본문 바로가기

벌새::Analysis

국내 악성코드 : Windows zjefsys x86

반응형

글자수 세기 프로그램을 이용하여 시스템 시작시 업데이트 기능을 통해 추가적인 수익성 프로그램을 설치할 가능성이 존재하는 "Windows zjefsys x86" 프로그램에 대해 살펴보도록 하겠습니다.

 

해당 프로그램의 설치 파일(MD5 : d0880923454809ee99a84fce68707b95)에 대하여 Hauri ViRobot 보안 제품에서는 Adware.Agent.112279 (VirusTotal : 20/42) 진단명으로 진단되고 있습니다.

 

  국내 악성코드 : Windows pdsallsys x86 (2012.9.6)

 

또한 해당 프로그램은 동일한 기능을 가진 "Windows pdsallsys x86" 프로그램을 통해 사용자 몰래 설치되는 것을 확인할 수 있었습니다. 

해당 설치 화면은 실제 배포 과정에서는 사용자에게 제시되지 않습니다.

해당 프로그램의 설치 파일을 이용하여 수동 설치를 진행하면 그림과 같은 이용약관을 통해 "문자열 세기 프로그램"을 설치한다고 안내하고 있습니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Program Files\zjef
C:\Program Files\zjef\cns.dat
C:\Program Files\zjef\uninst.exe :: 프로그램 삭제 파일
C:\Program Files\zjef\zjef.exe :: 글자수 세기 프로그램 실행 파일
C:\Program Files\zjef\zjefmds.exe :: 시작 프로그램 등록 파일

 

[생성 파일 진단 정보]

 

C:\Program Files\zjef\zjefmds.exe
 - MD5 : a106717df8ea704eda619dfbc0969c30
 - BitDefender : Gen:Variant.Graftor.40591 (VirusTotal : 10/42)

 

해당 프로그램은 "C:\Program Files\zjef" 폴더에 파일을 생성하며, Windows 시작시 zjefmds.exe 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다. 

자동 실행된 파일은 특정 서버에서 추가적인 업데이트 정보를 받아오며, 만약 등록된 파일이 존재할 경우 사용자 동의없이 자동으로 설치될 가능성이 존재합니다. 

생성된 파일을 살펴보면 사용자가 "C:\Program Files\zjef\zjef.exe" 파일을 찾아 직접 실행한 경우에만 "글자수 세기 프로그램"이 동작하므로, 해당 프로그램의 주 배포 목적은 업데이트를 통한 추가적인 수익성 프로그램 설치가 목적으로 보입니다. 

프로그램 삭제는 제어판의 "windows zjefsys x86 (remove only) ." 삭제 항목을 이용하여 삭제할 수 있습니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\zjef.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - zjefmds = C:\Program Files\zjef\zjefmds.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
windows zjefsys x86 (remove only)

 

테스트 시점에서는 추가적인 다운로드 동작이 없지만, 배포자의 의도에 따라 원하는 시점에서 다수의 수익성 프로그램이 설치될 가능성이 존재하므로 주의하시기 바랍니다.

728x90
반응형