본문 바로가기

벌새::Analysis

국내 악성코드 : Windows Family Safety - WFP.exe

반응형
국내에서 제작된 특정 프로그램을 설치할 경우 사용자 몰래 함께 설치되는 것으로 추정되는 Windows Family Safety - WFP.exe 악성코드에 대해 살펴보도록 하겠습니다.

최초 사용자 PC의 특정 폴더에 몰래 설치되는 WFP.exe(1.0.0.4 버전) 파일(MD5 : 8f1aeb07d8c56dca11ba2c1af596e2bb)에 대하여 BitDefender 보안 제품에서는 Trojan.Generic.KDV.127828 (VirusTotal : 31/43) 진단명으로 진단되고 있습니다.

  • h**p://221.***.48.***/setup/WFP/WFP.exe
  • h**p://221.***.48.***/logdata/execute.php?m_origin=ADDNISUE&usr_id=AD&usr_gubun=I&serialno=MD~(생략)~E2&Pid=WFP&mac=
  • h**p://221.***.48.***/setup/WFP/Live.dli
해당 파일은 최초 자신을 시작 프로그램으로 등록하여 시스템 시작시 자동 실행되도록 구성하여 최종적으로 다음과 같은 폴더(파일), 레지스트리를 등록합니다.

[생성 폴더 / 파일 등록 정보]

C:\ProgramData\Windows\WFP\WFP.exe (MD5 : cd24a143c5967d3201640eb2abcaf823)

 - Microsoft : TrojanDownloader:Win32/Parkchicers.A (VirusTotal : 24/43)

C:\ProgramData\Windows Live\WFP\Live.dli

[생성 레지스트리 등록 정보]

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

 - WFP = C:\ProgramData\Windows\WFP\WFP.exe
HKEY_CURRENT_USER\Software\wfp
생성된 WFP.exe 파일은 Windows Family Safety라는 이름으로 1.0.0.6 버전까지 나온 것으로 추정되며, 자신을 시작 프로그램으로 등록하여 시스템 시작시마다 다음의 파일을 체크하도록 구성되어 있습니다.

[WFP.exe 네트워크 연결 정보]

GET /setup/WFP/Live.dli HTTP/1.1

User-Agent: WMUpdate
Host: 221.***.48.***
Connection: Keep-Alive
Cache-Control: no-cache

해당 연결 아이피(IP)는 국내 인터넷 쇼핑 관련 도우미 툴바(Toolbar)와 관련된 서버로 광고업자가 해당 파일을 사용자 PC에 몰래 설치하여 자신들이 원하는 프로그램을 임의대로 사용자 동의없이 설치할 목적으로 유포하는 것으로 추정됩니다.

특히 WFP.exe 파일을 진단하는 마이크로소프트(Microsoft) 진단명 TrojanDownloader:Win32/Parkchicers 시리즈는 예전부터 꾸준하게 확인되는 국내 악성코드 진단명으로 자신도 모르게 악성코드 제거 프로그램, 광고 노출 등의 악의적인 동작을 유발하는 경우 다양한 프로그램을 설치할 수 있습니다.

자신이 설치하지 않은 프로그램으로 인하여 PC를 이용할 때 불편을 주는 경우 문제의 프로그램만 삭제할 것이 아니라 이런 류의 프로그램을 함께 찾아서 제거를 해야지 재설치되는 일이 없으므로 참고하시기 바랍니다.

 

728x90
반응형