울지않는벌새 : Security, Movie & Society

제휴(스폰서) 프로그램 : BellBellBell

벌새::Analysis

다양한 악성 파일을 통해 시스템 시작시 사용자 몰래 설치가 이루어지는 방식으로 배포가 이루어지고 있는 무료 벨소리 변환 프로그램 BellBellBell 제품에 대해 살펴보도록 하겠습니다.

해당 프로그램이 실제 사용자 PC에 설치되는 과정을 특정 악성 파일(MD5 : e1a860d2163eebaf1f00a4886ae6412e)을 통해 살펴보도록 하겠으며, 해당 파일에 대하여 Hauri ViRobot 보안 제품에서는 Adware.Agent.238541 (VirusTotal : 3/42) 진단명으로 진단되고 있습니다.

[생성 파일 및 진단 정보]

 C:\WINDOWS\toahebf91.exe
 - MD5 : 21c1ebe7658696a86252c19cce26e8b9
 - avast! : Win32:PUP-gen [PUP] (VirusTotal : 2/42)

[생성 레지스트리 등록 정보]

 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - toahebf91 = "C:\WINDOWS\toahebf91.exe" scounter.kr

감염된 PC는 "C:\WINDOWS\toahebf91.exe" 파일을 생성하여 Windows 시작시 시작 프로그램으로 등록된 toahebf91.exe 파일은 자동 실행되어 특정 서버에 접속하도록 등록합니다.

연결된 서버에는 현재 테스트 시간 기준으로 12종의 다양한 수익성 프로그램 및 또 다른 배포 목적으로 추가되는 악성 파일을 사용자 몰래 자동 설치하도록 등록되어 있습니다.

이를 통해 시스템 시작시 자신도 모르게 다양한 수익성 프로그램이 설치되어진 모습을 그림을 통해 대략적으로 살펴볼 수 있습니다.

그 중에서 이번 글에서 살펴볼 무료 벨소리 변환 프로그램 BellBellBell 제품의 설치 파일(MD5 : 77e3f5591bebfd5e37007fbf87cc7616)의 경우, Avira AntiVir 보안 제품에서는 TR/Agent.5917679 (VirusTotal : 8/42) 진단명으로 진단되고 있습니다.

[생성 폴더 / 파일 등록 정보 : BellBellBell 프로그램]

C:\Documents and Settings\(사용자 계정)\Application Data\BellBellBell
C:\Documents and Settings\(사용자 계정)\My Documents\BellBellBell
C:\Documents and Settings\(사용자 계정)\시작 메뉴\프로그램\무료벨소리 BellBellBell
C:\Documents and Settings\(사용자 계정)\시작 메뉴\프로그램\무료벨소리 BellBellBell\BellBellBell.lnk
C:\Documents and Settings\(사용자 계정)\시작 메뉴\프로그램\무료벨소리 BellBellBell\Uninst.lnk
C:\Program Files\BellBellBell
C:\Program Files\BellBellBell\bass.dll
C:\Program Files\BellBellBell\basscd.dll
C:\Program Files\BellBellBell\bassenc.dll
C:\Program Files\BellBellBell\bassflac.dll
C:\Program Files\BellBellBell\bassmix.dll
C:\Program Files\BellBellBell\basswma.dll
C:\Program Files\BellBellBell\BellBellBell.exe :: 프로그램 실행 파일
C:\Program Files\BellBellBell\BellBellBellQ.exe :: 시작 프로그램 등록 파일
C:\Program Files\BellBellBell\config
C:\Program Files\BellBellBell\config\config.xml
C:\Program Files\BellBellBell\config\vcredist_x86.exe
C:\Program Files\BellBellBell\mmf
C:\Program Files\BellBellBell\uninstall.exe :: 프로그램 삭제 파일

해당 프로그램은 "C:\Program Files\BellBellBell" 폴더에 주요 파일을 생성하며, Windows 시작시 BellBellBellQ.exe 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.

자동 실행된 BellBellBellQ.exe 파일은 시스템 시작시마다 업데이트 체크를 하는 동작을 확인할 수 있으며, 업데이트 내용은 암호화가 이루어져 있는 것으로 보입니다.

BellBellBell 프로그램을 실행하면 매우 정상적인 벨소리 변환 프로그램의 기능을 제공하는 것으로 보이지만, 이런 프로그램을 사용자 동의없이 악성 파일을 통해 유포가 이루어지고 있다는 점에서 과거 유사한 프로그램 배포 방식을 고려한다면 주의할 점이 있어 보입니다.

즉, 시스템 시작시마다 업데이트 체크를 하는 과정에서 추가적으로 등록된 프로그램을 업데이트 창을 통해 추가하는 동작으로 수익을 추구할 것으로 추정됩니다.

프로그램 삭제는 제어판의 "BellBellBell" 삭제 항목을 이용하여 삭제할 수 있으며, 해당 프로그램이 사용자 몰래 설치가 이루어졌다면 추가적인 악성 파일이 존재할 것으로 보이므로 시작 프로그램에 등록된 항목들을 점검해 보시기 바랍니다.

[생성 레지스트리 등록 정보]

HKEY_LOCAL_MACHINE\SOFTWARE\BellBellBell
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - BellBellBell = C:\Program Files\BellBellBell\BellBellBellQ.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
Bell
BellBell

일부 사용자에게 유용한 프로그램들 중에서는 위와 같은 방식으로 배포되어 추가적인 프로그램 배포처로 악용하는 사례가 확인이 되고 있으므로 사용자가 직접 설치한 프로그램이 아닌 경우에는 삭제를 하시는 것이 차후를 위해서 안전합니다.