울지않는벌새 : Security, Movie & Society

국내 악성코드 : PC예약종료 1.0

벌새::Analysis

컴퓨터(PC) 예약 종료 프로그램을 이용하여 추가적인 업데이트 체크를 수행하는 국내에서 제작된 "PC예약종료 1.0" 프로그램에 대해 살펴보도록 하겠습니다.

 

해당 프로그램의 설치 파일(MD5 : 86ed003c4baf136fd10c04a37d3deb9e)에 대하여 AhnLab V3 보안 제품에서는 Trojan/Win32.ADH (VirusTotal : 25/44) 진단명으로 진단되고 있습니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Program Files\PC_OFF_APP
C:\Program Files\PC_OFF_APP\id.dat
C:\Program Files\PC_OFF_APP\PC_OFF_APP.exe :: 시작 프로그램 등록 파일 / 프로그램 실행 파일
C:\Program Files\PC_OFF_APP\shutdown.ico
C:\Program Files\PC_OFF_APP\uninst.exe :: 프로그램 삭제 파일
C:\WINDOWS\system32\MSINET.OCX
C:\WINDOWS\system32\VB6KO.DLL

 

[생성 파일 진단 정보]

 

C:\Program Files\PC_OFF_APP\PC_OFF_APP.exe
 - MD5 : 39da81ca0dd7122f720ee5ec65823be9
 - AhnLab V3 : Malware/Win32.Generic (VirusTotal : 21/44)

 

해당 프로그램은 "C:\Program Files\PC_OFF_APP" 폴더에 파일을 생성하며, Windows 시작시 PC_OFF_APP.exe 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.

자동 실행된 PC_OFF_APP.exe 파일은 특정 서버와 연결하여 업데이트 체크를 하며, 테스트 시점에서는 업데이트 창 생성 또는 추가적인 파일 다운로드 등의 동작은 확인되지 않고 있습니다.

실행된 프로그램은 시스템 트레이 알림 아이콘에 "PC예약종료프로그램"이라는 이름으로 등록되며, 프로그램을 실행해보면 그림과 같은 PC 종료 예약을 할 수 있는 기능을 제공하고 있습니다.

프로그램 삭제시에는 Windows 작업 관리자를 실행하여 PC_OFF_APP.exe 프로세스를 찾아 수동으로 종료하시기 바랍니다.

프로그램 삭제는 제어판의 "PC예약종료 1.0" 삭제 항목을 통해 삭제할 수 있으며, 프로그램 삭제 이후에도 제어판의 삭제 항목이 제거되지 않는 문제가 있을 수 있으므로 "변경/제거" 버튼을 한 번 더 실행하여 "제거 프로그램 오류" 창이 생성되면 "예(Y)" 버튼을 클릭하시면 됩니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\VB and VBA Program Settings\PC_OFF_APP
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - PC_OFF_APP = C:\Program Files\PC_OFF_APP\PC_OFF_APP.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
PC예약종료

 

  제휴(스폰서) 프로그램 : 컴오프(Comoff) 1.0 (2012.5.16)

 

  제휴(스폰서) 프로그램 : PowerOff Manager (2012.8.3)

 

이전부터 컴퓨터 예약 종료 프로그램을 이용하여 겉으로는 정상적인 기능을 제공하지만, 업데이트 기능을 통한 추가적인 수익성 프로그램 설치 행위가 있었던 사례가 있으므로 이번 프로그램 역시 주의하시기 바랍니다.