울지않는벌새 : Security, Movie & Society

국내 악성코드 : maxclicks17 + ckobxomej.exe (2012.1.12)

벌새::Analysis
국내에서 제작되어 바탕 화면과 Internet Explorer 웹 브라우저 즐겨찾기에 다수의 인터넷 쇼핑몰 바로가기 아이콘을 생성하는 "Enjoy-Find" 프로그램으로 알려진 "maxclicks17 + ckobxomej.exe" 프로그램에 대해 살펴보도록 하겠습니다.

해당 프로그램의 설치 파일(MD5 : ec12212a43c3fe081bcfe5e74598a26e)에 대하여 하우리 바이로봇(Hauri ViRobot) 보안 제품에서는 Adware.Agent.465900 (VirusTotal : 14/43) 진단명으로 진단되고 있습니다.

[생성 폴더 / 파일 등록 정보]

C:\Documents and Settings\(사용자 계정)\Application Data\ckobxomej :: 숨김(H) 속성
C:\Documents and Settings\(사용자 계정)\Application Data\ckobxomej\ckobxomej.exe :: 시작 프로그램 등록 파일
C:\Documents and Settings\(사용자 계정)\Favorites\1시간 빠른 소셜커머스, 위메프.url
C:\Documents and Settings\(사용자 계정)\Favorites\Groupon Korea.url
C:\Documents and Settings\(사용자 계정)\Favorites\G마켓 - 새로운 세상을 여는 문, G마켓.url
C:\Documents and Settings\(사용자 계정)\Favorites\당신이 찾는 모든 스타일, 옥션.url
C:\Documents and Settings\(사용자 계정)\Favorites\디앤샵, 시즌 2.url
C:\Documents and Settings\(사용자 계정)\Favorites\쇼핑 스트리트, 11번가.url
C:\Documents and Settings\(사용자 계정)\Favorites\쿠팡.url
C:\Documents and Settings\(사용자 계정)\Favorites\티몬 - 대한민국의 모든 것 50% 할인.url
C:\Documents and Settings\(사용자 계정)\바탕 화면\11번가.URL
C:\Documents and Settings\(사용자 계정)\바탕 화면\G마켓.URL
C:\Documents and Settings\(사용자 계정)\바탕 화면\옥션.URL
C:\WINDOWS\11.ico
C:\WINDOWS\auction.ico
C:\WINDOWS\coopang_favi.ico
C:\WINDOWS\dnshop.ico
C:\WINDOWS\gmarket.ico
C:\WINDOWS\grou_favi.ico
C:\WINDOWS\timon_favi.ico
C:\WINDOWS\wemef_favi.ico

[생성 파일 진단 정보]

C:\Documents and Settings\(사용자 계정)\Application Data\ckobxomej\ckobxomej.exe
 - MD5 : 99f9c6a5c419f3baefc437525335ca59
 - Hauri ViRobot : Adware.Agent.458752.E (VirusTotal : 14/43)

해당 프로그램은 바탕 화면에 11번가, G마켓, 옥션 바로가기 아이콘을 생성하며, 해당 바로가기 아이콘을 통해 인터넷 쇼핑몰에 접속을 시도할 경우 다음과 같은 로그(Log) 기록을 확인할 수 있습니다.

즉, 인터넷 쇼핑몰 접속시 특정 광고 코드를 포함하여 접속자가 특정 조건을 만족시킬 경우 프로그램 제작자(배포자)에게 금전적 수익이 발생할 것으로 추정됩니다.

또한 Internet Explorer 웹 브라우저의 즐겨찾기 항목에 다수의 인터넷 쇼핑몰 바로가기가 등록되는 것을 확인할 수 있습니다.

해당 프로그램은 추가적으로 사용자가 확인하기 어려운 숨김(H) 속성의 [C:\Documents and Settings\(사용자 계정)\Application Data\ckobxomej] 폴더에 ckobxomej.exe 파일을 생성하여, 해당 파일을 시작 프로그램으로 등록하여 시스템 시작시마다 자동으로 실행하도록 구성하였습니다.

ckobxomej.exe 파일이 실행시 연결되는 정보를 확인해보면 "countmoa.co.kr" 서버에 접속하여 업데이트 및 카운터(Counter) 체크를 하는 동작을 확인할 수 있습니다.

해당 프로그램은 삭제 기능을 제공하지 않으므로, 삭제를 위해서는 생성 폴더(파일) 정보를 참고하여 수동으로 삭제하시기 바라며, 추가적으로 다음의 레지스트리 값을 찾아 삭제하시기 바랍니다.

[생성 레지스트리 등록 정보]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - ckobxomej = C:\Documents and Settings\(사용자 계정)\Application Data\ckobxomej\ckobxomej.exe
HKEY_LOCAL_MACHINE\SOFTWARE\ckobxomej
HKEY_LOCAL_MACHINE\SOFTWARE\maxclicks17

이런 류의 프로그램은 다른 광고 프로그램을 통해 사용자 몰래 설치되는 경우가 많으며, 삭제 기능을 제공하지 않아 단순한 인터넷 바로가기 아이콘이 지속적으로 배포자에게 금전적 수익으로 연결될 수 있는 구멍이 될 수 있습니다.

그러므로 사용자가 등록한 바로가기 아이콘 또는 즐겨찾기가 아닌 경우에는 반드시 삭제를 하시기 바랍니다.