Cache-Control: no-cache
GET /cssrsc/cssrsc.ini HTTP/1.1
Accept: */*
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0; .NET CLR 1.1.4322; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)
Host: o-k-g-o.com
Connection: Keep-Alive
POST /cssrsc/log2.php?msg=fd/30e4b3a1/1/1.0.0.3/4/0/8.0/0 HTTP/1.1
User-Agent: cssrsc
Host: o-k-g-o.com
Content-Length: 0
Cache-Control: no-cache
해당 cssrsc.exe 프로세스는 작업 스케줄러 어플이라는 설명을 포함하고 있으며, 실제 동작시 다음과 같은 특정 서버 파일을 참조하고 있습니다.
해당 프로그램은 자체적인 삭제 기능을 제공하지 않으며, 파일 생성 위치가 분석을 목적으로 확인하지 않는 이상 찾기 어려운 위치에 존재하므로 수동으로 제거를 하시기 바랍니다.
[생성 레지스트리 등록 정보]
HKEY_CURRENT_USER\Software\cssrsc
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- cssrsc = C:\WINDOWS\system32\cssrsc.exe /run
HKEY_CURRENT_USER\Software\cssrsc
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- cssrsc = C:\WINDOWS\system32\cssrsc.exe /run
현재 국내에 다수의 공개 자료실 형태로 국내외 유명 소프트웨어를 배포하면서 제휴(스폰서) 프로그램을 추가하거나, 위와 같이 사용자 몰래 프로그램을 설치하는 곳도 존재하므로 소프트웨어 다운로드는 제작사 사이트를 이용하시는 습관이 중요합니다.
728x90
반응형
레지스트리 변경을 요구해서 차단 시켰는데 역시나...좋은정보 감사합니다.
이것처럼 실제 사용자가 파일 실행만하여도 몰래 프로그램을 설치하는 동작이 있는게 종종 발견되더군요.
겉으로는 정상적인 프로그램처럼 구성하면서..
csrss.exe 이거 실행안되게 하는 방법 없는가요?
죄송합니다. 댓글이 스팸 처리가 되었더군요.ㅠㅠ
csrss.exe 프로세스는 windows의 정상적인 프로세스로 사용자가 실행되지 않도록 하는 동작은 시스템을 불안정하게 만들 수 있습니다.
예...정상적인 csrss.exe는 따로 실행이 되어있고
바이러스같은 csrss.exe만 없애는...
자꾸 이게 실행이되어 상당히 번거로운 현상이..ㅠ.ㅠ