본문 바로가기

벌새::Analysis

국내 악성코드 : Infocon

반응형
국내에서 제작되어 특정 웹하드 추천인 아이디를 통한 금전적 수익을 위해 배포가 이루어지고 있는 Infocon 프로그램에 대해 살펴보도록 하겠습니다.

해당 프로그램은 외형상 정상적인 프로그램의 모습을 갖추고 있지만, 프로그램에서 제공하는 삭제 기능을 이용하여 삭제하여도 프로그램의 핵심인 추천인 아이디와 관련된 즐겨찾기, 바탕화면 바로가기 아이콘이 그대로 사용자 컴퓨터에 노출되어 계속적인 수익을 추구할 가능성이 있습니다.

Infocon 프로그램 설치 파일(MD5 : 9032dd07461286dfc9d4dae2c614a663)에 대하여 안철수연구소(AhnLab) V3 보안 제품에서는 Malware/Win32.Generic (VirusTotal : 13/43) 진단명으로 사전 차단을 하고 있습니다.

참고로 해당 프로그램은 최근 배포되는 국내 특정 웹하드와 동일한 바로가기 아이콘을 사용하고 있는 특징을 가지고 있으므로 참고하시기 바랍니다.

[생성 파일 등록 정보]

C:\Program Files\infocon\CoreCon.dll
C:\Program Files\infocon\infocon.exe
C:\Program Files\infocon\infocon_uninstall.exe
C:\WINDOWS\ccicon.ico
C:\Documents and Settings\(사용자 계정)\Favorites\최신영화무료다운.url
C:\Documents and Settings\(사용자 계정)\바탕 화면\최신영화무료다운.url

[관련 URL 정보]

h**p://www.easy****.co.kr/infocon/infocon.exe
h**p://www.easy****.co.kr/infocon/infocon_uninstall.exe
h**p://www.easy****.co.kr/infocon/CoreCon.dll
h**p://www.easy****.co.kr/infocon/ccicon.ico
h**p://www.easy****.co.kr/infocon/count.asp?act=install&exe=babacc2
h**p://www.easy****.co.kr/infocon/Xml/update_i001.xml
h**p://www.easy****.co.kr/infocon/count_live.asp?exe=babacc2
h**p://www.easy****.co.kr/infocon/count.asp?act=uninstall&exe=babacc2

해당 프로그램은 Windows 시작시 infocon.exe 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.

설치된 프로그램은 바탕화면, 즐겨찾기 항목에 팝콘 모양의 [최신영화무료다운] 바로가기 아이콘을 생성하며, 등록된 URL 정보에서는 특정 추천인 정보가 포함되어 있는 것을 확인할 수 있습니다.

Internet Explorer 상에서 확인을 해보면 즐겨찾기와 명령 모음에 [최신영화무료다운] 바로가기 아이콘이 생성되어 있는 것을 추가로 확인할 수 있습니다.

[추가 기능 관리 : 도구 모음 및 확장 프로그램]

최신영화무료다운

 - 게시자 : 알 수 없음
 - CLSID : {8831B7DF-2E3F-491C-9A45-AD0307E95541}
 - 파일 : C:\Program Files\infocon\CoreCon.dll

프로세스 정보를 살펴보면 사용자가 Internet Explorer를 실행할 경우 iexplore.exe 프로세스에 CoreCon.dll 파일을 BHO 방식으로 등록하여 동작하는 것을 확인할 수 있습니다.

프로그램 삭제시에는 반드시 Internet Explorer를 종료한 상태에서, 제어판의 [infocon] 삭제 항목을 이용하여 삭제하실 수 있습니다.

하지만 프로그램 삭제 후에도 추가적으로 다음과 같은 폴더, 파일을 수동으로 삭제하시기 바랍니다.

C:\Program Files\infocon
C:\Program Files\infocon\infocon_uninstall.exe
C:\WINDOWS\ccicon.ico
C:\Documents and Settings\(사용자 계정)\Favorites\최신영화무료다운.url
C:\Documents and Settings\(사용자 계정)\바탕 화면\최신영화무료다운.url

특히 해당 프로그램의 배포 목적인 추천인 아이디가 등록된 웹하드 바로가기 항목이 여전히 존재하므로 프로그램 삭제에 문제가 있다고 할 수 있습니다.

[생성 레지스트리 등록 정보]

HKEY_CLASSES_ROOT\CLSID\{8831B7DF-2E3F-491C-9A45-AD0307E95541}
HKEY_CLASSES_ROOT\CoreCon.CCHelper
HKEY_CLASSES_ROOT\CoreCon.CCHelper.1
HKEY_CLASSES_ROOT\Interface\{2FEC889B-2D71-4E44-BD2F-70E493D7BBBE}
HKEY_CLASSES_ROOT\TypeLib\{9B031F28-61A6-45D9-8BCD-A283B63BC47F}
HKEY_CURRENT_USER\Software\infocon
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - infocon = C:\Program Files\infocon\infocon.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\infocon
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{8831B7DF-2E3F-491C-9A45-AD0307E95541}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{8831B7DF-2E3F-491C-9A45-AD0307E95541}

일반적으로 특정 프로그램을 통해 생성되는 웹하드 바로가기는 대다수가 프로그램 배포자에게 금전적 수익으로 연결될 수 있으므로 사용자의 판단이 중요하리라 생각됩니다.

728x90
반응형
  • 벌새님 이글 다음뷰 베스트됬네요. 축하드립니다.

  • 질문요 2010.09.01 10:48 댓글주소 수정/삭제 댓글쓰기

    안녕하세요 항상 유용한 정보를 주셔서 감사히 잘 보고 있습니다
    다름이 아니라 궁금한게 있는데요
    분석글중에서 해당툴이 설치되면서 어떠한 파일들이 설치되고 하는 뷰 기능이 있던 툴을 사용하시던데요?
    그 툴 이름좀 알수 있을까요?

    • 안녕하세요.

      해당 프로그램은 Sandboxie라는 프로그램입니다.

      블로그에 해당 프로그램에 대해 소개를 한 내용이 있으니 참고하시기 바랍니다.

      http://www.sandboxie.com/

  • 질문요 2010.09.01 10:59 댓글주소 수정/삭제 댓글쓰기

    예를 들면 setup.exe 파일이 설치되면 program files 밑에 어떤한 설치파일들이 생성되고 이러한 정보를 알고 싶은데 확인 가능한 툴이 있나요?

  • 질문요 2010.09.01 13:44 댓글주소 수정/삭제 댓글쓰기

    답변 감사합니다
    하나만 더 물어볼께요
    sandboxie 툴을 설치했는데 어떤 메뉴를 사용해야 되나요?
    이것저것 해봤는데 모르겠네요 ㅠㅠ