본문 바로가기

벌새::Analysis

국내 악성코드 : Internet svbar Client

반응형

인터넷 검색시 광고창 생성 및 웹 브라우저 하단에 광고바를 생성하는 검색 도우미 "Internet svbar Client" 프로그램에 대해 살펴보도록 하겠습니다.

 

해당 프로그램의 설치 파일(MD5 : 71d8eae8032bbc66ff2ccf7998cce6ed)에 대하여 AhnLab V3 보안 제품에서는 ASD.Prevention (VirusTotal : 21/42) 진단명으로 진단되고 있습니다.

 

특히 해당 프로그램은 제어판에 프로그램 삭제 항목을 등록하고 있지만, 실제 삭제 파일은 존재하지 않는 문제로 삭제가 이루어지지 않는 것으로 확인되고 있으므로 주의하시기 바랍니다.

 

  국내 악성코드 : Windows Onestep System (2011.11.12)

 

  검색 도우미 : Windows Onestep System - onestep (2011.11.22)

 

  국내 악성코드 : Addendum Sidebar(gamjoa) (2012.1.15)

 

  국내 악성코드 : Windows smartlink System (2012.2.14)

 

  검색 도우미 : Internet SubJet Client (2012.2.18)

 

  검색 도우미 : SideMatch2.0 (2012.4.1)

 

  국내 악성코드 : Windows findcheck System (2012.4.9)

 

  검색 도우미 : Internet linelink Client (2012.4.23)

 

  검색 도우미 : Windows wordfind System (2012.5.19)

 

  검색 도우미 : Internet gold-bar Client (2012.6.17)

 

참고로 해당 프로그램과 유사한 기능을 하는 다양한 이름의 검색 도우미 프로그램이 존재하므로 참고하시기 바랍니다.

GET /svbar/svbar.zip HTTP/1.1
Content-Type: text/html
Host: pops.**-diva.co.kr
Accept: text/html, */*
User-Agent: Mozilla/3.0 (compatible; Indy Library)

프로그램 설치 과정을 살펴보면 특정 광고 서버로부터 프로그램 관련 파일이 포함된 압축 파일(svbar.zip)을 다운로드하여 "C:\Program Files\svbar" 폴더에 파일을 생성하는 것을 확인할 수 있습니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Program Files\svbar
C:\Program Files\svbar\ies.tml
C:\Program Files\svbar\ls.plc
C:\Program Files\svbar\svb.exe
C:\Program Files\svbar\svbar.dll
C:\Program Files\svbar\svbarb.dll :: BHO 등록 파일
C:\Program Files\svbar\svbare.exe :: 시작 프로그램 등록 파일(시스템 시작 후 5분 동안 메모리 상주)

 

설치된 프로그램은 Windows 시작시 svbare.exe 파일을 시작 프로그램으로 등록하여 자동 실행되며, 실행된 프로그램은 다음과 같은 업데이트 체크 동작을 5분 동안 진행한 후 자동으로 종료되도록 구성되어 있습니다. 

업데이트 체크를 세부적으로 확인해보면 최초 svbare.exe 파일이 실행된 후 2분 30초 동안 Internet svbar Client 프로그램 업데이트 체크를 반복적으로 진행하며, 그 후 2분 30초 동안은 추가적인 다운로드( 수익성 프로그램)가 있는지 체크하는 동작을 확인할 수 있습니다. 

2가지 패턴의 업데이트 체크가 5분간 지속된 후 사용자 Mac Address 값 체크를 통한 svbare.exe 프로세스는 자동으로 종료되도록 구성되어 있습니다. 

프로그램의 광고 기능을 살펴보면 사용자가 인터넷 검색시마다 iexplore.exe 프로세스 하위에 svb.exe 프로세스를 생성하여 특정 광고 서버로부터 광고 구성값을 체크하며, 이를 통해 추가적인 광고창을 생성하는 동작을 확인할 수 있습니다. 

