본문 바로가기

벌새::Analysis

국내 악성코드 : WIDCOMM Bluetooth Software

국내에서 제작된 악성코드 Win-Adware/Cn8cls.236544 (AhnLab V3)를 통해 사용자 몰래 설치가 이루어지고 있는 WIDCOMM Bluetooth Software 악성 프로그램에 대해 살펴보도록 하겠습니다.
 

WIDCOMM Bluetooth Software 악성 프로그램 설치 파일(MD5 : 499815b335a3acbfae183c1b3c2466c6)에 대하여 안철수연구소(AhnLab) V3 보안 제품에서는 Downloader/Win32.Generic (VirusTotal : 17/42) 진단명으로 사전 차단을 하고 있으며, 마이크로소프트(Microsoft)사의 보안 제품에서는 TrojanDownloader:Win32/Parkchicers.C 진단명으로 진단이 되고 있습니다.

 

이는 국내 악성코드 진단명 TrojanDownloader:Win32/Parkchicers 시리즈의 변종으로 추정을 할 수 있습니다.

 

[관련 URL 정보]

h**p://www.g****.co.kr/***/takemng/TU.dll
h**p://www.g****.co.kr/***/takemng/takemng.exe

 

[생성 파일 진단 정보]

C:\Program Files\WIDCOMM\Bluetooth Software\bin\TU.dll (Microsoft : TrojanDownloader:Win32/Parkchicers.C)
(MD5 : 8421f8570a49d3d35cef3f80d19c28cb)

C:\WINDOWS\system32\service\takemng.exe (AhnLab V3 : Downloader/Win32.Rogue)
(MD5 : f96345b3c52d9fec2fd4b2760f6c4fd6)

 

해당 악성 프로그램이 설치된 환경에서 Windows 시작시 takemng.exe 파일을 시작 프로그램으로 등록하여 자동 실행되며, 실행된 프로그램은 다음과 같은 동작을 하는 것을 확인할 수 있습니다.

 

[takemng.exe 네트워크 연결 정보]

GET /bho/takemng/takemng.iim HTTP/1.1
User-Agent: IEUpdater
Host: www.gfind.co.kr
Connection: Keep-Alive
Cache-Control: no-cache

GET /Yahoo/yahooh4setup725.exe HTTP/1.1
User-Agent: IEUpdater
Host: 220.**.213.***
Connection: Keep-Alive
Cache-Control: no-cache

즉, 시스템 시작시 특정 서버로부터 사용자 몰래 [Yahoo Helper 2.0 - Yahoo Helper4] 프로그램을 설치하여 Internet Explorer를 통한 키워드 가로채기가 이루어지는 것을 이전에 확인할 수 있었습니다.

 

특히 시작 프로그램으로 등록된 takemng.exe 파일은 마이크로소프트(Microsoft)사에서 제작한 Windows Services 파일로 위장을 하고 있는 것을 확인할 수 있습니다.

{D045A6CC-D55C-4312-A987-B663549BBBAF}
 - 게시자 : 알 수 없음
 - CLSID : {D045A6CC-D55C-4312-A987-B663549BBBAF}
 - C:\Program Files\WIDCOMM\Bluetooth Software\bin\TU.dll

 

추가적으로 설치되는 TU.dll 파일과 관련하여 프로세스 정보를 살펴보면 Internet Explorer 실행시 iexplore.exe 프로세스에 BHO 방식으로 추가하여 동작하는 것을 확인할 수 있습니다.

해당 악성 프로그램은 삭제 기능을 제공하지 않으므로 유명 보안 제품을 통한 진단 및 치료를 하시기를 권장하며, 수동 삭제시에는 Internet Explorer를 완전히 종료한 상태에서 제시된 폴더, 파일, 레지스트리 항목을 삭제하시기 바랍니다.

 

[생성 레지스트리 등록 정보]

HKEY_CLASSES_ROOT\CLSID\{D045A6CC-D55C-4312-A987-B663549BBBAF}
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - takemng = C:\WINDOWS\system32\service\takemng.exe
HKEY_CURRENT_USER\Software\takemng
HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D045A6CC-D55C-4312-A987-B663549BBBAF}


해당 악성코드의 경우 공개적으로 알려진 Bluetooth, Microsoft와 관련된 이름으로 위장을 하고 있으므로 단순히 폴더(파일) 이름으로 구분하기 어렵게 구성되어 있습니다.

그러므로 컴퓨터에 원치않는 수상한 프로그램이 설치되거나 동작이 확인된 경우 보안 제품을 통한 시스템 정밀 검사를 통해 악성 여부를 판단하시거나, 바이러스토탈(VirusTotal) 서비스에 의심스러운 파일을 업로드하여 검사를 하시기 바랍니다.

  • ㅇL는여자 2011.02.13 23:57 댓글주소 수정/삭제 댓글쓰기

    와아..이름까지 똑같네..;; 제가 이거때문에.. 블루투스 설치에 애를 먹고 있답니다...ㅜㅜ 처음엔 블루투스드라이버가 느낌표로 떠서..다시 설치해주면 되겠거니하고 지우고 설치하고 재부팅해도 역시 느낌표...;; 아예 블투스 드라이버랑 프로그램지우고 재부팅해도.. 마치 악성코드마냥 자동으로 WIDCOMM 블루투스 드라이버 설치...;;ㅜ


    이거 해결책은 뭔가요.. 본문대로 레지스트리검색해보니.. 없더라구요..ㅜㅜ제

    • 블루투스 드라이브에 느낌표가 떴다는 것은 연결 문제나 드라이버 파일 문제가 아닌가 생각됩니다.

      여기서 작성한 글은 이름은 유사한지 모르겠지만, 말씀하시는 현상과는 좀 거리가 있어 보입니다.

      그래서 레지 정보 등이 없을 것으로 생각됩니다.^^;

  • ㅇL는여자 2011.02.14 18:29 댓글주소 수정/삭제 댓글쓰기

    아웅.. 빠른 답변 감사합니당ㅎㅎ..

    장치관리자에서 블루투스 모듈 -> 속성 들어가면

    이 하드웨어 장치의 구성 정보(레지스트리에 있는)가 완전하지 않거나 손상되어 이 장치를 시작할 수 없습니다. (코드 19) 라고 되어있어요.. ㅜㅜ

    윈7 32비트에요..ㅎ꼭 좀 도와주셔요.........................ㅠㅠㅠ

  • 어렵네요 2013.03.22 21:45 댓글주소 수정/삭제 댓글쓰기

    만약 프로그램 제거에 widcomm bluetooth software 이라는게 있다면 지우라는 말인가요?
    지워도 블루투스 이용에 지장이 없나요?

  • 비밀댓글입니다

    • 여기에서 언급한 WIDCOMM Bluetooth Software 프로그램은 이미 8년전에 나왔던 국내 광고 프로그램 프로그램입니다.

      아마도 유사한 이름을 가진 정상 프로그램과 혼동하신 것이 아닌가 싶습니다.

      혹시 불안하시면 백신 프로그램을 이용하여 정밀 검사를 해보시거나 MZK 도구(http://cafe.naver.com/malzero/94376)로 검사해 보시기 바랍니다.