본문 바로가기

벌새::Analysis

국내 악성코드 : SearchMon

국내에서 제작된 토렌트(Torrent) 프로그램을 설치할 경우 추가되는 제휴(스폰서) 프로그램을 통해 사용자 몰래 추가적으로 설치되는 SearchMon 프로그램에 대해 살펴보도록 하겠습니다.

 

 

문제의 토렌트 프로그램의 설치 과정에서는 스폰서 프로그램으로 어덴덤(Addendum) 사이드바 프로그램이 추가되어 있으며, 사용자가 해당 항목의 체크를 해제하지 않고 설치할 경우 네이버 백신(Naver Vaccine)에서는 다음과 같이 해당 스폰서 프로그램의 주요 파일들을 Downloader/Win32.Agent 진단명으로 진단하고 있습니다.

 

 

참고로 해당 Addendum 스폰서 프로그램에 대해서는 이전의 분석 내용을 참고하시기 바랍니다.

만약 사용자가 해당 스폰서 프로그램을 진단하지 못하는 보안 제품이 설치된 PC 환경에서 스폰서 프로그램을 설치할 경우에는 다음과 같은 방식으로 사용자 몰래 SearchMon 프로그램을 추가하는 동작을 확인할 수 있습니다.

 

 

즉, Addendum 스폰서 프로그램의 시작 프로그램으로 등록된 admrup.exe 파일이 사용자 몰래 SearchMon 프로그램 설치를 목적으로 sminstmz.exe (MD5 : b7ae826fa312677c471dd05164a01c62) 파일을 특정 서버에서 다운로드를 시도합니다.

참고로 다운로드되는 sminstmz.exe 파일에 대하여 nProtect 보안 제품에서는 Trojan-Downloader/W32.Agent.32768.AEC (VirusTotal : 28/42) 진단명으로 진단되고 있습니다.

 

 

다운로드된 sminstmz.exe 파일은 SearchMon 폴더 내부에 다음과 같은 파일들을 생성하고 있습니다.

 

[생성 폴더 / 파일 등록 정보]

C:\Program Files\SearchMon
C:\Program Files\SearchMon\smband.dll
C:\Program Files\SearchMon\smmon.dll :: BHO 등록 파일
C:\Program Files\SearchMon\smonmgr.exe :: 메모리 상주 프로세스
C:\Program Files\SearchMon\smonup.exe :: 시작 프로그램 등록 파일
C:\Program Files\SearchMon\uninstall.exe :: 프로그램 삭제 파일

 

[생성 파일 진단 정보]

C:\Program Files\SearchMon\smonup.exe
 - MD5 : 16e6558c31cb63b526efbd2e899d9134
 - AhnLab V3 : Downloader/Win32.Agent (VirusTotal : 22/42)

 

사용자 몰래 설치된 SearchMon 프로그램은 Windows 시작시 smonup.exe 파일을 시작 프로그램으로 등록하여 업데이트 체크 등을 하도록 구성되어 있으며, smonmgr.exe 프로세스가 메모리에 상주하도록 구성되어 있습니다.

 

 

프로그램이 설치된 환경에서는 외형적인 광고 동작은 발견되지 않지만, 사용자가 인터넷 검색을 시도할 경우 xml.neoclick.oledle.com 서버로부터 다음과 같은 정보를 가져오는 동작을 확인할 수 있습니다.(※ 과거 기록을 확인해보면 해당 서버를 통해 광고창이 생성되는 광고 프로그램이 존재했던 것으로 추정됩니다.)

 

 

해당 내용은 검색어에 따라 변경되지만 총 5개의 검색 결과가 포함되어 있으며 해당 사이트에 접속할 경우 특정 광고 코드가 포함될 것으로 추정됩니다.

 

 

[추가 기능 관리 : 도구 모음 및 확장 프로그램]

SMMon.Mon

 - CLSID : {12D367D0-27DC-48AB-90E9-44A0603E1A37}
 - 파일 : C:\Program Files\SearchMon\smmon.dll

SearchMon
 - CLSID : {9A228C06-A101-41BD-9D58-721BD6181B24}
 - 파일 : C:\Program Files\SearchMon\smband.dll

 

프로세스 정보를 살펴보면 smonmgr.exe 프로세스가 메모리에 상주하며, 사용자가 Internet Explorer 웹 브라우저를 실행할 경우 iexplore.exe 프로세스에 smmon.dll 파일을 BHO 방식으로 추가하여 동작하는 것을 확인할 수 있습니다.

 

 

프로그램 삭제시에는 작업 관리자에서 smonmgr.exe 프로세스를 수동으로 종료하시고, 모든 Internet Explorer 웹 브라우저를 종료한 상태에서 제어판의 [SearchMon] 삭제 항목을 이용하여 삭제하실 수 있습니다.

 

[생성 레지스트리 등록 정보]

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{12D367D0-27DC-48AB-90E9-44A0603E1A37}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9A228C06-A101-41BD-9D58-721BD6181B24}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{7D7B9BB8-C80D-46C3-8C97-8BF3E833FADD}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{DD98E8F3-EF0B-4A3B-9799-431B23EF83D5}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SMBand.Band
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SMMon.Mon
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{4D50421A-5E03-44D8-A3B5-0DCCB0ED33DF}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{C7FE2089-8958-4875-ABC9-A50A7E1976C1}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{12D367D0-27DC-48AB-90E9-44A0603E1A37}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - SearchMon = C:\Program Files\SearchMon\smonup.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SearchMon
HKEY_LOCAL_MACHINE\SOFTWARE\Sbser
HKEY_LOCAL_MACHINE\SOFTWARE\SearchMon

 

위와 같이 국내 광고 프로그램 중에서는 정상적인 동의 과정을 통해 설치가 이루어지지만 추가적으로 사용자 몰래 프로그램을 함께 설치하는 동작을 하는 경우가 많으므로 주의하시기 바랍니다.

  • 국내 토렌트 프로그램에는...저런 악성코드가 숨겨져 있었군요...ㄷㄷ;;
    근데 해외토렌트프로그램으로 유명한 utorrent프로그램은 안전한 건가요???

    • uTorrent도 설치시 제휴 프로그램이 있지만, 국내쪽처럼 몰래 설치하고 그런 동작은 없을겁니다.

      특히 uTorrent는 유명해서 그런 짓하지 않을겁니다.

      물론 저도 사용하고 있구요.^^

  • pimang 2011.06.27 13:21 댓글주소 수정/삭제 댓글쓰기

    좋은 정보 감사합니다! 프로그램 부팅할때마다 admrup 이라고 되있는 창이 막 어쩌구저쩌구 떠서 ㅠ 고생했어요~ 감사해요~

  • cocoa 2011.08.06 23:20 댓글주소 수정/삭제 댓글쓰기

    블로그 내용 참고하고 안전모드 상태에서 addendum폴더 째로 지워버렸더니
    사이드 바가 안뜨네요.
    좋은 정보 감사합니다^^
    악성코드 원인이 이것때문이었나......
    누가 이따위 악성프로그램 만드는지 ㅠㅠ