본문 바로가기

벌새::Analysis

국내 악성코드 : Windows todayx86

시스템 시작시 "오늘의 쇼핑" 광고창을 생성하는 검색 도우미 "Windows todayx86" 프로그램에 대해 살펴보도록 하겠습니다.

 

  • h**p://yuri****.cafe24.com/part01.exe (MD5 : 7f585af3aaed818c68813d613aef85e7) - AhnLab V3 : Win-Dropper/KorAd.216871 (VirusTotal : 8/44)
  • h**p://yuri****.cafe24.com/part02.exe (MD5 : 7199c57f0b046960003dbc64b8cdf381)
  • h**p://yuri****.cafe24.com/part03.exe (MD5 : 5c5824565a67b2de0504bcd1698b293d)

확인된 프로그램의 설치 파일은 3종이며, 이 중에서 part01.exe 파일만 실제 배포가 이루어진 것으로 추정됩니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Documents and Settings\(사용자 계정)\시작 메뉴\프로그램\ctserv
C:\Program Files\ctserv
C:\Program Files\ctserv\ctserv.exe :: 서비스(ctwopop svc) 등록 파일
C:\Program Files\ctserv\ctwopop.exe :: 광고창 생성 프로세스
C:\Program Files\ctserv\uninst.exe :: 프로그램 삭제 파일
C:\WINDOWS\cdap.data

 

[생성 파일 진단 정보]

 

C:\Program Files\ctserv\ctserv.exe
 - MD5 : 53c2e56105524ac1375f4c0f190073b6
 - AhnLab V3 : Win-Adware/KorAd.98393 (VirusTotal : 1/45)

 

C:\Program Files\ctserv\ctwopop.exe
 - MD5 : a0fda4f1c89d54a230ca6ced20adcd3f
 - AhnLab V3 : Win-Adware/KorAd.462848.B (VirusTotal : 5/44)

해당 프로그램은 "C:\Program Files\ctserv" 폴더에 파일을 생성하며, "ctwopop(ctwopop svc)" 서비스 항목을 등록하여 시스템 시작시 "C:\Program Files\ctserv\ctserv.exe" 파일을 자동 실행하도록 구성되어 있습니다.

자동 실행된 ctserv.exe 서비스 파일은 추가적으로 "C:\Program Files\ctserv\ctwopop.exe" 파일을 로딩하며, 이 과정에서 특정 서버에서 database.dat 값을 체크하여 등록된 모듈이 존재할 경우 추가적인 동작이 있을 것으로 추정됩니다.

 

또한 그외 프로그램 설치 PC의 Mac Address 값을 기반으로 실행 카운터(Counter)를 체크하는 동작을 확인할 수 있습니다.

실행된 ctwopop.exe 파일은 바탕 화면에 "오늘의 쇼핑" 광고창을 생성하는 기능을 포함하고 있으며, 해당 광고창은 시스템 시작시마다 노출되지는 않는 것으로 확인되고 있습니다.

참고로 해당 광고창을 클릭하여 연결되는 인터넷 쇼핑몰 접속 과정에서는 광고 코드(cl.ilikeclick.com)가 추가되는 것을 확인할 수 있습니다.

프로그램 삭제시에는 Windows 작업 관리자를 실행하여 광고창을 생성하는 ctwopop.exe 프로세스가 존재할 경우 수동으로 종료하시기 바랍니다.

프로그램 삭제는 제어판의 "windows todayx86 (remove only) ," 삭제 항목을 이용하여 삭제할 수 있으며, 프로그램 삭제 후에는 추가적으로 다음의 절차에 따라 삭제되지 않은 서비스와 폴더(파일)를 수동으로 삭제하시기 바랍니다.

 

(1) 실행창에 [sc delete "ctwopop"] 명령어를 입력하여 "ctwopop(ctwopop svc)" 서비스를 삭제하시기 바랍니다.

(2) 다음의 폴더(파일)를 찾아 수동으로 삭제하시기 바랍니다.

 

  • C:\Documents and Settings\(사용자 계정)\시작 메뉴\프로그램\ctserv
  • C:\Program Files\ctserv
  • C:\Program Files\ctserv\ctserv.exe
[생성 레지스트리 등록 정보]

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\ctserv.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\windows todayx86 (remove only)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CTWOPOP
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ctwopop

 

"Windows todayx86" 프로그램 이름으로는 사용자가 어떤 기능을 하는지 전혀 확인할 수 없으며, 윈도우 관련 프로그램처럼 등록하여 사용자에게 혼동을 유발하고 있으므로 주의하시기 바랍니다.