본문 바로가기

벌새::Analysis

AdobeARM.exe 파일로 위장한 국내 악성코드 사례

국내 광고 프로그램 등의 경로를 통해 설치가 이루어지는 것으로 추정되는 AdobeARM.exe 파일에 대해 살펴보도록 하겠습니다.

● 파일 경로 : C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe
● 설명 : Adobe Reader and Acrobat Manager

원래 AdobeARM.exe 파일은 Adobe사에서 제공하는 Adobe Reader & Adobe Acrobat 제품을 설치할 경우 생성되는 파일입니다.

[생성 파일 진단 정보]

C:\Program Files\AdobeARM\AdobeARM.exe
 - MD5 : b4d5a8b011d27d5a391aadff7c969632
 - AVG : Generic4.BRTG (VirusTotal : 9/43)

[생성 레지스트리 등록 정보]

HKEY_CURRENT_USER\Software\AdobeARM
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - AdobeARM = C:\Program Files\AdobeARM\AdobeARM.exe

하지만 그림과 같이 AdobeARM.exe 파일명으로 위장한 해당 파일은 [C:\Program Files\AdobeARM\AdobeARM.exe] 위치에 생성되며, Windows 시작시 시작 프로그램으로 등록되어 자동 실행되도록 구성되어 있습니다.

테스트에서는 시스템 시작시 AdobeARM.exe 파일 실행시 오류가 발생하여 정상적으로 동작하지 않는 것으로 확인이 되고 있습니다.

하지만 해당 AdobeARM.exe 파일 내부를 살펴보면 국내 특정 서버에 접속하여 추가적인 다운로드가 존재할 가능성이 있음을 확인할 수 있습니다.

위와 같이 유명 소프트웨어 파일명으로 위장하여 시작 프로그램으로 등록한 후, 시스템 시작시 사용자 동의 없이 추가적인 프로그램을 몰래 설치할 수 있으므로 주의하시기 바랍니다.
  • 2013.11.01 12:58 댓글주소 수정/삭제 댓글쓰기

    그럼 저 Adobe ARM은 삭제해야 하는건가요?

    • 원래 정상적인 경로에 위치한 AdobeARM.exe 파일이 있으므로 함부로 삭제하시면 안되며, 비정상적인 위치에 동일한 파일명으로 된 경우가 있는 경우에는 악성으로 의심할 수 있다는 내용입니다.

      악성인지 여부는 백신 프로그램이나 https://www.virustotal.com/ 사이트를 통해 확인하시기 바랍니다.

  • allmest 2014.07.04 15:16 댓글주소 수정/삭제 댓글쓰기

    벌새님 말씀대로 비정상적인 경로에 위치한 AdobeARM.exe 파일은 악성코드종류로 추정됩니다. 바로 얼마 전에 인터넷 사용시 계속 인터넷 광고창이 생성되었는데 이 프로그램 제거시 광고창이 모두 사라졌습니다.