본문 바로가기

벌새::Analysis

국내 악성코드 : TrojanDownloader:Win32/Parkchicers 시리즈 - GP Core COM object

반응형
국내에서 제작되어 설치시 사용자 몰래 각종 광고 프로그램 등 금전적 수익을 목적으로하는 악의적인 동작이 이루어지는 TrojanDownloader:Win32/Parkchicers 시리즈 악성코드가 계속적으로 발견되고 있습니다.
 

참고로 TrojanDownloader:Win32/Parkchicers 악성코드 시리즈에 대해서는 이전의 정보를 참고하시기 바랍니다.

해당 악성코드는 최초 특정 유포 경로를 통하여 사용자 PC에 ppcrlcon.exe (MD5 : 8ab555acd6fb89f3f71f55d33bd88da1) 파일이 다운로드되면 해당 파일은 [C:\ProgramData\Microsoft\IdentityCRL\production\ppcrl\ppcrlcon.exe] 경로에 설치가 이루어지며, 시작 프로그램 등록을 통해 자동 실행되도록 구성됩니다.

참고로 해당 파일에 대하여 마이크로소프트(Microsoft) 보안 제품에서 TrojanDownloader:Win32/Parkchicers.A (VirusTotal : 19/43) 진단명으로 진단되고 있으므로 참고하시기 바랍니다.

 

[생성 폴더 / 파일 등록 정보]

C:\Program Files\Common Files\Microsoft Shared\(Random 영문 파일명).exe :: 시작 프로그램 등록 파일
C:\ProgramData\Microsoft\IdentityCRL\production\ppcrl\ppcrlcon.exe :: 시작 프로그램 등록 파일

[생성 레지스트리 등록 정보]


HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - (Random 영문 파일명) = C:\Program Files\Common Files\Microsoft Shared\(Random 영문 파일명).exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce

 - ppcrlcon = C:\ProgramData\Microsoft\IdentityCRL\production\ppcrl\ppcrlcon.exe
HKEY_CURRENT_USER\Software\ppcrlcon

 

ppcrlcon.exe 파일은 실행시 [h**p://221.***.48.***/hpgpcom.exe] 파일을 다운로드하여 [C:\Program Files\Common Files\Microsoft Shared] 폴더 내에 임의(Random)의 파일명으로 구성되는 파일을 자가 복제합니다.

MD5 : b680b72d834a321a5e9d9024cba58b3d

참고로 hpgpcom.exe (MD5 : b680b72d834a321a5e9d9024cba58b3d) 파일에 대하여 안철수연구소(AhnLab) V3 보안 제품에서는 Downloader/Win32.Generic (VirusTotal : 13/42) 진단명으로 진단되고 있으므로 참고하시기 바라며, 테스트시에 생성된 hpaoi.exe 파일(hpgpcom.exe 자가 복제 파일)은 HP 업체에서 제작한 파일로 위장하고 있으며, GP Core COM object 라는 이름으로 등록되어 있습니다.

해당 파일 역시 시작 프로그램으로 등록하여 자동 실행되며, 추가적으로 다음의 파일들을 사용자 몰래 다운로드하여 설치가 이루어집니다.

 

  • h**p://221.***.48.***/shopping/linkfile/fslinker.exe :: 인터넷 쇼핑몰 바로가기
  • h**p://pinsearch.util-***.com/pssetup_partner5_.exe :: PinGuide / PinSearchUp 프로그램 생성

참고로 해당 설치 프로그램은 악성코드 배포자의 의도에 따라 변경될 수 있습니다.

 

[C:\Program Files\Common Files\Microsoft Shared\(Random 영문 파일명).exe 파일이 사용자 몰래 설치하는 프로그램 생성 폴더 / 파일 등록 정보]

C:\Program Files\PinGuide\PinGuide.dll :: BHO 등록 파일
C:\Program Files\PinGuide\PinGuide.exe :: PinGuide 시작 프로그램 등록 파일 / 메모리 상주 프로세스
C:\Program Files\PinGuide\uninstall.exe :: PinGuide 프로그램 삭제 파일
C:\Program Files\PinSearchUp\PinGuide__PG17.exe

C:\Program Files\PinSearchUp\PinSearchLaunch.exe
C:\Program Files\PinSearchUp\PinSearchUp.exe :: PinSearchUp 시작 프로그램 등록 파일
C:\Program Files\PinSearchUp\uninst.exe :: PinSearchUp 프로그램 삭제 파일
C:\WINDOWS\11st.ico

C:\WINDOWS\auction.ico
C:\WINDOWS\gmarket.ico
C:\Documents and Settings\(사용자 계정)\Favorites\11번가.lnk
C:\Documents and Settings\(사용자 계정)\Favorites\옥션.lnk
C:\Documents and Settings\(사용자 계정)\Favorites\지마켓.lnk
C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\PinGuide_PG17.exe
C:\Documents and Settings\(사용자 계정)\바탕 화면\11번가.lnk
C:\Documents and Settings\(사용자 계정)\바탕 화면\옥션.lnk
C:\Documents and Settings\(사용자 계정)\바탕 화면\지마켓.lnk

 

[생성 파일 진단 정보]

C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\PinGuide_PG17.exe (MD5 : 74b0a7d160e44f61a084b5163f8a9299)

 - AhnLab V3 : Trojan/Win32.Gen (VirusTotal : 25/41)

프로그램이 설치된 환경에서는 Internet Explorer 즐겨찾기에 11번가, 옥션, 지마켓 인터넷 쇼핑몰 바로가기가 생성되며, 인터넷 검색시 좌측 사이드바에 PinGuide 프로그램이 광고를 생성하는 것을 확인할 수 있습니다.

