본문 바로가기

벌새::Analysis

국내 악성코드 : PC예약종료 1.0

반응형

컴퓨터(PC) 예약 종료 프로그램을 이용하여 추가적인 업데이트 체크를 수행하는 국내에서 제작된 "PC예약종료 1.0" 프로그램에 대해 살펴보도록 하겠습니다.

 

해당 프로그램의 설치 파일(MD5 : 86ed003c4baf136fd10c04a37d3deb9e)에 대하여 AhnLab V3 보안 제품에서는 Trojan/Win32.ADH (VirusTotal : 25/44) 진단명으로 진단되고 있습니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Program Files\PC_OFF_APP
C:\Program Files\PC_OFF_APP\id.dat
C:\Program Files\PC_OFF_APP\PC_OFF_APP.exe :: 시작 프로그램 등록 파일 / 프로그램 실행 파일
C:\Program Files\PC_OFF_APP\shutdown.ico
C:\Program Files\PC_OFF_APP\uninst.exe :: 프로그램 삭제 파일
C:\WINDOWS\system32\MSINET.OCX
C:\WINDOWS\system32\VB6KO.DLL

 

[생성 파일 진단 정보]

 

C:\Program Files\PC_OFF_APP\PC_OFF_APP.exe
 - MD5 : 39da81ca0dd7122f720ee5ec65823be9
 - AhnLab V3 : Malware/Win32.Generic (VirusTotal : 21/44)

 

해당 프로그램은 "C:\Program Files\PC_OFF_APP" 폴더에 파일을 생성하며, Windows 시작시 PC_OFF_APP.exe 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.

자동 실행된 PC_OFF_APP.exe 파일은 특정 서버와 연결하여 업데이트 체크를 하며, 테스트 시점에서는 업데이트 창 생성 또는 추가적인 파일 다운로드 등의 동작은 확인되지 않고 있습니다.

실행된 프로그램은 시스템 트레이 알림 아이콘에 "PC예약종료프로그램"이라는 이름으로 등록되며, 프로그램을 실행해보면 그림과 같은 PC 종료 예약을 할 수 있는 기능을 제공하고 있습니다.

프로그램 삭제시에는 Windows 작업 관리자를 실행하여 PC_OFF_APP.exe 프로세스를 찾아 수동으로 종료하시기 바랍니다.

프로그램 삭제는 제어판의 "PC예약종료 1.0" 삭제 항목을 통해 삭제할 수 있으며, 프로그램 삭제 이후에도 제어판의 삭제 항목이 제거되지 않는 문제가 있을 수 있으므로 "변경/제거" 버튼을 한 번 더 실행하여 "제거 프로그램 오류" 창이 생성되면 "예(Y)" 버튼을 클릭하시면 됩니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\VB and VBA Program Settings\PC_OFF_APP
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - PC_OFF_APP = C:\Program Files\PC_OFF_APP\PC_OFF_APP.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\PC예약종료

 

  제휴(스폰서) 프로그램 : 컴오프(Comoff) 1.0 (2012.5.16)

 

  제휴(스폰서) 프로그램 : PowerOff Manager (2012.8.3)

 

이전부터 컴퓨터 예약 종료 프로그램을 이용하여 겉으로는 정상적인 기능을 제공하지만, 업데이트 기능을 통한 추가적인 수익성 프로그램 설치 행위가 있었던 사례가 있으므로 이번 프로그램 역시 주의하시기 바랍니다.

728x90
반응형
  • 박소정 2012.11.09 20:44 댓글주소 수정/삭제 댓글쓰기

    저희집 프로그램 추가제거를 통해서 컴퓨터 정리를 하고있는데 PC예약종료가 있더라고요 근데 제거할때 오류가 생기고 포스트에 올려주신 것처럼 program폴더에 pc예약종료 폴더가 없습니다 이경우엔 어떻게해야하나요

    • 오류가 생기는 것은 공통적으로 생기는 것으로 보이며, 폴더가 없는 것은 처음 삭제 버튼 클릭을 해서 오류가 뜨지만 삭제가 된 것이므로 폴더가 없는 것입니다.

      해당 버튼을 다시 클릭해서 삭제 항목을 제거하시기 바랍니다. (글에 이 부분에 대해 적어 두었으니 다시 잘 읽어보시기 바랍니다.)

  • 신상 2012.11.20 07:57 댓글주소 수정/삭제 댓글쓰기

    이 프로그램 때문에 윈도우 로그인창이 안나옵니다...
    회사 여러 피씨가 있는데

    로그인창이안나옵니다
    어떤 값이 수정된것일까요?;;