울지않는벌새 : Security, Movie & Society

검색 도우미 : Micro Softwear Viewer Actx 1.0.0.1

벌새::Analysis

무료 만화 뷰어 프로그램으로 설치를 유도하여 특정 인터넷 쇼핑몰 이용시 후팝업 방식으로 광고 코드를 추가하는 검색 도우미 "Micro Softwear Viewer Actx 1.0.0.1" 프로그램(MD5 : 9659145d23c0f82b4473cb04cc9494bc)에 대해 살펴보도록 하겠습니다.

 

  국내 악성코드 : Micro WebViewer Application ActX (2012.12.4)

 

해당 프로그램은 기존의 유사한 기능을 가진 "Micro WebViewer Application ActX" 검색 도우미 프로그램의 변형된 버전이므로 참고하시기 바랍니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Documents and Settings\(사용자 계정)\KongGa
C:\Program Files\KongGa
C:\Program Files\KongGa\data
C:\Program Files\KongGa\data\11st_off.bmp
C:\Program Files\KongGa\data\11st_on.bmp
C:\Program Files\KongGa\data\ac_off.bmp
C:\Program Files\KongGa\data\ac_on.bmp
C:\Program Files\KongGa\data\bt_close.bmp
C:\Program Files\KongGa\data\g_off.bmp
C:\Program Files\KongGa\data\g_on.bmp
C:\Program Files\KongGa\data\sidebar.dat
C:\Program Files\KongGa\KGAAlert.exe :: 시작 프로그램(kgaalert) 등록 파일
C:\Program Files\KongGa\KGAChkSvc.exe :: 서비스(무료만화(KongGa)) 등록 파일
C:\Program Files\KongGa\KGAUninst.exe :: 프로그램 삭제 파일
C:\Program Files\KongGa\KGAUpdate.exe :: 시작 프로그램(KongGa) 등록 파일
C:\Program Files\KongGa\KongGaAx.dll
C:\Program Files\KongGa\KongGaCtrl.dll :: BHO 등록 파일
C:\Program Files\KongGa\KongGaSvcApp.exe
C:\Program Files\KongGa\KongGaSvcApp.tlb
C:\Program Files\KongGa\ominfo.dat

해당 프로그램은 "C:\Program Files\KongGa" 폴더에 파일을 생성하며, "KongGa(무료만화(KongGa))" 서비스 항목을 등록하여 시스템 시작시 "C:\Program Files\KongGa\KGAChkSvc.exe" 파일을 자동 실행하도록 구성되어 있습니다.

 

또한 Windows 시작시 KGAAlert.exe, KGAUpdate.exe 2개의 파일을 시작 프로그램으로 등록하여 다음과 같은 외부 연결을 시도합니다.

자동 실행된 KGAUpdate.exe 파일은 특정 광고 서버에서 업데이트 체크를 한 후 2분이 경과하면 자동 종료되며, KGAAlert.exe 파일도 광고 서버로부터 통신을 한 후 메모리에 상주하도록 구성되어 있습니다.

특히 KGAAlert.exe 파일은 실행 후 5분이 경과하는 시점에서 추가적인 연결을 체크하는 동작을 확인할 수 있습니다.

프로그램이 설치된 환경에서 사용자가 11번가, 옥션 등 특정 인터넷 쇼핑몰에 접속할 경우 KongGaSvcApp.exe 파일을 통해 광고 서버와 연결하여 백그라운드 방식으로 동일한 인터넷 쇼핑몰을 로딩하며, 사용자가 접속한 인터넷 쇼핑몰을 종료하는 시점에서 후팝업 광고창을 생성합니다.

 

이 과정에서 광고 코드(click.interich.com)가 추가되어 특정 조건을 만족시킬 경우 프로그램 제작자(배포자)에게 금전적 수익이 발생할 것으로 보입니다.

[추가 기능 관리 : 도구 모음 및 확장 프로그램]

 

이름 : KongGaObj Class

게시자 : Qzoneinteractive

유형 : 브라우저 도우미 개체

CLSID : {432339F4-9FDC-43BA-99C2-FEE0D9EA7C74}

파일 : C:\Program Files\KongGa\KongGaCtrl.dll

 

해당 광고 동작은 KongGaCtrl.dll 파일을 브라우저 도우미 개체(BHO)로 등록하여 이루어지므로, 광고 동작의 중지를 위해서는 웹 브라우저의 추가 기능 관리에 등록된 "KongGaObj Class" 항목을 선택하여 "사용 안 함"으로 변경하시기 바랍니다.

또한 Windows 작업 관리자를 실행하여 KGAAlert.exe 프로세스를 찾아 수동으로 종료하시기 바랍니다.

프로그램 삭제시에는 Internet Explorer 웹 브라우저를 종료한 상태에서 제어판의 "Micro Softwear Viewer Actx 1.0.0.1" 삭제 항목을 이용하여 삭제할 수 있으며, 프로그램 삭제 후에는 추가적으로 "C:\Documents and Settings\(사용자 계정)\KongGa" 폴더를 수동으로 삭제하시기 바랍니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\KongGa
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\{34DC673A-EF59-4BFE-875F-AC0F98E7317F}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\{41F7159E-AE53-44BD-B4C7-F5F3B60CAB77}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\KongGaAx.DLL
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\KongGaCtrl.DLL
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{10FA6918-6C29-4D4F-B862-24DFFF635E4A}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{432339F4-9FDC-43BA-99C2-FEE0D9EA7C74}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9C52D393-5863-4332-812F-537C38AA3F6B}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F0067D07-FAF3-4D60-9923-9FFC11AE79EC}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{69C5F18E-DD06-4449-B52C-A6E71CDCCE24}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{9D08E3BD-7BFB-44DD-B78E-EAF2A166A4FB}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{9EF99DAB-9313-4D79-AE4A-9E3508F6A749}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{A7C175D4-6129-4185-8A8B-0E1873106D7D}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{FDAF4FE3-BF7B-401E-A048-15720712D9CF}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\KongGaAx.KongGaAxCtrl
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\KongGaAx.KongGaAxCtrl.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\KongGaAx.KongGaAxObj
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\KongGaAx.KongGaAxObj.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\KongGaCtrl.KongGaObj
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\KongGaCtrl.KongGaObj.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\KongGaSvcApp.KongGaSvcObj
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\KongGaSvcApp.KongGaSvcObj.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{0E14F642-959B-4924-B718-1B0B918A53C3}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{93C7ACC5-10FD-4213-AA5C-4F80DA1DCA22}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{E9CC71E5-DE1F-4FFE-AD9A-AF2B32671147}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{8AC0DD83-D197-413b-B636-169368276BCD}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{8E37EDEA-0D6E-407b-8956-5681395090B0}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{432339F4-9FDC-43BA-99C2-FEE0D9EA7C74}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - kgaalert = C:\Program Files\KongGa\KGAAlert.exe
 - KongGa = C:\Program Files\KongGa\KGAUpdate.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
KongGa
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_KONGGA
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\KongGa

"Micro Softwear Viewer Actx 1.0.0.1" 프로그램은 무료 만화 뷰어 기능은 제공하지 않으며, 설치 폴더(KongGa)와 제어판에 등록된 이름이 전혀 달라 사용자에게 혼동을 유발하고 있습니다.

 

또한 차후 업데이트 기능을 통해 추가적인 수익성 프로그램의 설치를 유도할 가능성도 존재하므로 주의하시기 바랍니다.