울지않는벌새 : Security, Movie & Society

무료 문자 보내요(Boneyo) 프로그램을 이용한 악성코드 유포 (2011.5.17)

벌새::Analysis
최근 정상적인 소프트웨어 설치 파일로 위장하여 사용자가 설치 과정에서 부주의를 유발하는 방식으로 제휴(스폰서) 프로그램을 설치하는 과정에서 악성코드를 추가하는 사례를 확인하였습니다.

해외 무료 시스템 최적화 프로그램을 이용한 추가 설치 프로그램 중 출처가 불확실한 경로를 통하여 무료 문자 보내요(Boneyo) 설치 파일(MD5 : 4ce5488048737fffcaea44e50e6bee79)이 다운로드되어 설치가 이루어질 수 있습니다.

[생성 폴더 / 파일 등록 정보]

C:\Documents and Settings\(사용자 계정)\Application Data\boproco
C:\Program Files\Boneyo
C:\Program Files\Boneyo\BoNeYo.exe
C:\Program Files\Boneyo\BoneyoSu.exe :: 시작 프로그램 등록 파일
C:\Program Files\Boneyo\skin
C:\Program Files\Boneyo\sqlite3.dll
C:\Program Files\Boneyo\uninstall.exe :: 프로그램 삭제 파일
C:\Program Files\proconsul
C:\Program Files\proconsul\proconsul.dll :: 서비스 등록 파일
[생성 레지스트리 등록 정보]

HKEY_LOCAL_MACHINE\SOFTWARE\Boneyo
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - Boneyo = C:\Program Files\Boneyo\BoneyoSu.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
Boneyo

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PROCONSUL
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\proconsul

해당 프로그램이 설치되면 [C:\Program Files\Boneyo] 폴더에 파일이 생성되며, 사용자가 인지하지 못하는 과정에서 추가적으로 [C:\Program Files\proconsul\proconsul.dll] 파일이 설치되는 것을 확인할 수 있습니다.

보내요 프로그램의 경우 Windows 시작시 BoneyoSu.exe파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있지만, 업데이트 체크 이외에 실제 프로그램 목록에 등록되지 않는 관계로 사용자가 [C:\Program Files\Boneyo\BoNeYo.exe] 파일을 직접 실행하지 않는 한 프로그램 실행은 이루어지지 않습니다.

참고로 BoNeYo.exe 파일 실행을 통해 프로그램을 실행하여도 로그인을 위한 회원 가입 등 정상적으로 프로그램을 이용할 수 없는 것으로 확인이 되고 있습니다.(※ 실제 해당 프로그램 제작사 사이트에서는 게시글에서 언급하는 설치 동작은 확인이 되지 않을 것으로 추정되며, 정상적으로 동작하는 프로그램일 것으로 생각됩니다.)

해당 무료 문자 프로그램 설치 과정에서 추가적으로 설치되는 [C:\Program Files\proconsul\proconsul.dll] 파일(MD5 : 2312d2ee119d76ea7dbb9fe9b8d5847a)은 서비스 항목으로 등록되어 시스템 시작시 자동 실행되도록 구성되어 있습니다.

해당 proconsul 서비스 항목을 보시면 Windows 동작시에는 서비스가 중지되어서 사용자가 설치 여부를 확인할 수 없으며, 단지 시스템 시작시 실행되어 사용자의 동의없이 추가적인 다운로드를 실행한 후 스스로 종료되는 방식으로 이루어져 있습니다.

[proconsul 서비스를 통해 추가된 생성 레지스트리 등록 정보]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
 - chowd = "C:\Documents and Settings\LocalService\Application Data\chowd\chowdhurys.exe"
 - clearvaccine_sl_sv = "C:\Documents and Settings\LocalService\Application Data\clearvaccine_Slient.exe"
 - go26 = "C:\Documents and Settings\LocalService\Application Data\GuideOn__GO26.exe"
 - ip44 = "C:\Documents and Settings\LocalService\Application Data\PostTip__IP44.exe"
 - saypoint_shop_sv = "C:\Documents and Settings\LocalService\Application Data\saypoint_shop_20110228.exe"
 - sm57 = "C:\Documents and Settings\LocalService\Application Data\SmartTool__SM57.exe"
 - sy10 = "C:\Documents and Settings\LocalService\Application Data\sy10\saypoint10_20110506_s.exe"

사용자 몰래 추가 다운로드되는 파일은 찾기 어려운 [C:\Documents and Settings\LocalService\Application Data] 폴더에 다운로드되며, RunOnce 레지스트리 등록을 통해 바로 설치가 이루어지지 않고 또 다시 시스템 재부팅 과정에서 설치가 이루어지도록 구성하여 사용자는 어떤 프로그램으로 인한 설치인지 전혀 눈치채기 어렵습니다.

[사용자 몰래 다운로드된 설치 파일 진단 정보]

C:\Documents and Settings\LocalService\Application Data\PostTip__IP44.exe (MD5 : c1277298f1b95b45ff1baac748028654)
 - nProtect : Trojan/W32.Agent.17504.B (VirusTotal : 19/42)

C:\Documents and Settings\LocalService\Application Data\GuideOn__GO26.exe (MD5 : 7d00fa7f2ece364991224e9243ea534e)
 - Hauri ViRobot : Trojan.Win32.Fosniw.146528 (VirusTotal : 19/41)

C:\Documents and Settings\LocalService\Application Data\saypoint10.exe (MD5 : 4f4eefa27632bd7bfb4de3cb93b9993b)
 - AhnLab V3 : Win-Adware/Shortcut.SayPoint.434659 (VirusTotal : 5/43)

C:\Documents and Settings\LocalService\Application Data\saypoint_shop_20110228.exe (MD5 : c6c19d09e81668bcdd80d46f7255a0ee)
 - AhnLab V3 : Adware/Win32.Agent (VirusTotal : 20/43)


또한 7가지 프로그램 설치 파일 다운로드 이외에 [C:\Program Files\botaojia\botaojia.dll] 파일을 추가적으로 설치하여 또 다른 서비스 등록 파일을 생성하여 시스템 시작시 사용자 몰래 추가적인 다운로드를 유도하는 행위를 하고 있습니다.

해당 botaojia.dll 파일(MD5 : 6817e812fdf5edd96becc3bc9ded69e1)에 대하여 안철수연구소(AhnLab) V3 보안 제품에서는 Win-Trojan/Downloader.237568.Z (VirusTotal : 2/43) 진단명으로 진단되고 있으므로 참고하시기 바랍니다.

해당 방식은 기존의 국내 최적화 프로그램을 통한 악성코드 유포 방식과 매우 연관성이 깊으므로 참고하시기 바랍니다.

제어판에서는 [Boneyo] 삭제 항목을 통해 정상적인 삭제를 지원하는 것처럼 위장하고 있지만, 실제로는 해당 프로그램이 삭제가 되어도 사용자 몰래 추가된 서비스 항목을 통해 차후 계속적인 사용자 동의없는 프로그램 설치와 추가 다운로드를 목적으로 제작된 서비스 파일 등록이 이루어질 것으로 보입니다.

이런 사용자 몰래 설치되어 시스템 시작시에만 동작하는 서비스 파일을 찾아 악성 여부를 확인하기 위해서는 일반 사용자의 경우 어려움이 예상되므로 반드시 유명 보안 제품을 이용하여 시스템 정밀 검사를 하시기를 권장합니다.