본문 바로가기

벌새::Analysis

국내 악성코드 : IntoTheMap Plus CP IE Helper

국내에서 제작되어 바탕 화면, 즐겨찾기 항목에 인터넷 쇼핑몰 바로가기 아이콘을 생성하며, 프로그램 삭제 후에도 다른 형태로 프로그램을 유지하는 IntoTheMap Plus CP IE Helper 프로그램에 대해 살펴보도록 하겠습니다.

 

참고로 해당 프로그램의 설치 파일(MD5 : 18caac1530e32504a91409ba84338512)에 대하여 Microsoft 보안 제품에서는 Adware:Win32/CloverPlus.A (VirusTotal : 10/42) 진단명으로 진단되고 있습니다.

 

우선 프로그램의 설치 과정을 살펴보면 설치 파일이 실행되면 "C:\Program Files\intothemap CP" 폴더 내에 clover_updater.exe 파일(MD5 : 0e462cc669aac741b8834944d4119a1d)을 생성하여 다음과 같은 추가적인 다운로드를 시도합니다.(※ 해당 파일에 대하여 Microsoft 보안 제품에서는 Adware:Win32/CloverPlus.A (VirusTotal : 11/42) 진단명으로 진단되고 있습니다.)

 

  • h**p://***.clover****.com/files/pav/c_updater.exe (MD5 : dcd6e5e24bf30629874720ea8892daeb) - Hauri ViRobot : Adware.Agent.94720.E (VirusTotal : 30/42)

다운로드된 c_updater.exe  파일은 "C:\Program Files\intothemap CP\updater(3자리 숫자).exe" 형태로 생성되며 해당 파일은 추가적으로 다음의 파일을 다운로드 시도합니다.

 

  • h**p://***.clover****.com/files/pav/c_exe.exe (MD5 : a0100bc9124e96cd292eb5655c4c7727) - AhnLab V3 : ASD.Prevention (VirusTotal : 18/42)
  • h**p://***.clover****.com/files/pav/c_side.dll (MD5 : 3cd6985f5fa7f3595d71be8cf97eeb93) - AhnLab V3 : PUP/Win32.CloverPlus (VirusTotal : 31/42)

그 이후 c_exe.exe (= intothemap_CP.exe) 파일은 바탕 화면과 즐겨찾기에 생성할 인터넷 쇼핑몰 아이콘 관련 파일을 추가로 다운로드하여 프로그램을 최종적으로 설치 완료합니다.

 

[생성 폴더 / 파일 등록 정보 : IntoTheMap Plus CP IE Helper 프로그램]

 

C:\Documents and Settings\(사용자 계정)\Favorites\11번가 무료쿠폰 선착순 지급.url
C:\Documents and Settings\(사용자 계정)\Favorites\G마켓 현금지원 이벤트.url
C:\Documents and Settings\(사용자 계정)\Favorites\연결\11번가쿠폰.url
C:\Documents and Settings\(사용자 계정)\Favorites\연결\G마켓쿠폰.url
C:\Documents and Settings\(사용자 계정)\Favorites\연결\옥션쿠폰.url
C:\Documents and Settings\(사용자 계정)\Favorites\옥션 무료쿠폰 선착순 지급.url
C:\Documents and Settings\(사용자 계정)\바탕 화면\11번가 무료쿠폰.url
C:\Documents and Settings\(사용자 계정)\바탕 화면\G마켓 현금지원.url
C:\Documents and Settings\(사용자 계정)\바탕 화면\옥션 무료쿠폰.url
C:\Documents and Settings\All Users\시작 메뉴\프로그램\인투더맵 플러스 CP
C:\Documents and Settings\All Users\시작 메뉴\프로그램\인투더맵 플러스 CP\IntoTheMap Plus CP IE Helper 설치제거.lnk
C:\Program Files\intothemap CP
C:\Program Files\intothemap CP\intothemap_CP_updater.exe :: 시작 프로그램 등록 파일
C:\Program Files\intothemap CP\intothemap_CP.dll
C:\Program Files\intothemap CP\intothemap_CP.exe :: 시작 프로그램 등록 파일 / 메모리 상주 프로세스
C:\WINDOWS\auction_con.ico
C:\WINDOWS\CloverPlus.cot
C:\WINDOWS\dnshop_con.ico
C:\WINDOWS\gmarket_con.ico
C:\WINDOWS\intothemap_uninstall.exe :: 프로그램 삭제 파일

 

[생성 파일 진단 정보]

 

