본문 바로가기

벌새::Analysis

국내 악성코드 : Windows findcheck System

인터넷 검색시 웹 브라우저 하단에 광고바를 생성하며, 시작 프로그램으로 등록된 파일(findchecke.exe)을 이용하여 사용자 몰래 다수의 수익성 프로그램을 몰래 설치하는 검색 도우미 Windows findcheck System 프로그램에 대해 살펴보도록 하겠습니다.

 

해당 프로그램의 설치 파일(MD5 : f549f5d9401109e956fe3c9a5554b4c1)에 대하여 BitDefender 보안 제품에서는 Trojan.Generic.7439278 (VirusTotal : 23/40) 진단명으로 진단되고 있습니다.

 

  국내 악성코드 : Windows Onestep System (2011.11.12)

 

  검색 도우미 : Windows Onestep System - onestep (2011.11.22)

 

  국내 악성코드 : Addendum Sidebar(gamjoa) (2012.1.15)

 

  국내 악성코드 : Windows smartlink System (2012.2.14)

 

  검색 도우미 : Internet SubJet Client (2012.2.18)

 

  검색 도우미 : SideMatch2.0 (2012.4.1)

 

해당 프로그램의 동작 방식(추가 프로그램 설치 또는 광고 생성 방식)은 기존에 유사한 프로그램이 존재하므로 참고하시기 바랍니다.

 

[생성 폴더 / 파일 등록 정보 : Windows findcheck System 프로그램]

 

C:\Program Files\findcheck
C:\Program Files\findcheck\fck.exe
C:\Program Files\findcheck\findcheck.dll
C:\Program Files\findcheck\findcheckb.dll :: BHO 등록 파일
C:\Program Files\findcheck\findchecke.exe :: 시작 프로그램 등록 파일
C:\Program Files\findcheck\ies.tml
C:\Program Files\findcheck\ls.plc
C:\Program Files\findcheck\uninstall.exe :: 프로그램 삭제 파일 

 

[생성 파일 진단 정보]

 

C:\Program Files\findcheck\findcheckb.dll
 - MD5 : df3c24d64838088bf4ae0c61d88c4e73
 - AhnLab V3 : Win-PUP/Helper.Addendum.829440 (VirusTotal : 20/42)

 

C:\Program Files\findcheck\findchecke.exe
 - MD5 : b82cf52780f79f6ad3cc7965b980a4d0
 - Hauri ViRobot : Backdoor.Win32.Asper.1037312 (VirusTotal : 34/42) 

 

해당 프로그램은 "C:\Program Files\findcheck" 폴더에 파일을 생성하며 Windows 시작시 findchecke.exe 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다. 

이 과정에서 특정 업데이트 서버에서 현재 테스트 시점에서 8종의 수익성 프로그램을 사용자 동의없이 다운로드하여 설치하는 동작을 진행합니다.

 

우선 Windows findcheck System 검색 도우미 프로그램의 동작에 대해 살펴본 후, 추가적으로 설치되는 프로그램들에 대해 살펴보도록 하겠습니다. 

해당 프로그램은 사용자가 인터넷 검색을 하는 과정에서 iexplore.exe 프로세스 하위에 "C:\Program Files\findcheck\fck.exe" 프로세스를 생성하여 검색 키워드 값을 참조하는 동작을 확인할 수 있습니다. 

이를 통해 검색 결과를 통해 웹 사이트를 오픈할 경우, 웹 브라우저 하단에 그림과 같은 "O"로 표기된 광고바를 생성하는 동작을 확인할 수 있습니다. 

[추가 기능 관리 : 도구 모음 및 확장 프로그램]

 

이름 : findcheck

유형 : 브라우저 도우미 개체

CLSID : {C54E3AF7-65EA-4680-9C31-737509C4F835}

파일 : C:\Program Files\findcheck\findcheckb.dll

 

이름 : O

유형 : 탐색창

CLSID : {F08D7FB5-70B4-4F68-8834-F367966B9B8A}

파일 : C:\Program Files\findcheck\findcheck.dll

 

해당 프로그램은 Internet Explorer 웹 브라우저 실행시 iexplore.exe 프로세스에 findcheckb.dll 파일을 브라우저 도우미 개체(BHO)로 등록하여 키워드 감시를 통한 광고바를 생성하는 동작을 하도록 구성되어 있습니다.

