본문 바로가기

벌새::Analysis

국내 악성코드 : JSide

반응형

국내에서 제작되어 웹 브라우저 하단에 옥션 추천 상품 광고바 생성 및 특정 광고 코드를 통한 수익을 유발하는 것으로 추정되는 키워드 광고 프로그램 JSide에 대해 살펴보도록 하겠습니다.

 

해당 프로그램은 기존에 살펴본 사이드온(SideOn), 사이드그린(SideGreen) 프로그램과 유사성이 강하므로 참고하시기 바라며, 해당 설치 파일(MD5 : 8b11ce6d7b70db4de19b7933018b1387)에 대하여 nProtect 보안 제품에서는 Trojan-Downloader/W32.Genome.13312.AJ (VirusTotal : 29/43) 진단명으로 진단하고 있습니다.

 

[관련 URL 정보]

h**p://file.side**.co.kr/dst/JSide_JS10.exe
h**p://jside.side**.co.kr/update/JS10/JSide.ini
h**p://jside.side**.co.kr/install.asp?version=1.0.0.1&id=JS10&mac=(사용자 Mac Address)
h**p://jside.side**.co.kr/elist.ini
h**p://bbar.wise***.co.kr/malldata.dat
h**p://jside.side**.co.kr/uninstall.asp?version=1.0.0.1&id=JS10&mac=(사용자 Mac Address)

 

 

[생성 파일 진단 정보]

C:\Program Files\JSide\JHelper.dll (MD5 : 32d9465ae8fb3a235d7da14581984a4a)
 - nProtect : Backdoor/W32.Agent.110592.BZ (VirusTotal : 25/43)

C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\JSide_JS10.exe (MD5 : df9bd4ce6e40474b70a4f77c33e3b3bc)
 - nProtect : Backdoor/W32.Agent_Packed.96768 (VirusTotal : 27/43)

 

해당 프로그램은 Windows 시작시 JSide.exe 파일을 시작 프로그램으로 등록하여 자동 실행되며, 해당 파일은 메모리에 상주하도록 구성되어 있습니다.

프로그램이 설치된 상태에서 사용자가 웹 브라우저를 실행할 경우 추가적으로 암호화된 광고 코드가 포함된 elist.ini / malldata.dat 파일을 다운로드하는 동작을 확인할 수 있습니다.

프로그램이 설치된 환경에서 사용자가 검색 엔진에 특정 검색어를 입력할 경우, 웹 브라우저 하단에 옥션 추천 상품 관련 광고바가 생성되는 동작을 확인할 수 있습니다.

 

[추가 기능 관리 : 도구 모음 및 확장 프로그램]

JHelperCtl Class

 - 게시자 : 알 수 없음
 - CLSID : {A4686874-F612-4131-A62E-B47B2A67E7C4}
 - 파일 : C:\Program Files\JSide\JHelper.dll

JSide
 - 게시자 : 알 수 없음
 - CLSID : {1AD9192B-9303-4740-B1DC-A76F97374131}
 - 파일 : C:\Program Files\JSide\JSide.dll

프로세스 정보를 살펴보면 JSide.exe 프로세스는 메모리에 상주하며, 사용자가 Internet Explorer를 실행할 경우 iexplore.exe 프로세스에 JHelper.dll 파일을 BHO 방식으로 추가하여 동작하는 것을 확인할 수 있습니다.

프로그램 삭제시에는 작업 관리자에서 JSide.exe 프로세스 수동 종료 및 모든 Internet Explorer를 완전히 종료한 상태에서, 제어판의 [JSide] 삭제 항목을 이용하여 삭제하실 수 있습니다.

프로그램 삭제 후에는 추가적으로 [C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\JSide_JS10.exe] 파일을 보안 제품을 통한 진단 및 치료 또는 수동으로 삭제하시기 바랍니다.

[생성 레지스트리 등록 정보]

HKEY_CLASSES_ROOT\CLSID\{1AD9192B-9303-4740-B1DC-A76F97374131}
HKEY_CLASSES_ROOT\CLSID\{A4686874-F612-4131-A62E-B47B2A67E7C4}
HKEY_CLASSES_ROOT\Interface\{76095739-BF34-4DB2-9FE8-3DE123FAE241}
HKEY_CLASSES_ROOT\Interface\{AF4C37A8-EA66-44C3-B906-75B98C4802DB}
HKEY_CLASSES_ROOT\JHelper.JHelperCtl
HKEY_CLASSES_ROOT\JHelper.JHelperCtl.1
HKEY_CLASSES_ROOT\JSide.JBand
HKEY_CLASSES_ROOT\JSide.JBand.1
HKEY_CLASSES_ROOT\TypeLib\{2163E79A-1A68-471D-84F0-34945AC587AB}
HKEY_CLASSES_ROOT\TypeLib\{AEB2539F-6A26-4B0B-B12B-0D1E8F988D2E}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{A4686874-F612-4131-A62E-B47B2A67E7C4}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - JSide = C:\Program Files\JSide\JSide.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\JSide


해당 프로그램이 설치된 경우 프로그램에 등록된 특정 인터넷 쇼핑몰에서 특정 조건이 만족될 경우, 프로그램 배포자에게 금전적 수익이 발생할 것으로 추정되므로 사용자들은 프로그램 삭제를 권장합니다.

728x90
반응형