C:\Program Files\intothemap CP\intothemap_CP_updater.exe
 - MD5 : dcd6e5e24bf30629874720ea8892daeb
 - Hauri ViRobot : Adware.Agent.94720.E (VirusTotal : 30/42)

 

C:\Program Files\intothemap CP\intothemap_CP.dll
 - MD5 : 3cd6985f5fa7f3595d71be8cf97eeb93
 - AhnLab V3 : PUP/Win32.CloverPlus (VirusTotal : 31/42)

 

C:\Program Files\intothemap CP\intothemap_CP.exe
 - MD5 : a0100bc9124e96cd292eb5655c4c7727
 - AhnLab V3 : ASD.Prevention (VirusTotal : 18/42)

 

해당 프로그램은 "C:\Program Files\intothemap CP" 폴더에 파일을 생성하며, Windows 시작시 intothemap_CP_updater.exe, intothemap_CP.exe 2개의 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다. 

자동 실행된 intothemap_CP_updater.exe 파일은 프로그램 파일 업데이트 체크를 하며, intothemap_CP.exe 파일은 광고 기능을 담당하는 것으로 확인되고 있습니다. 

IntoTheMap Plus CP IE Helper 프로그램이 설치된 환경에서는 바탕 화면과 즐겨찾기 항목에 11번가, G마켓, 옥션 인터넷 쇼핑몰 바로가기 아이콘이 등록되는 것을 확인할 수 있습니다. 

해당 인터넷 쇼핑몰 바로가기 아이콘을 통해 접속을 시도할 경우 특정 광고 코드(cl.ilikeclick.com)가 추가되어 연결되는 것을 확인할 수 있습니다. 

또한 인터넷 검색을 통해 웹 사이트 접속을 하는 과정에서 특정 광고 서버로부터 검색 키워드 값을 참조하는 동작을 확인할 수 있습니다. 

검색을 통해 오픈되는 웹 사이트의 경우에도 웹 브라우저 좌측 사이드바에 "brainclan SM"이라는 사이드바 광고가 노출될 가능성도 확인할 수 있습니다. 

[추가 기능 관리 : 도구 모음 및 확장 프로그램]

 

이름 : brainclan SM

유형 : 탐색창

CLSID : {B1DF652F-3A33-4F9F-B809-59870C4E9027}

파일 : C:\Program Files\intothemap CP\intothemap_CP.dll

 

해당 사이드바 광고 동작은 Internet Explorer 웹 브라우저 실행시 intothemap_CP.dll 파일을 탐색창으로 등록하여 동작하므로, 광고 동작의 중지를 위해서는 웹 브라우저의 추가 기능 관리에 등록된 "brainclan SM" 항목을 선택하여 "사용 안 함"으로 변경하시기 바랍니다. 

또한 Windows 작업 관리자를 실행하여 메모리에 상주하는 intothemap_CP.exe 프로세스를 찾아 수동으로 종료하시기 바랍니다. 

intothemap_CP.exe 프로세스의 경우 시스템 시작시 또는 특정 환경에서 백그라운드 방식으로 다양한 웹 사이트 연결 동작이 일정 시간 지속하여 시스템을 무겁게하는 동작도 확인할 수 있습니다. 

해당 프로그램은 다른 정상적인 소프트웨어처럼 제어판을 통한 삭제 기능을 제공하고 있으며, 사용자가 "IntoTheMap Plus CP IE Helper" 삭제 항목을 클릭할 경우 프로그램이 정상적으로 삭제되었다는 메시지를 생성합니다.

 

[생성 레지스트리 등록 정보 : IntoTheMap Plus CP IE Helper 프로그램]

 

HKEY_CURRENT_USER\Software\Microsoft\CloverP
HKEY_CURRENT_USER\Software\Microsoft\CloverPlus
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{B1DF652F-3A33-4f9f-B809-59870C4E9027}
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - clover = C:\Program Files\intothemap CP\intothemap_CP.exe
 - clover_u = C:\Program Files\intothemap CP\intothemap_CP_updater.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\clover1.clover1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\clover1.clover1.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B1DF652F-3A33-4f9f-B809-59870C4E9027}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
cloverplus

 

하지만 해당 프로그램은 제어판을 통한 삭제 기능은 형식적인 것이며, 이면에는 다음과 같은 악의적인 동작을 포함하고 있습니다. 

IntoTheMap Plus CP IE Helper 프로그램을 제어판을 통한 삭제 이후에 "C:\Program Files\intothemap CP" 폴더를 확인해보면 관련 파일이 여전히 삭제되지 않고 존재합니다.

