울지않는벌새 : Security, Movie & Society

국내 악성코드 : cbcem

벌새::Analysis
국내에서 제작되어 사용자가 특정 온라인 쇼핑몰 사이트에 접속시 사용자 몰래 특정 광고 코드를 추가하는 것으로 추정되는 악성코드 cbcem 프로그램에 대해 살펴보도록 하겠습니다.

해당 프로그램의 설치 파일(MD5 : fc1efc06df14e2184ee13c2a02efa390)에 대하여 안철수연구소(AhnLab) V3 보안 제품에서는 Trojan/Win32.Overtls (VirusTotal : 4/41) 진단명으로 진단하고 있습니다.

[생성 파일 진단 정보]

C:\Program Files\cbcem\cbcem.exe (AhnLab V3 : Win-Trojan/Overtls.717312)
C:\Program Files\cbcem\uninstall.exe (AhnLab V3 : Trojan/Win32.Overtls)
C:\Program Files\cbcem\cbcem.dll (AhnLab V3 : Trojan/Win32.Overtls)
C:\WINDOWS\system32\wincn3class.dat (Sophos : Mal/BHO-J)
C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\(Random 6자리 숫자)_r_.exe (NOD32 : a variant of Win32/TrojanDownloader.Delf.PTW)
C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\(Random 6자리 숫자)amp (AhnLab V3 : Trojan/Win32.Overtls)

해당 프로그램이 설치된 환경에서는 사용자가 Internet Explorer를 실행할 경우 동작하는 방식이며, 웹 브라우저 상에서 특정 동작이 확인되지 않으므로 분석을 목적으로 하지 않는 경우 인지하기 매우 어렵습니다.

[추가 기능 관리 : 도구 모음 및 확장 프로그램]

cqsvt : (게시자 확인 불가) web help object - C:\Program Files\cbcem\cbcem.dll

Win CM3 Class : (게시자 확인 불가) WinLMKCl4 - C:\WINDOWS\system32\wincn3class.dat

Internet Explorer에 등록된 2개의 악성 컨트롤 항목을 통해 사용자는 설치 여부를 확인하실 수 있습니다.

프로세스 정보를 살펴보면 Internet Explorer 실행시 iexplore.exe 프로세스에 cbcem.dll / wincn3class.dat 2개의 파일을 BHO 방식으로 등록하여 동작하는 것을 확인할 수 있습니다.

해당 프로그램은 제어판에 [cbcem Uninstall] 삭제 항목을 제공하고 있지만, 현재 보안 제품에서 프로그램 삭제 파일 자체를 악성코드로 진단하고 있으며, 실제 삭제를 시도할 경우 임시 폴더에 추가적인 악성 파일이 생성될 수 있으므로 보안 제품을 통한 삭제(치료) 또는 수동 삭제를 권장합니다.

특히 프로그램 삭제 기능을 이용한 삭제 후에도 여전히 [C:\WINDOWS\system32\wincn3class.dat] 파일이 존재하므로 수동 삭제를 이용하시기 바랍니다.

참고로 프로그램 삭제시에는 반드시 Internet Explorer를 비롯한 모든 프로그램을 종료한 상태에서 진행하시기 바랍니다.

[생성 레지스트리 등록 정보]

HKEY_CLASSES_ROOT\cbcem.cqsvt
HKEY_CLASSES_ROOT\CLSID\{19AAAA41-964C-4A89-83B8-4206ED222111}
HKEY_CLASSES_ROOT\CLSID\{78D62654-3B9F-42ED-AD3B-B01873796FB4}
HKEY_CLASSES_ROOT\wincn3class.Win CM3 Class
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{19AAAA41-964C-4A89-83B8-4206ED222111}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{78D62654-3B9F-42ED-AD3B-B01873796FB4}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\cbcem Uninstall

해당 프로그램은 삭제 기능을 제공하는 정상적인 프로그램으로 위장하고 있으며, 프로그램 삭제 후에도 시스템 폴더에 위치한 wincn3class.dat 파일을 남기어 BHO 방식으로 계속적인 수익을 창출할 목적이 아닌가 추정됩니다.