실제 연결 정보를 확인해보면 검색 키워드를 입력할 경우 생성되는 svb.exe 프로세스는 특정 광고 서버에 검색 키워드 값을 매칭(Matching)시켜 광고 코드(adnclick.com)가 추가된 광고창을 생성하는 동작을 확인할 수 있습니다. 

그 외에 포털 사이트 검색을 통해 오픈된 검색 결과창에서는 웹 브라우저 하단에 광고바를 생성하는 동작을 확인할 수 있습니다. 

[추가 기능 관리 : 도구 모음 및 확장 프로그램]

 

이름 : svbar

유형 : 브라우저 도우미 개체

CLSID : {C13A2B0B-2A62-479B-968F-71D7FD9E8A35}

파일 : C:\Program Files\svbar\svbarb.dll

 

이름 : svbar

유형 : 탐색창

CLSID : {4FF1015C-06F6-4367-8BF3-54CD3545F20F}

파일 : C:\Program Files\svbar\svbar.dll

 

해당 프로그램은 Internet Explorer 웹 브라우저 실행시 iexplore.exe 프로세스에 svbarb.dll 파일을 브라우저 도우미 개체(BHO)로 등록하여 키워드 감시를 통한 광고창 생성 동작을 하며, svbar.dll 파일을 통해 웹 브라우저 하단에 광고바를 생성하는 동작을 합니다.

 

그러므로 해당 광고 동작의 중지를 위해서는 웹 브라우저의 추가 기능 관리에 등록된 "svbar" 항목을 선택하여 "사용 안 함"으로 변경하시기 바랍니다. 

또한 시스템 시작 후 5분 가량 svbare.exe 프로세스가 메모리에 상주하므로, 프로그램 삭제시에는 Windows 작업 관리자를 실행하여 해당 프로세스가 존재할 경우 수동으로 종료하시고 삭제를 진행하시기 바랍니다. 

프로그램 삭제를 위해서 제어판에 등록된 "Internet svbar Client" 삭제 항목을 이용하여 삭제를 시도할 경우 "제거 프로그램 오류" 창이 생성되는 것을 확인할 수 있습니다. 

해당 문제는 프로그램 삭제를 위해 등록한 레지스트리 값(HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\svbar)에 연결된 삭제 파일(C:\Program Files\svbar\uninstall.exe)이 존재하지 않기 때문에 발생한 것입니다.

 

그러므로 프로그램 삭제를 위해서는 다음의 절차에 따라 프로그램을 삭제하시기 바랍니다.

 

(1) Internet Explorer 웹 브라우저의 추가 기능 관리에 등록된 "svbar" 항목을 선택하여 "사용 안 함"으로 변경한 후 모든 웹 브라우저를 종료합니다.

 

(2) Windows 작업 관리자를 실행하여 svbare.exe 프로세스가 존재할 경우 수동으로 종료하시기 바랍니다.

 

(3) 윈도우 탐색기를 실행하여 "C:\Program Files\svbar" 폴더 및 내부 파일을 모두 삭제하시기 바랍니다.

 

(4) 레지스트리 편집기(regedit)를 실행하여 다음의 레지스트리 값을 수동으로 삭제하시기 바랍니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - svbar = C:\Program Files\svbar\svbare.exe
HKEY_CURRENT_USER\Software\nosvbar
HKEY_CURRENT_USER\Software\svbar
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{4FF1015C-06F6-4367-8BF3-54CD3545F20F}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{C13A2B0B-2A62-479B-968F-71D7FD9E8A35}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\svbar.one
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\svbar
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{C13A2B0B-2A62-479B-968F-71D7FD9E8A35}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
svbar

 

해당 프로그램은 프로그램 목록에 제시되지 않는 문제로 설치 여부를 확인하기 어려우며, 차후 업데이트 기능을 이용하여 사용자에게 원치 않는 수익성 프로그램 설치 유도가 있을 수 있으므로 주의하시기 바랍니다.

728x90
반응형