울지않는벌새 : Security, Movie & Society

국내 악성코드 : Adware.Salumonia.816277 (Hauri ViRobot)

벌새::Analysis

최근 국내에서 제작된 특정 광고 프로그램이 설치될 경우 사용자 몰래 추가적으로 설치가 이루어지는 Salumonia 악성 프로그램에 대해 살펴보도록 하겠습니다.


해당 프로그램의 설치 파일(MD5 : cd4518ae6ed2f715fdb7ff6d55446dda)에 대하여 Hauri ViRobot 보안 제품에서는 Adware.Salumonia.816277 (VirusTotal : 4/42) 진단명으로 진단되고 있습니다.


설치 과정을 살펴보면 "C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\salumonia\salumonia_setup.exe" 파일을 생성하여 다음과 같은 파일을 생성한 후 자가 삭제되도록 제작되어 있습니다.


참고로 salumonia_setup.exe 파일(MD5 : de6de319d6845a8f4efcbf55a484362b)에 대하여 Dr.Web 보안 제품에서는 Trojan.BhoSiggen.5797 (VirusTotal : 2/42) 진단명으로 진단되고 있습니다.


[생성 폴더 / 파일 및 진단 정보]


C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\salumonia :: 숨김(H) 속성 폴더
C:\WINDOWS\system32\salumonia
C:\WINDOWS\system32\salumonia\salumonia.dat
C:\WINDOWS\system32\salumonia\salumonia.exe :: 시작 프로그램 등록 파일
 - MD5 : 45620a7093e1a40feca3f38ea8ae8020
 - Dr.Web : Trojan.BhoSiggen.5797 (VirusTotal : 2/42)

해당 프로그램은 "C:\WINDOWS\system32\salumonia" 폴더에 파일을 생성하며, Windows 시작시 salumonia.exe 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.

자동 실행된 salumonia.exe 파일은 시스템 시작시마다 특정 다운로드 서버에 연결되어 파일을 체크하는 동작을 확인할 수 있으며, 현재 테스트 시점에서는 추가적인 다운로드 동작은 확인되지 않고 있습니다.

시작 프로그램으로 등록된 salumonia.exe 파일을 살펴보면 "TrueUpdate Client"라는 tu_rt.exe 파일 속성값을 가지고 있는 것을 확인할 수 있습니다.

  검색 도우미 : Windows nuriweb (2011.12.17)


  검색 도우미 : Windows infoaux (2012.3.10)


  검색 도우미 : Windows Sidematch System (2012.3.13)


특히 파일에 포함된 디지털 서명 "keimc"를 통해 과거 흔적을 확인해보면, 국내에서 제작되어 광고 코드 추가, 광고창 생성, 사이드바 광고 생성 기능을 가지는 검색 도우미 일부 프로그램에서 사용된 것을 확인할 수 있습니다.

salumonia.dat

또한 추가된 salumonia.dat 파일의 헤더(Header) 시그니처를 확인해보면 PKZip 압축 포맷임을 확인할 수 있습니다.

파일 내부에는 암호로 보호된 상태로 _TUProj.dat 등의 파일이 압축되어 있는 것으로 추정됩니다.


결론적으로 해당 파일은 사용자 몰래 시스템 폴더 내부에 등록되어 시스템 시작시마다 자동으로 업데이트 체크 기능을 통해 추가적인 악의적 동작이 예상되므로 다음과 같은 방식으로 삭제를 하시기 바랍니다.


(1) 윈도우 탐색기를 실행하여 생성 폴더, 파일 등록 정보를 참고하여 수동으로 삭제를 하시기 바랍니다.


(2) 레지스트리 편집기(regedit)를 실행하여 다음의 레지스트리 값을 찾아 수동으로 삭제하시기 바랍니다.


HKEY_CURRENT_USER\Software\AppDataLow\salumonia
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - salumonia = C:\WINDOWS\system32\salumonia\salumonia.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - salumonia = C:\WINDOWS\system32\salumonia\salumonia.exe


마지막으로 해당 악성 파일은 국내에서 제작된 검색 도우미 프로그램을 통해 설치가 되고 있는 것으로 확인되고 있으므로, 사용자 PC에 설치된 광고성 프로그램은 모두 삭제를 하시는 것이 근본적으로 이런 류의 프로그램이 설치되지 않도록 하는 방법입니다.