 

그러므로 해당 광고 동작의 중지를 위해서는 웹 브라우저의 추가 기능 관리에 등록된 "findcheck", "O" 2개의 항목을 선택하여 "사용 안 함"으로 변경하시기 바랍니다.

 

참고로 Windows findcheck System 프로그램 설치로 인하여 추가적으로 설치된 다양한 광고 프로그램으로 인하여 다양한 브라우저 도우미 개체(※ SmartToolCtl Class, O, SideOhHelper, SideOh)가 다수 등록되므로 이들 역시 "사용 한 함"으로 변경하시기 바랍니다. 

프로그램 삭제시에는 Internet Explorer 웹 브라우저를 종료한 상태에서 제어판의 "Windows findcheck System" 삭제 항목을 이용하여 삭제할 수 있으며, 프로그램 삭제 후에는 추가적으로 "C:\Program Files\findcheck" 폴더를 수동으로 삭제하시기 바랍니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\findcheck
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - findcheck = C:\Program Files\findcheck\findchecke.exe
HKEY_CURRENT_USER\Software\nofindcheck
HKEY_CURRENT_USER\Software\winu
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{C54E3AF7-65EA-4680-9C31-737509C4F835}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F08D7FB5-70B4-4F68-8834-F367966B9B8A}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\findcheck.one
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\findcheck
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C54E3AF7-65EA-4680-9C31-737509C4F835}

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\findcheck 

Windows findcheck System 검색 도우미 프로그램이 설치된 환경에서는 시작 프로그램으로 등록된 findchecke.exe 파일을 통해 추가적으로 다수의 수익성 프로그램의 설치 파일을 다음의 폴더에 다운로드하여 프로그램을 설치합니다.

 

  • C:\WINDOWS\Temp\bicon.exe
  • C:\WINDOWS\Temp\boancheck.exe
  • C:\WINDOWS\Temp\directsearch.exe
  • C:\WINDOWS\Temp\GoGoPage.exe
  • C:\WINDOWS\Temp\myboan2012.exe
  • C:\WINDOWS\Temp\PostTips.exe
  • C:\WINDOWS\Temp\SideOhs.exe
  • C:\WINDOWS\Temp\SmartTools.exe

(1) 개인정보 보안 솔루션 : 보안체크365(BoanCheck365) (2012.4.2)

 

해당 프로그램의 설치 파일(MD5 : 01dcdccab1902c01a46c4057a607219b)에 대하여 Kaspersky 보안 제품에서는 Trojan-Dropper.Win32.Daws.amts (VirusTotal : 26/42) 진단명으로 진단되고 있습니다.

 

(2) 검색 도우미 : Win Search fordirectsearch (2012.4.3)

 

해당 프로그램의 설치 파일(MD5 : 996320cf2597fbbbb2b632bbe3f3929d)에 대하여 AVG 보안 제품에서는 Downloader.Generic12.BOMP (VirusTotal : 26/42) 진단명으로 진단되고 있습니다.

 

(3) 야후(Yahoo) 시작 페이지 변경 : GoGoPage.exe

 

해당 프로그램의 설치 파일(MD5 : 1b62cc4b1ccf590df1d5a86011c7869b)에 대하여 AhnLab V3 보안 제품에서는 Adware/Win32.StartPage (VirusTotal : 7/41) 진단명으로 진단되고 있습니다. 

