V3 엔진을 방해하는 국내 악성코드 Overtls 시리즈

국내에서 제작된 악성코드 중 금전적 수익을 목적으로 오랫동안 활동하며 꾸준히 변종을 제작 및 유포하는 것 중에 유명한 것이 Win-Trojan/Overtls(AhnLab 진단명 기준)가 있습니다.

해당 악성코드는 일반적으로 다양한 광고 프로그램이 법에서 정한 정상적인 동의 과정을 거쳐 설치가 이루어지는 프로그램을 통해 사용자 몰래 설치되는 경향이 있는 것으로 추정됩니다.

특히 해당 악성코드는 국내 보안 제품 중 AhnLab V3 Lite, 네이버 백신(Naver Vaccine)이 설치되어 있는지 체크를 하는 부분이 있는 것으로 보아, 설치시 보안 제품 무력화를 시도한다고 볼 수 있습니다.

• 검색 도우미 : WebManager (2010.6.21)

• 검색 도우미 : Keyword Search (2010.6.25)

• 국내 악성코드 : cbcem (2010.7.11)

이미 2010년에 Overtls와 연관된 몇 개의 유포 사례에 대해 살펴본 적이 있으므로 참고하시기 바라며, 최근 유포되는 설치 파일(MD5 : b5bc1b21c7a48e5c2450cd5b64851a58)을 이용해 확인하도록 하겠습니다.

참고로 해당 설치 파일에 대하여 안철수연구소(AhnLab) V3 보안 제품에서는 Trojan/Win32.HDC (VirusTotal : 18/44) 진단명으로 진단되고 있습니다.

• h**p://do**.unovt2.com/stzsav/bhoh/stzsav.dll
• h**p://do**.unovt2.com/stzsav/bhoh/stzsav.exe

Overtls 악성코드가 설치되는 시점에서 unovt2.com 서버를 통해 주요 파일을 다운로드 시도를 하며, 해당 서버 IP로 연결된 도메인이 다수 존재하고 있는 것을 확인할 수 있습니다.

• C:\Program Files\AhnLab\V3Lite\V3Light.exe
• C:\Program Files\Naver\NaverVaccine\NVCUpgrader.exe

해당 악성코드가 설치되는 과정에서 AhnLab V3 Lite, Naver Vaccine 설치 폴더 및 V3Light.exe, NVCUpgrader.exe 2개의 파일을 체크하여 필터 처리하는 동작을 확인할 수 있습니다.

[생성 파일 및 진단 정보]

C:\Documents and Settings\(사용자 계정)\Application Data\v36t4twr.dll :: BHO 등록 파일
 - MD5 : 552c016ca78d5104ce3db23bf9d7e8bc
 - avast! : Win32:BHO-ADS [Trj] (VirusTotal : 20/44)

C:\Documents and Settings\(사용자 계정)\Application Data\v36t4twr.exe
 - MD5 : 6f5e89e27ab69c715259b00bbb2ef48d
 - AhnLab V3 : Win-Trojan/Overtls15.Gen (VirusTotal : 26/44)

※ 생성 파일은 (8자리 영문+숫자).exe / (8자리 영문+숫자).dll 형태입니다.

최종 생성된 파일들은 [C:\Documents and Settings\(사용자 계정)\Application Data] 폴더 내에 랜덤(Random)한 파일명으로 dll, exe 파일이 생성되는 것을 확인할 수 있습니다.

감염된 환경에서 사용자가 Internet Explorer 웹 브라우저를 실행한 후, 네이버(Naver) 등 포털 사이트로 접속을 시도할 경우 iexplore.exe 프로세스 하위에 v36t4twr.exe 프로세스가 추가되어 특정 서버에 접속하여 체크를 한 후 종료되는 동작을 확인할 수 있습니다.

그 이후의 동작은 iexplore.exe 프로세스 v36t4twr.dll 파일을 BHO 방식으로 추가하여 동작하는 모습을 확인할 수 있습니다.

v36t4twr.dll

해당 dll 파일을 확인해보면 유포 서버에서 각종 정보를 체크하는 부분을 확인할 수 있습니다.

v36t4twr.dll

또한 국내 다수의 인터넷 쇼핑몰 목록이 등록되어 있는 것을 확인할 수 있습니다.

v36t4twr.dll

특히 이들 쇼핑몰과 연계된 것으로 추정되는 제휴 코드가 포함되어 있는 것을 통해 해당 악성코드에 감염된 사용자가 인터넷 쇼핑을 이용하는 과정에서 특정 조건을 만족할 경우 유포자에게 금전적 수익이 발생할 것으로 판단됩니다.

[추가 기능 관리 : 도구 모음 및 확장 프로그램]

sch
 - CLSID : {CC01FC6C-E98C-6A5D-9779-F988B832488A}
 - 파일 : C:\Documents and Settings\(사용자 계정)\Application Data\v36t4twr.dll

사용자 입장에서 가장 빠르게 감염 여부를 확인할 수 있는 방법은 Internet Explorer 웹 브라우저의 추가 기능 관리에 등록된 컨트롤 중에 "sch"와 같은 이름 또는 알 수 없는 파일로 연결된 항목이 존재할 경우입니다.

해당 악성코드를 삭제시에는 추가 기능 관리에 등록된 해당 컨트롤 항목을 선택하여 [사용 안 함]으로 변경을 한 후, 파일 삭제 및 레지스트리 삭제를 진행하시기 바랍니다.(※ 파일 삭제시 반드시 Internet Explorer 웹 브라우저를 종료하시기 바랍니다.)

[생성 레지스트리 등록 정보]

HKEY_CURRENT_USER\Software\v36t4twr
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CC01FC6C-E98C-6A5D-9779-F988B832488A}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\v36t4twr.sch
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{CC01FC6C-E98C-6A5D-9779-F988B832488A}
HKEY_LOCAL_MACHINE\SOFTWARE\v36t4twr

※ v36t4twr 이름은 생성 파일 이름에 종속되므로 감염 PC마다 이름이 다르게 등록됩니다.

위와 같이 국내에서 제작되어 오랜 기간 변종을 제작하여 금전적 수익을 노리는 악성코드도 국내 사용자 층이 높은 보안 제품에 대하여 진단을 방해할 목적으로 제작되어 있는 것을 확인할 수 있으므로, 광고 프로그램 등 신뢰할 수 없는 프로그램을 함부로 설치하지 않도록 주의하시기 바랍니다.