HKEY_CURRENT_USER\Software\Microsoft\CloverPlus
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\

cloverplus

실제 제어판을 통해 삭제된 부분을 확인해보면 위의 2개의 레지스트리 키 값만을 삭제하여 제어판에 등록된 삭제 항목만 제거된 것을 확인할 수 있습니다.

 

프로그램 삭제 이후 사용자가 시스템 재부팅을 진행하면 시작 프로그램에 등록된 intothemap_CP_updater.exe 파일이 자동으로 실행되는 과정에서 "C:\Program Files\intothemap CP" 폴더 내에 존재하던 파일들은 삭제 처리되며, "C:\Program Files\CloverPlus\updater(3자리 숫자).exe" 파일을 다운로드하여 IntoTheMap Plus CP IE Helper 프로그램이 설치되는 과정과 동일하게 "C:\Program Files\CloverPlus" 폴더에 파일명을 변경하여 재설치하는 동작을 확인할 수 있습니다.

 

이를 통해 "C:\Program Files\intothemap CP" 폴더 내의 파일은 모두 삭제 처리되어 마치 프로그램이 삭제된 것처럼 사용자를 속이고 있습니다.

 

[생성 폴더(파일) 및 진단 정보 : CloverPlus 프로그램]

 

C:\Program Files\CloverPlus

 

C:\Program Files\CloverPlus\clover.dll
 - MD5 : 3cd6985f5fa7f3595d71be8cf97eeb93
 - AhnLab V3 : PUP/Win32.CloverPlus (VirusTotal : 31/42)

※ 해당 파일은 intothemap_CP.dll 파일의 복제 파일입니다.

 

C:\Program Files\CloverPlus\clover.exe :: 시작 프로그램 등록 파일 / 메모리 상주 프로세스
 - MD5 : a0100bc9124e96cd292eb5655c4c7727
 - AhnLab V3 : ASD.Prevention (VirusTotal : 18/42)

※ 해당 파일은 intothemap_CP.exe 파일의 복제 파일입니다.

 

C:\Program Files\CloverPlus\clover_updater.exe :: 시작 프로그램 등록 파일
 - MD5 : dcd6e5e24bf30629874720ea8892daeb
 - Hauri ViRobot : Adware.Agent.94720.E (VirusTotal : 30/42)

※ 해당 파일은 intothemap_CP_updater.exe 파일의 복제 파일입니다.

 

[생성(변경) 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\Microsoft\CloverPlus

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - clover = C:\Program Files\CloverPlus\clover.exe
 - clover_u = C:\Program Files\CloverPlus\clover_updater.exe


새롭게 생성된 CloverPlus 프로그램은 IntoTheMap Plus CP IE Helper 프로그램과 동일한 기능을 하며, Windows 시작시 clover.exe, clover_updater.exe 2개의 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.

 

[추가 기능 관리 : 도구 모음 및 확장 프로그램]

 

이름 : brainclan SM

유형 : 탐색창

CLSID : {B1DF652F-3A33-4F9F-B809-59870C4E9027}

파일 : C:\Program Files\CloverPlus\clover.dll

 

해당 프로그램은 웹 브라우저의 추가 기능 관리에 등록된 "brainclan SM" 탐색창 항목의 연결 파일 역시 변경된 clover.dll 파일로 변경한 것을 확인할 수 있으며, 프로그램 삭제시에는 해당 항목을 선택하여 "사용 안 함"으로 변경하시기 바랍니다. 

또한 새롭게 생성된 CloverPlus 프로그램은 삭제 기능 자체가 존재하지 않으므로 Windows 작업 관리자에서 메모리에 상주하는 clover.exe 프로세스를 수동으로 종료한 후 다음과 같은 절차에 따라 프로그램을 삭제하시기 바랍니다.(※ 삭제시 반드시 Internet Explorer 웹 브라우저를 종료한 상태에서 진행하시기 바랍니다.)

 

(1) 윈도우 탐색기를 이용하여 게시글에 언급된 IntoTheMap Plus CP IE Helper, CloverPlus 프로그램의 생성 폴더 및 파일 정보를 참고하여 모두 삭제을 삭제합니다.

 

(2) 레지스트리 편집기(regedit)를 실행하여 IntoTheMap Plus CP IE Helper, CloverPlus 프로그램이 생성(변경)한 레지스트리 등록 정보를 참고하여 관련 키를 모두 삭제하시기 바랍니다.

 

해당 프로그램은 삭제 기능을 제공하지만 삭제 이후에도 다른 폴더에 동일한 기능을 하는 파일을 생성하여 지속적으로 수익을 창출하므로 주의하시기 바랍니다.