울지않는벌새 : Security, Movie & Society

국내 악성코드 : OpenPot - Sysmax.exe

벌새::Analysis
국내에서 제작되어 특정 광고 프로그램의 업데이트 과정에서 사용자 몰래 설치되는 것으로 확인되고 있는 "OpenPot - Sysmax.exe" 프로그램에 대해 살펴보도록 하겠습니다.

 

해당 악성코드는 그림과 같은 파일 형태로 외부 광고 프로그램 등 다양한 경로를 통해 시스템 시작시 사용자 몰래 설치가 다운로드되어 실행되도록 구성되어 있으며, 실행 파일(MD5 : 0940c67af50e5e3e14ecbada45c7f911)에 대하여 AVG 보안 제품에서는
Downloader.Generic12.AVGZ (VirusTotal : 14/43) 진단명으로 진단되고 있습니다.
  • h**p://**date.ijet.co.kr/***/Sysmax.exe (MD5 : 318f27e52f88f44744e7b4e71aa5f627)

파일은 특정 서버에 접속하여 Sysmax.exe 파일을 다운로드하는 동작을 하며, 추가적으로 "adm.adgod.co.kr" 광고 서버에 접속하여 설치 체크를 합니다.

[생성 파일 및 진단 정보]

C:\Documents and Settings\(사용자 계정)\Application Data\Sysmax.exe :: 시작 프로그램 등록 파일 / 메모리 상주 프로세스
 - MD5 : 318f27e52f88f44744e7b4e71aa5f627
 - avast! : Win32:PUP-gen [PUP] (VirusTotal : 6/43)

[생성 레지스트리 등록 정보]

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - Sysmax = C:\Documents and Settings\(사용자 계정)\Application Data\Sysmax.exe
HKEY_CURRENT_USER\Software\Sysmax

다운로드된 Sysmax.exe 파일은 사용자가 인지하기 어려운 숨김(H) 속성 폴더인 "C:\Documents and Settings\(사용자 계정)\Application Data" 내부에 자신을 생성하며, Windows 시작시 자동 실행되도록 시작 프로그램에 자신을 등록합니다.

생성된 Sysmax.exe 파일의 아이콘을 확인해보면 체리사랑님이 분석하신 OpenPot 광고 프로그램의 변종으로 추정됩니다.

해당 파일의 동작 방식은 사용자가 포털 사이트를 통한 인터넷 검색을 통해 특정 웹 사이트에 접속을 할 경우, 추가적인 광고 사이트를 생성하는 동작을 통해 금전적 수익을 창출하는 것으로 확인되고 있습니다.

해당 프로그램은 삭제 기능을 제공하지 않으므로 다음과 같은 절차에 따라 프로그램을 삭제하시기 바랍니다.

1. Windows 작업 관리자에서 Sysmax.exe 프로세스를 종료합니다.

 

2. 폴더 옵션의 기본값을 "숨김 파일 및 폴더 표시"로 변경한 후, Windows 탐색기를 통해 "C:\Documents and Settings\(사용자 계정)\Application Data\Sysmax.exe" 파일을 찾아 삭제하시기 바랍니다.

 

3. 레지스트리 편집기(regedit)를 실행하여 생성된 레지스트리 값을 찾아 삭제하시기 바랍니다.(※ 해당 레지스트리 값은 게시글의 "생성 레지스트리 등록 정보"를 참고하시기 바랍니다.)

위와 같이 일부 악성 광고 프로그램은 업데이트 기능을 통해 시스템 시작시 사용자 몰래 추가적인 악성 광고 프로그램 등을 설치할 수 있으므로, 단순히 이런 악성 파일을 발견하였을 경우 해당 파일만 삭제할 것이 아니라 근본적인 문제 해결을 위해서는 설치된 다른 광고 프로그램을 찾아 함께 삭제해야 됩니다.