본문 바로가기

벌새::Analysis

국내 악성코드 : 개인정보 보안 솔루션 PC트러블(PCTrouble)을 몰래 설치하는 Oceantwelve

반응형
국내에서 제작되어 유포되는 악성코드 Win-Adware/Cn8cls.236544 (AhnLab V3)를 통해 개인정보 보안 솔루션 PC트러블(PCTrouble) 프로그램이 사용자 몰래 설치되는 것을 확인하였습니다.

기존에 Win-Adware/Cn8cls.236544 악성코드를 분석하면서 해당 악성코드는 실행시마다 다양한 악성 프로그램을 사용자 몰래 설치하는 동작이 있을 수 있다고 하였으며, 이번에는 정상적인 보안 프로그램으로 제작사 홈페이지에서 서비스하면서 위와 같은 다른 경로를 통해 설치가 이루어지고 있는 것을 확인할 수 있습니다.

[관련 URL 정보]

h**p://115.**.2.**/pct/pcpost.exe
h**p://update.pc*******.co.kr/setupa/pctroublesetup_pcpost.exe
h**p://00****.co.kr/count/insert.php?pid=oceantwelve&kind=1
h**p://pc*******.co.kr/etc/yak_app.htm
h**p://HM.it****.com/APP/ck_setup.php?m=(사용자 Mac Address)&d=pc*******.co.kr&a=pcpost
h**p://pc*******.co.kr/value.php?strMode=setup&strID=pcpost&strPC=(사용자 Mac Address)&strSite=pc*******.co.kr
h**p://00****.co.kr/module/oceantwelve/update.php
h**p://00****.co.kr/count/insert.php?pid=oceantwelve&kind=4
h**p://update.pc*******.co.kr/ver
h**p://update.pc*******.co.kr/bin/pctroubleU.exe
h**p://update.pc*******.co.kr/bin/pctrouble.exe
h**p://update.pc*******.co.kr/bin/uninst_pctrouble.exe
h**p://update.pc*******.co.kr/bin/pctroubleBK.exe
h**p://update.pc*******.co.kr/bin/pctroubledm.exe
h**p://update.pc*******.co.kr/bin/trackingsitedata
h**p://update.pc*******.co.kr/bin/ubdata
h**p://update.pc*******.co.kr/bin/mdata.dat
h**p://pc*******.co.kr/value.php?strMode=run&strID=pcpost&strPC=(사용자 Mac Address)
h**p://pc*******.co.kr/settle.php?strID=pcpost&strPC=(사용자 Mac Address)&strSite=
h**p://update.pc*******.co.kr/alarmpart
h**p://update.pc*******.co.kr/psime

해당 URL 분석 경로를 간단하게 살펴보면 초기 Win-Adware/Cn8cls.236544 악성코드가 사용자 컴퓨터에서 실행되는 과정에서 특정 서버에서 pcpost.exe(MD5 : 280e91db2729ab32de39a7ce1afefcc5) 파일을 다운로드한 후, 해당 파일은 다시 PC트러블 업체 서버에서 pctroublesetup_pcpost.exe(MD5 : 82d84b42109c4227ad14aea741b11f61) 설치 파일을 다운로드하여 최종적으로 설치가 이루어지도록 구성되어 있습니다.

설치가 완료된 개인정보 보안 솔루션 PC트러블(PCTrouble) 프로그램과 관련된 정보는 이전에 분석한 게시물을 참고하시기 바라며, 해당 설치 과정 중에 [C:\Documents and Settings\(사용자 계정)\Application Data\oceantwelve\oceantwelve.exe] 파일을 추가적으로 설치하는 동작을 확인할 수 있습니다.

이는 PC트러블 제작사 홈페이지에서 공개한 설치 파일에서는 발견되지 않는 파일로 oceantwelve.exe(MD5 : 481035332c87b933f7d21344bba6a2e8) 파일은 다음과 같은 동작을 하고 있습니다.

[oceantwelve.exe 네트워크 연결 정보]

GET /module/oceantwelve/update.php HTTP/1.1
User-Agent: iexplore
Host: 001100.co.kr
Cache-Control: no-cache

[Oceantwelve 관련 생성 레지스트리 등록 정보]

HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\Run
 - oceantwelve = C:\Documents and Settings\(사용자 계정)\Application Data\oceantwelve\oceantwelve.exe
HKEY_LOCAL_MACHINE\software\oceantwelve

즉, Windows 시작시 oceantwelve.exe 파일을 시작 프로그램으로 등록하여 특정 서버에서 업데이트 관련 정보를 체크하는 동작을 하고 스스로 종료하도록 구성되어 있습니다.

이는 PC트러블 파트너 계약을 맺은 배포자와 연관된 것으로 추정되며 설치(삭제) 관련 정보를 체크하는 것으로 추정됩니다.

이렇게 설치된 PC트러블 프로그램은 업체 홈페이지에서 공개한 설치 파일과 비교하여 해당 경로를 통해 설치된 경우에는 시작 프로그램 등록이 자동으로 체크되어 있다는 점이 다른점입니다.

또한 진단된 항목에 대하여 유료 결제를 통한 치료를 하지 않을 경우 제작사 홈페이지에 공개된 설치 파일을 통한 동작 방식과는 다르게 일정 시간 주기로 시스템 트레이 상단에 팝업창을 생성하여 정상적인 컴퓨터 사용에 방해가 될 수 있습니다.

이처럼 국내 보안 제품으로 불리우는 다수의 프로그램들 중에는 비정상적인 배포 과정을 통해 사용자 몰래 설치되고 유료 결제를 유도하는 과정에서 정상적인 컴퓨터 사용을 방해하거나 매번 다양한 프로그램이 설치되는 동작이 발생할 수 있습니다.

그러므로 자신의 컴퓨터에 동의없이 설치되는 각종 악성코드 치료 프로그램, 개인정보 보안 솔루션 관련 프로그램이 발견되면 해당 프로그램만을 제거하지 마시고, 추가적으로 설치된 이들 프로그램을 다운로드하는 악성코드를 찾아서 함께 제거를 하시기 바랍니다.

728x90
반응형
  • 벌새님의 분석실력을 잘보고 갑니다.최근에는 정신이 없어서 악성코드 신고하는것도 힘들어 죽겠습니다.ㅠㅠ