즐겨찾기와 바탕화면에 생성되는 인터넷 쇼핑몰 바로가기의 경우 그림과 같이 특정 광고 코드가 포함되어 해당 바로가기를 통해 접속한 경우 특정 조건이 만족될 경우 프로그램 배포자에게 금전적 수익이 발생할 것으로 추정됩니다.

PinGuide 사이드바형 광고 프로그램과 함께 설치된 PinSearchUp 프로그램은 PinSearchUp.exe 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.

 

  • h**p://pinsearch.util-***.com/update/list.html
  • h**p://pinsearch.util-***.com/update/update_app.html

그 과정에서 국내 특정 공개 자료실형 서비스 업데이트 체크를 하는 것을 통해 일정 기간이 경과 후, 제휴(스폰서) 프로그램 설치가 이루어질 수 있으리라 추정됩니다.

사용자 몰래 설치된 3개의 프로그램 중 PinGuide 프로그램은 제어판을 통한 삭제가 정상적으로 이루어지지만, 프로그램 상에서는 삭제 기능을 제공하는 [PinSearchUp 1.0] 삭제 항목의 경우 프로그램 삭제가 전혀 이루어지지 않는 것으로 확인이 되므로 수동으로 삭제를 하셔야 합니다.

그 외 즐겨찾기와 바탕화면에 생성되는 인터넷 쇼핑몰 바로가기 역시 사용자가 수동으로 삭제를 하셔야 합니다.

 

참고로 PinGuide 프로그램 삭제와 관련된 세부적인 내용은 이전에 작성한 글을 함께 참고하시기 바랍니다.

 

[PinGuide / PinSearchUp 1.0 / 인터넷 쇼핑몰 바로가기 : 생성 레지스트리 등록 정보]

HKEY_CLASSES_ROOT\AppID\PinGuide.DLL
HKEY_CLASSES_ROOT\AppID\{0C04D1AA-E8EB-4B74-AF2C-E3D222F1517C}
HKEY_CLASSES_ROOT\CLSID\{FB9E1FD0-D88E-421A-81EC-C6AD2E8BA945}
HKEY_CLASSES_ROOT\CLSID\{FDB3CCE6-614A-45B5-B4C0-E24DF7C48B6A}
HKEY_CLASSES_ROOT\Interface\{57B08151-8416-48A1-8C67-D8E0F0C7927E}
HKEY_CLASSES_ROOT\Interface\{5CB4D119-679C-47F4-A432-B7D248C570D9}
HKEY_CLASSES_ROOT\PinGuide.PGBand
HKEY_CLASSES_ROOT\PinGuide.PGBand.1
HKEY_CLASSES_ROOT\PinGuide.PGHelper
HKEY_CLASSES_ROOT\PinGuide.PGHelper.1
HKEY_CLASSES_ROOT\TypeLib\{CAF519E9-9B10-4AE6-B0A7-1EF436D6F649}
HKEY_CURRENT_USER\Software\fslinker
HKEY_CURRENT_USER\Software\hpgpcom
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - PinSearchUp = C:\Program Files\PinSearchUp\PinSearchUp.exe
HKEY_CURRENT_USER\Software\PinGuide

HKEY_CURRENT_USER\Software\PinSearchUp
HKEY_CURRENT_USER\Software\pssetup_partner5_
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\PinSearchUp
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{FB9E1FD0-D88E-421A-81EC-C6AD2E8BA945}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - PinGuide = C:\Program Files\PinGuide\PinGuide.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\PinGuide

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\PinSearchUp

 

이런 악성코드에 감염된 경우 시스템 시작시 자동도 모르게 설치되는 다양한 광고, 보안 관련 프로그램 등으로 정상적인 PC 사용에 방해가 되거나, 자신도 모르게 프로그램 배포자의 금전적 수익에 도움을 주는 경우가 생길 수 있으므로 주의하시기 바랍니다.

728x90
반응형
  • C에 hpgpcom.exe 이 프로그램이 깔렸는데 어떻게삭제하나요??ㅠㅠ

    • 해당 파일 자체는 V3 등 보안 제품에서 진단을 통한 삭제가 가능합니다.

      정상적으로 해당 파일이 설치되었다면 추가적으로 다양한 광고 프로그램 등이 설치되었을 것으로 추정되며, 이런 부분은 사용자가 해당 내용을 참고하여 각각 제거해야 합니다.

      그리고 hpgpcom.exe 파일 자체는 그냥 사용자가 해당 파일을 찾아서 제거를 해버리면 됩니다. 단지 이 파일을 다운로드하는 ppcrlcon.exe 파일을 반드시 찾아 제거를 함께 하지 않으면 삭제 후에도 재설치가 이루어질 수 있습니다.