본문 바로가기

벌새::Analysis

국내 악성코드 : Win-Trojan/Atraps.465920 (AhnLab V3)

반응형
국내 검색 도우미 프로그램 서버에서 다운로드가 이루어지고 있는 것으로 확인된 Win-Trojan/Atraps.465920 (AhnLab V3) 악성코드에 대해 살펴보도록 하겠습니다.

해당 악성코드가 설치된 경우 삭제 기능이 존재하지 않으며, 테스트 과정에서는 인터넷 상에서 검색을 시도할 경우 오류창을 유발하는 것을 확인할 수 있습니다.

참고로 설치 파일(MD5 : b29c377ffddb96b6211da9dcc32abbbc)에 대하여 안철수연구소(AhnLab) V3 보안 제품에서는 Win-Trojan/Atraps.465920 (VirusTotal : 33/42) 진단명으로 진단하고 있습니다.


해당 프로그램은 [C:\Program Files\sfg] 폴더에 파일을 생성하고 있으며, Windows 시작시 sfg.exe 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.

[sfg.exe 네트워크 연결 정보]

GET /files_sfg/update.php HTTP/1.1
Content-Type: text/html
Host: www.linkchoice.co.kr
Accept: text/html, */*
User-Agent: Mozilla/3.0 (compatible; Indy Library)

GET /files_sfg/probability.tmp HTTP/1.1
Content-Type: text/html
Host: linkchoice.co.kr
Accept: text/html, */*
User-Agent: Mozilla/3.0 (compatible; Indy Library)

sfg.exe 파일은 특정 서버에서 probability.tmp 파일을 다운로드 시도하고 있으며, 현재는 정상적인 정보를 받아오지는 못하는 것으로 추정됩니다.


프로그램의 동작 방식은 사용자가 Internet Explorer를 통한 검색을 시도할 경우 iexplore.exe 프로세스 자식으로 osg.exe 프로세스를 생성하는 동작을 통해 웹 브라우저상에서 광고 노출 등의 악의적인 동작을 할 것으로 추정됩니다.

테스트에서는 osg.exe 프로세스 생성 과정에서 오류가 발생하여 자동으로 종료되는 현상을 확인할 수 있었습니다.


[추가 기능 관리 : 도구 모음 및 확장 프로그램]

{C2123B2D-F001-4330-85FE-0E80C07817CC}
 - 게시자 : 알 수 없음
 - CLSID : {C2123B2D-F001-4330-85FE-0E80C07817CC}
 - 파일 : C:\Program Files\sfg\sfg.dll


프로그램은 추가적으로 iexplore.exe 프로세스에 [C:\PROGRA~1\sfg\sfg.dll] 파일을 BHO 방식으로 추가하여 동작하는 것을 확인할 수 있습니다.

프로그램에서는 삭제 기능 자체를 지원하지 않고 있으므로, 사용자는 수동 삭제시 반드시 Internet Explorer를 종료한 상태에서 폴더, 파일, 레지스트리 항목을 수동으로 제거하시기 바랍니다.

[생성 레지스트리 등록 정보]

HKEY_CLASSES_ROOT\CLSID\{C2123B2D-F001-4330-85FE-0E80C07817CC}
HKEY_CURRENT_USER\Software\sfg
HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C2123B2D-F001-4330-85FE-0E80C07817CC}
HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Run
 - sfg = C:\Program Files\sfg\sfg.exe
728x90
반응형