본문 바로가기

벌새::Analysis

국내 악성코드 : Trojan.Win32.S.Scar.210432.A (Hauri ViRobot)

반응형
최근 확인된 국내에서 제작된 검색 도우미 TopLineGuide 프로그램을 설치할 경우 생성되는 WinlinegupApp.exe(MD5 : fb72573aa843d4434f49958b5064e31e) 파일이 추가적으로 다운로드하는 bwscnes.exe(MD5 : 09a34b70f1386453605779340abbe0ad) 악성 파일에 대해 살펴보도록 하겠습니다.
 

 

 

[생성 파일 진단 정보]

C:\WINDOWS\system32\bscnes.dll (AhnLab V3 : Adware/Win32.BHO)
C:\WINDOWS\system32\bwscnes.exe (Hauri ViRobot : Trojan.Win32.S.Scar.210432.A)


해당 악성 프로그램은 실행시 시스템 폴더 내에 파일을 생성하며, Windows 시작시 bwscnes.exe 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.

[bwscnes.exe 네트워크 연결 정보]

POST /update/install.php HTTP/1.0
Connection: keep-alive
Content-Type: application/x-www-form-urlencoded
Content-Length: 36
Host: www.culid.com
Accept: text/html, */*
User-Agent: Mozilla/3.0 (compatible; Indy Library)


이렇게 실행된 파일은 시스템 시작 후 2분이 경과하는 시점에서 특정 서버와 연결되어 사용자 Mac Address, IP, 프로그램 업데이트 정보를 체크하는 것을 확인할 수 있습니다.

프로그램의 동작은 Internet Explorer 동작과 함께 이루어지며, 추가 기능 관리에서는 게시자를 알 수 없는 {0700D447-AC0D-4D19-86F9-EDD64CA6D337} 컨트롤 항목을 등록하여 [C:\WINDOWS\system32\bscnes.dll] 파일과 연결되어 동작하는 것을 확인할 수 있습니다.

프로세스 정보를 살펴보면 Internet Explorer 실행시 iexplore.exe 프로세스에 bscnes.dll 파일을 BHO 방식으로 추가하여 동작하는 것을 확인할 수 있습니다.

사용자는 외형적으로 어떠한 컴퓨터 사용에서 동작을 발견하지 못할 것으로 보이며, 사용자 키워드 감시 등 사생활 노출과 함께 프로그램 자체를 삭제할 수 있는 기능을 제공하지 않는다는 점에서 문제가 있습니다.

프로그램 삭제시에는 반드시 Internet Explorer를 비롯한 모든 프로그램을 종료한 상태에서 생성 파일 및 레지스트리를 수동으로 삭제하시기 바랍니다.

[생성 레지스트리 등록 정보]

HKEY_CLASSES_ROOT\CLSID\{0700D447-AC0D-4D19-86F9-EDD64CA6D337}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{0700D447-AC0D-4D19-86F9-EDD64CA6D337}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - wscnes = C:\WINDOWS\system32\bwscnes.exe /t 120

 

728x90
반응형