울지않는벌새 : Security, Movie & Society

국내 악성코드 : Win Search forxercle

벌새::Analysis
국내에서 제작되어 인터넷 검색시 수익을 목적으로 하는 광고창을 생성하는 검색 도우미 Win Search forxercle 프로그램에 대해 살펴보도록 하겠습니다.

참고로 해당 프로그램의 설치 파일(MD5 : fe403e6ecc889fa96d6cc1f6c21bcb5f)에 대하여 안철수연구소(AhnLab) V3 보안 제품에서는 Downloader/Win32.Adload (VirusTotal : 33/43) 진단명으로 진단되고 있습니다.

또한 해당 프로그램은 Win Search for 시리즈의 변종 중 하나로 추정되므로 참고하시기 바랍니다.


[생성 폴더 / 파일 등록 정보]

C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\xercle :: 숨김(H) 속성
C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\xercle\evdat2.dmc
C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\xercle\uninstall.exe :: 프로그램 삭제 파일
C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\xercle\xercle.dll :: BHO 등록 파일
C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\xercle\xercles.exe :: 시작 프로그램 등록 파일
C:\WINDOWS\system32\sircheckfile.dat

※ 프로그램 설치 폴더는 숨김(H) 속성이므로 반드시 폴더 옵션에서 [숨김 파일 및 폴더 표시]로 변경을 하시기 바랍니다.

[생성 파일 진단 정보]

C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\xercle\uninstall.exe
 - MD5 : 5ce246ef9b4845e389ec36e0ea9dc7a0
 - Hauri ViRobot : Trojan.Win32.Clicker.1591296 (VirusTotal : 25/41)

C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\xercle\xercle.dll
 - MD5 : f41fdff1fe526ffd1bdf9e8642348c66
 - AhnLab V3 : Backdoor/Win32.Asper (VirusTotal : 23/40)

C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\xercle\xercles.exe
 - MD5 : f7cae3662c4434fedd08660d5a93845c
 - AhnLab V3 : Trojan/Win32.BHO (VirusTotal : 29/42)

해당 프로그램은 사용자가 확인하기 어려운 [C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\xercle] 폴더에 파일을 생성하며, Windows 시작시 xercles.exe 파일을 시작 프로그램으로 등록하여 자동 실행되어 업데이트 체크를 하도록 구성되어 있습니다.

프로그램이 설치된 환경에서 사용자가 인터넷 검색시 특정 키워드에 따라 그림과 같은 추가적인 광고창이 자동으로 생성되는 동작을 확인할 수 있습니다.

해당 광고창은 특정 서버에서 정보를 받아 광고 코드가 추가된 상태로 광고창을 생성하며, 접속자가 특정 조건을 만족시킬 경우 프로그램 제작자(배포자)에게 금전적 수익이 발생할 것으로 추정됩니다.

[추가 기능 관리 : 도구 모음 및 확장 프로그램]

이름 : O
CLSID : {0AA117C6-6EC2-42E9-B1F2-E5F2D2311280}
파일 : C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\xercle\xercle.dll

해당 프로그램은 Internet Explorer 웹 브라우저 실행시 xercle.dll 파일을 브라우저 도우미 개체(BHO)로 등록하여 인터넷 키워드 감시를 통한 광고창 생성 동작을 하므로, 해당 광고 동작의 중지를 위해서는 Internet Explorer 웹 브라우저에서 제공하는 추가 기능 관리에 등록된 "O" 항목을 선택하여 [사용 안 함]으로 변경하시기 바랍니다.

프로그램 삭제시에는 Internet Explorer 웹 브라우저를 종료한 상태에서 제어판의 [Win Search forxercle] 삭제 항목을 이용하여 삭제하실 수 있습니다.

프로그램 삭제 후에는 추가적으로 다음의 폴더(파일)를 수동으로 삭제하시기 바랍니다.
  • C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\xercle
  • C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\xercle\uninstall.exe

참고로 일부 보안 제품에서는 해당 프로그램의 삭제 파일(uninstall.exe)을 진단하여 제어판을 통한 삭제가 이루어지지 않는 경우가 있으므로, 생성 폴더(파일) 및 레지스트리 정보를 참고하여 수동으로 삭제하시기 바랍니다.


[생성 레지스트리 등록 정보]

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - xerclevk = C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\xercle\xercles.exe
HKEY_CURRENT_USER\Software\xerclepp
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0AA117C6-6EC2-42E9-B1F2-E5F2D2311280}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\xercle.P
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\xercle
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{0AA117C6-6EC2-42E9-B1F2-E5F2D2311280}

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
xercle


해당 프로그램은 프로그램 목록에 제시되지 않는 문제로 설치 여부를 확인하기 어려우며, 비정상적인 폴더 위치에 프로그램을 설치하는 악의적인 성향이 강하므로 주의하시기 바랍니다.