본문 바로가기

벌새::Analysis

AdobeARM.exe 파일로 위장한 국내 악성코드 사례

728x90
반응형
국내 광고 프로그램 등의 경로를 통해 설치가 이루어지는 것으로 추정되는 AdobeARM.exe 파일에 대해 살펴보도록 하겠습니다.

● 파일 경로 : C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe
● 설명 : Adobe Reader and Acrobat Manager

원래 AdobeARM.exe 파일은 Adobe사에서 제공하는 Adobe Reader & Adobe Acrobat 제품을 설치할 경우 생성되는 파일입니다.

[생성 파일 진단 정보]

C:\Program Files\AdobeARM\AdobeARM.exe
 - MD5 : b4d5a8b011d27d5a391aadff7c969632
 - AVG : Generic4.BRTG (VirusTotal : 9/43)

[생성 레지스트리 등록 정보]

HKEY_CURRENT_USER\Software\AdobeARM
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - AdobeARM = C:\Program Files\AdobeARM\AdobeARM.exe

하지만 그림과 같이 AdobeARM.exe 파일명으로 위장한 해당 파일은 [C:\Program Files\AdobeARM\AdobeARM.exe] 위치에 생성되며, Windows 시작시 시작 프로그램으로 등록되어 자동 실행되도록 구성되어 있습니다.

테스트에서는 시스템 시작시 AdobeARM.exe 파일 실행시 오류가 발생하여 정상적으로 동작하지 않는 것으로 확인이 되고 있습니다.

하지만 해당 AdobeARM.exe 파일 내부를 살펴보면 국내 특정 서버에 접속하여 추가적인 다운로드가 존재할 가능성이 있음을 확인할 수 있습니다.

위와 같이 유명 소프트웨어 파일명으로 위장하여 시작 프로그램으로 등록한 후, 시스템 시작시 사용자 동의 없이 추가적인 프로그램을 몰래 설치할 수 있으므로 주의하시기 바랍니다.
728x90
반응형