본문 바로가기

벌새::Analysis

[삭제] bounce.exe

반응형

국내에서 제작된 광고 프로그램의 업데이트 기능을 이용하여 사용자 동의없이 몰래 설치되는 것으로 알려진 OpenPot 계열의 삭제 기능을 제공하지 않는 Bounce.exe 파일에 대해 살펴보도록 하겠습니다.

 

  국내 악성코드 : OpenPot - Sysmax.exe (2012.1.29)

 

해당 프로그램은 기존에 소개한 Sysmax.exe 악성 파일과 유사성이 강하므로 참고하시기 바라며, 설치 파일(MD5 : 5895c5a1b4843070b2c60b7d1da53947)에 대하여 Kaspersky 보안 제품에서는 Trojan.Win32.Agent.smjj (VirusTotal : 1/42) 진단명으로 진단되고 있습니다.

GET /bounce/bounce.zip HTTP/1.1
Content-Type: text/html
Host: down.smart-****.kr
Accept: text/html, */*
User-Agent: Mozilla/3.0 (compatible; Indy Library)

해당 프로그램은 설치시 특정 광고 서버로부터 프로그램의 부속 파일을 포함한 bounce.zip 압축 파일을 다운로드하여 설치가 진행됩니다.

 

[생성 파일 등록 정보]

 

C:\Documents and Settings\(사용자 계정)\Application Data\bounce.exe :: 시작 프로그램 등록 파일 / 메모리 상주 프로세스
C:\Documents and Settings\(사용자 계정)\Application Data\bounce.zip
C:\Documents and Settings\(사용자 계정)\Application Data\category.dt
C:\Documents and Settings\(사용자 계정)\Application Data\nhopen.dll

 

[생성 파일 진단 정보]

 

C:\Documents and Settings\(사용자 계정)\Application Data\bounce.exe
 - MD5 : 85e489cbe5b5f2f7f47b331899dad792
 - avast! : Win32:Clicker-W [Trj] (VirusTotal : 15/42)

 

해당 프로그램은 자체 폴더를 가지고 있지 않으며, 숨김(H) 속성 폴더인 "C:\Documents and Settings\(사용자 계정)\Application Data" 폴더 내에 파일을 생성하도록 제작되어 있습니다.

 

프로그램 설치가 완료된 후 시작 프로그램으로 등록된 bounce.exe 파일은 다음과 같은 특정 광고 서버에서 광고 구성 정보를 받아오는 동작을 합니다.

GET /app/config.php?app=81 HTTP/1.1
Host: adm.**god.co.kr
Accept: text/html, */*
Accept-Encoding: identity
User-Agent: Mozilla/3.0 (compatible; Indy Library)

해당 광고 구성값은 "HKEY_CURRENT_USER\Software\bounce\AD" 레지스트리 값에 등록되며, 키 값으로 추정해보면 특정 시간 간격으로 시스템 트레이 알림 아이콘 상단에 일명 토스트(Toast) 팝업창 광고를 생성하는 기능을 수행할 것으로 추정됩니다.

 

그 외에 "C:\Documents and Settings\(사용자 계정)\Application Data\nhopen.dll" 파일은 실제 동작에는 불필요한 형식적인 파일로 추정되며, "Internet linelink Client" 검색 도우미 프로그램에서 확인된 부속 파일로 보입니다.

 

해당 프로그램은 제어판을 통한 삭제 및 삭제 기능을 담당하는 파일이 존재하지 않으므로 다음과 같은 절차에 따라 수동으로 삭제하시기 바랍니다.

 

(1) Windows 작업 관리자에서 bounce.exe 프로세스를 찾아 수동으로 종료하시기 바랍니다. 

 

(2) 윈도우 탐색기를 이용하여 숨김(H) 속성 폴더 내부에 생성된 다음의 파일을 찾아 삭제하시기 바랍니다. 

 

(3) 레지스트리 편집기(regedit)를 실행하여 다음의 키 값을 찾아 삭제하시기 바랍니다.

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - bounce = C:\Documents and Settings\(사용자 계정)\Application Data\bounce.exe
HKEY_CURRENT_USER\Software\bounce

 

  <Right Security Blog> 무료 시스템 최적화 프로그램 MyPC 에 숨어 있는 OpenPot 광고 파일 (2012.3.28)

 

OpenPot 광고 프로그램은 그 외에도 다양한 경로를 통해 프로그램 설치 과정에서 사용자 몰래 추가되며, 삭제는 지원하지 않고 있는 사례도 확인되고 있으므로 주의가 요구됩니다.

728x90
반응형