본문 바로가기

벌새::Analysis

국내 악성코드 : Windows sxguide navigation - S2Xguide

국내에서 제작되어 특정 인터넷 쇼핑 관련 적립금 프로그램과 연결되는 것으로 추정되는 Windows sxguide navigation - S2Xguide 프로그램에 대해 살펴보도록 하겠습니다.

해당 프로그램의 배포 방식은 최근 소개한 특정 단축 URL 도메인으로 접속을 시도할 경우 ActiveX 설치 방식으로 필수 프로그램에 포함되어 설치가 이루어지고 있습니다.

또한 기존에 알려진 SXGuide 프로그램의 변종으로 실제 설치가 이루어진 경우 현재 삭제 기능은 포함되어 있지만 정상적인 삭제를 방해하고 있는 것을 확인할 수 있습니다.

참고로 해당 설치 파일(MD5 : fe95cce347ec5c3eefe18cc4d80e842a)에 대하여 안철수연구소(AhnLab) V3 보안 제품에서는 Win-Trojan/Agent.608256.G (VirusTotal : 12/42) 진단명으로 진단되고 있으므로 참고하시기 바랍니다.

해당 프로그램은 [S2Xguide] 폴더에 파일을 생성하고 있으며, Windows 시작시 sxguide.exe 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.

[sxguide.exe 네트워크 연결 정보]

h**p://google.co.kr
h**p://toto***.co.kr/ver/hver.php
h**p://toto***.co.kr/ver/pver.php
h**p://pet*******.net/check/get_info.php


실행된 sxguide.exe 파일을 구글(Google) 사이트 접속 체크 및 특정 서버에서 프로그램 업데이트 정보 등을 체크하도록 구성되어 있습니다.

해당 프로그램의 동작 방식은 외형적으로 동작하는 방식이 아닌, 자동 실행된 sxguide.exe 프로세스가 메모리에 상주하는 방식으로, 다음과 같은 2가지 특정 도메인에서 국내 인터넷 쇼핑몰 관련 광고 코드를 사용자 몰래 추가하여 금전적 수익을 발생시키고 있는 것으로 추정됩니다.

C:\Program Files\S2Xguide\001.dat
 - h**p://toto***.co.kr/kwd/hkwd.php
C:\Program Files\S2Xguide\002.dat
 - h**p://toto***.co.kr/kwd/dkwd.php

해당 프로그램은 외형적으로 프로그램 삭제를 위한 sxguide_delete.exe 파일을 제공하고 있지만, 제어판에서 [Windows sxguide navigation] 삭제 항목을 이용하여 삭제를 시도할 경우 오류가 발생하였다는 메시지와 함께 sxguide_delete.exe 파일만 자체적으로 삭제하는 동작을 통해 사용자가 프로그램을 삭제하지 못하도록 방해를 하고 있습니다.

그러므로 프로그램 삭제는 반드시 사용자가 수동으로 해야하며, 작업 관리자에서 sxguide.exe 프로세스를 수동으로 종료한 후, 다음의 폴더, 파일, 레지스트리 항목을 수동으로 삭제하시기 바랍니다.

[수동 폴더, 파일 삭제 정보]

C:\Program Files\S2Xguide
C:\Program Files\S2Xguide\sxguide.exe
C:\Program Files\S2Xguide\001.dat
C:\Program Files\S2Xguide\002.dat

[생성 레지스트리 등록 정보]

HKEY_LOCAL_MACHINE\SOFTWARE\(Random 14자리 숫자)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - sxguide.exe = C:\Program Files\S2Xguide\sxguide.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
sxguide_delete.exe
HKEY_LOCAL_MACHINE\SOFTWARE\score
HKEY_LOCAL_MACHINE\SOFTWARE\sxguide


해당 프로그램은 기존부터 꾸준히 변종이 발생하고 있으며, 주로 ActiveX 설치 방식으로 정상적인 프로그램처럼 구성하여 유포가 이루어지고 있는 것으로 보이므로 주의하시기 바랍니다.