본문 바로가기

벌새::Analysis

국내 악성코드 : P2P-Worm.Win32.Palevo.bhnc (Kaspersky)

국내 토렌트(Torrent) 공유 관련 사이트에서 제공하는 ActiveX를 통해 유포되어 설치가 이루어지는 [Windows IEK (Random 4자리 영문) Uninstall] 프로그램에 대해 살펴보도록 하겠습니다.

[유포 경로]

h**p://down.iekey****.com/setup/k004_trb1/torrenbada.cab
 ㄴ h**p://down.iekey****.com/setup/k004_trb1/setup.exe

인터넷 사용자가 해당 ActiveX가 노출되는 페이지에 접속할 경우 실제 어떤 프로그램이 설치될지 확인하기 매우 어려운 이름으로 설치를 유도하며, 다음과 같은 파일을 생성합니다.

[생성 파일 등록 정보]

C:\WINDOWS\Downloaded Program Files\torrenbada.inf
C:\WINDOWS\System32\KoreaInternet Active.dll
C:\Documents and Settings\(사용자 계정)\Application Data\(Random 4자리 영문).exe :: 시작 프로그램 등록 파일
C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\setup.exe

ActiveX를 통해 [C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\setup.exe] 파일을 다운로드하여 최종적으로 [C:\Documents and Settings\(사용자 계정)\Application Data] 폴더에 랜덤(Random)한 PE 파일을 생성합니다.

[C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\setup.exe 파일 정보]

SHA1 : 55290298241d7b6165b8ab7c5500310d53f3d0fe
SHA1 : 2e7232b09455a11ae0a7052eef964321f1d78858
SHA1 : 2dceffa6ae12744754431f6b3da30d2056b87239

다운로드되는 setup.exe 파일을 다양한 파일 크기를 가지고 있으며, 안철수연구소(AhnLab) V3 보안 제품에서 Worm/Win32.Palevo (VirusTotal : 7/43) 진단명으로 진단되며, Kaspersky 보안 제품에서는 P2P-Worm.Win32.Palevo.bhnc 진단명으로 진단되고 있습니다.

해당 setup.exe 파일은 [C:\Documents and Settings\(사용자 계정)\Application Data\(Random 4자리 영문).exe] 파일을 등록하여, Windows 시작시 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.

참고로 랜덤(Random) 파일명은 azxa.exe / garr.exe / wfti.exe 파일로 확인이 되므로 참고하시기 바랍니다.


해당 ActiveX를 통한 사용자 PC에 설치된 일부 환경에서는 사용자가 ActiveX 유포 사이트에 재접속할 경우 [IID_IShellWindows] 에러 메시지창을 생성하거나, [게시자를 알 수 없는 다음 프로그램이 이 컴퓨터를 변경할 수 있도록 허용하시겠습니까?]라는 메시지를 표시하는 것으로 알려져 있습니다.

실제 해당 프로그램은 국내에서 제작된 광고 프로그램을 설치하거나 기타 프로그램을 설치할 수 있는 문제점이 존재할 것으로 추정되므로 사용자 PC에 다음과 같은 제어판 삭제 항목이 존재할 경우 삭제를 권장합니다.

제어판의 삭제 항목 중 [Windows IEK azxa Uninstall], [Windows IEK garr Uninstall], [Windows IEK wfti Uninstall]와 같은 유사한 항목이 존재하는지 확인이 필요합니다.

[생성 레지스트리 등록 정보]

HKEY_CLASSES_ROOT\AppID\KoreaInternetActive.DLL
HKEY_CLASSES_ROOT\AppID\{AE5A9031-5779-4CD9-A0CA-54B60A215D1B}
HKEY_CLASSES_ROOT\CLSID\{35A864C9-B847-4EA0-BDA5-15E7F42DA263}
HKEY_CLASSES_ROOT\CLSID\{3FDAABB1-025A-41AA-94A9-D9F148F36DA9}
HKEY_CLASSES_ROOT\Interface\{35A864C9-B847-4EA0-BDA5-15E7F42DA263}
HKEY_CLASSES_ROOT\KoreaInternetActive.KoreaInternetActi.1
HKEY_CLASSES_ROOT\KoreaInternetActive.KoreaInternetActive
HKEY_CLASSES_ROOT\TypeLib\{135289E4-EF0C-402E-8FB3-3792F609D40D}
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\International
 - W2KLpk = 1
HKEY_LOCAL_MACHINE\software\Microsoft\Code Store Database\Distribution Units\{3FDAABB1-025A-41AA-94A9-D9F148F36DA9}
HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\ModuleUsage\
C:/WINDOWS/System32/KoreaInternetActive.dll
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - (기본값) = C:\Documents and Settings\(사용자 계정)\Application Data\(Random 4자리 영문).exe
HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Uninstall\(Random 4자리 영문)

[변경 전 레지스트리 등록 정보]

HKEY_CURRENT_USER\Software
 - (기본값) =

[변경 후 레지스트리 등록 정보]

HKEY_CURRENT_USER\Software
 - (기본값) =
 - idt = (12자리 숫자)
 - Location =
 - pid = trb1
 - prj = 4
 - ver = 1.0.0.5

위와 같이 인터넷 사이트에서 제공하는 ActiveX 설치 방식 중에서 정확하게 무슨 기능을 하는지 제대로 알지 못할 경우에는 설치를 절대로 하지 마시기 바라며, 기본적으로 해당 ActiveX를 설치하지 않고 해당 사이트 이용에 문제가 없는지부터 확인하는 습관을 가지시기 바랍니다.