[변경 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
 - Start Page = (사용자 지정 홈 페이지 URL 주소) :: 변경 전
 - Start Page = http://kr.yahoo.com/?ilc=117 :: 변경 후 

 

해당 프로그램은 웹 브라우저 시작 페이지(홈 페이지) 주소를 야후(Yahoo)로 변경하는 동작을 하며, 해당 문제를 해결하기 위해서는 인터넷 옵션에서 원래 사용하는 시작 페이지로 변경을 하셔야 합니다.

 

(4) 악성코드 제거 프로그램 : 마이보안2012(My Boan 2012) - MMyBoan2012 1.0 (2012.4.3)

 

해당 프로그램의 설치 파일(MD5 : ca0a99eff47d3a175b42fa3193bf4cd4)에 대하여 Kaspersky 보안 제품에서는 Trojan-FakeAV.Win32.Agent.doj (VirusTotal : 22/42) 진단명으로 진단되고 있습니다.

 

(5) 검색 도우미 : SideOh (2011.11.11)

 

해당 프로그램의 설치 파일(MD5 : 772954d5de3ea9cfc2932cc40133a891)에 대하여 AhnLab V3 보안 제품에서는 PUP/Win32.SideOn (VirusTotal : 3/41) 진단명으로 진단되고 있습니다.

 

(6) 검색 도우미 : SmartTool (2011.4.11)

 

해당 프로그램의 설치 파일(MD5 : 047a5640f270660b1698f61e6abd9944)에 대하여 nProtect 보안 제품에서는 Trojan-Downloader/W32.Agent.66008.B (VirusTotal : 8/42) 진단명으로 진단되고 있습니다.

 

(7) 검색 도우미 : PostTip (2011.4.11)

 

해당 프로그램의 설치 파일(MD5 : 506e997e68e7f0454cfc36a2c509c5a3)에 대하여 Hauri ViRobot 보안 제품에서는 Trojan.Win32.Downloader.17504 (VirusTotal : 19/42) 진단되고 있습니다.(※ 현재 프로그램은 정상적으로 설치되지 않고 있습니다.)

 

(8) 11번가, G마켓, 옥션 바로가기 아이콘 생성 : bicon.exe (MD5 : d6c017390d11950d94575901dbd27585) 

[생성 파일 등록 정보]

 

C:\Documents and Settings\(사용자 계정)\Favorites\11번가.lnk
C:\Documents and Settings\(사용자 계정)\Favorites\G마켓.lnk
C:\Documents and Settings\(사용자 계정)\Favorites\옥션.lnk
C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\11sti.ico
C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\auctioni.ico
C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\gmarketi.ico
C:\Documents and Settings\(사용자 계정)\바탕 화면\11번가.lnk
C:\Documents and Settings\(사용자 계정)\바탕 화면\G마켓.lnk
C:\Documents and Settings\(사용자 계정)\바탕 화면\옥션.lnk 

 

해당 프로그램은 즐겨찾기, 바탕 화면에 11번가, G마켓, 옥션 바로가기 아이콘을 생성하며, 삭제 기능을 제공하지 않으므로 사용자는 수동으로 파일을 삭제해야 합니다. 

해당 바로가기 아이콘을 클릭하여 인터넷 쇼핑몰 사이트에 접속하는 과정에서 특정 광고 코드(click.clickstory.co.kr)가 추가되어 조건을 만족시킬 경우, 프로그램 제작자(배포자)에게 금전적 수익이 발생할 것으로 추정됩니다. 

이렇게 설치된 다수의 수익성 프로그램의 삭제는 제어판의 "boancheck365 uninstall", "MMyBoan2012 1.0", "SideOh", " SmartTool", " Win Search fordirectsearch" 5개의 삭제 항목을 이용하여 삭제할 수 있으며, 일부 삭제 기능을 제공하는 프로그램(3번, 8번)은 사용자가 수동으로 처리를 하셔야 합니다.

 

특히 이들 프로그램은 Windows findcheck System 검색 도우미 프로그램을 통해 설치가 되었으므로 반드시 해당 프로그램을 삭제하시는 것이 차후 또 다른 수익성 프로그램이 설치되는 것을 차단할 수 있습니다.