본문 바로가기

벌새::Analysis

국내 악성코드 : InICD

정상 프로그램처럼 위장하여 설치가 이루어진 후 추가적인 다운로드 시도 및 삭제를 지원하지 않는 "InICD" 프로그램(MD5 : 153d2526acb5338994bcbedaf1d36ba0)에 대해 살펴보도록 하겠습니다.

설치에 이용되는 파일은 "INICD Application" 이름으로 등록되어 있으며, 사용자 동의를 얻어 설치가 이루어지지만 출처를 확인할 수 없습니다.

 

  국내 악성코드 : wfindsearchc 1.00 (2011.7.21)

 

  AMD 파일로 위장한 국내 악성코드 유포 주의 (2012.3.21)

 

  NVIDIA 파일로 위장한 국내 악성코드 유포 주의 (2012.3.29)

 

  Microsoft Windows 데이타 Manager 파일로 위장한 악성코드 유포 주의 (2012.5.4)

 

  Safe Search 광고 프로그램으로 위장한 CB Optimization 프로그램 주의 (2012.8.20)

 

  Smart Bar 프로그램을 이용한 WTL75 프로그램 유포 주의 (2012.10.7)

 

  이니텍(INITECH) 프로그램으로 위장한 IniCert 프로그램 유포 주의 (2012.12.28)

 

해당 프로그램은 기존부터 다양한 이름으로 사용자 몰래 프로그램 설치를 시도하고 있으므로 참고하시기 바랍니다.

프로그램이 설치되는 과정에서 중국(China)에 위치한 "moutg66.pnsweb.net" 서버로 사용자 Mac Address 값, 운영 체제(OS), 설치 코드 정보를 체크하는 동작을 확인할 수 있습니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Program Files\INICD
C:\Program Files\INICD\32pgu.exe :: 시작 프로그램 등록 파일
C:\Program Files\INICD\rtb.dat
C:\Program Files\INICD\rtv.exe :: 메모리 상주 프로세스
C:\Program Files\INICD\UnInstall.exe :: 프로그램 삭제 파일

 

설치가 완료된 프로그램은 "C:\Program Files\INICD" 폴더에 파일을 생성하며, Windows 시작시 "C:\Program Files\INICD\32pgu.exe" 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.

자동 실행된 32pgu.exe 파일은 1분이 경과하는 시점에서 "C:\Program Files\INICD\rtv.exe" 파일을 로딩하며, 실행된 rtv.exe 파일은 중국(China)에 위치한 특정 서버와 연결을 시도합니다.

연결을 통해 업데이트 체크를 수행하며, 현재 테스트 시점에서는 업데이트 구성값을 가진 rta.dat 파일이 "404 Not Found" 상태로 추가적인 다운로드는 이루어지지 않고 있습니다.

 

[추가 생성 폴더 / 파일 등록 정보]

 

C:\Program Files\INICD\Temp
C:\Program Files\INICD\rta.dat

만약 정상적으로 업데이트가 이루어질 경우 "C:\Program Files\INICD\Temp" 폴더에 다운로드된 파일을 실행하여 숨김(H) 속성값을 가진 또 다른 폴더를 생성하여 프로그램을 설치할 것으로 보입니다.

그 이후 시간 경과에 따라 특정 정보를 체크하는 동작이 시스템 시작시마다 규칙적으로 이루어집니다.

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
 - DisableScriptDebuggerIE = yes :: 기본값

또한 실행된 rtv.exe 파일은 Internet Explorer 웹 브라우저의 "스크립트 디버깅 사용 안 함(Internet Explorer)" 옵션을 항상 "Yes(기본값)"로 체크하도록 수정하는 동작을 확인할 수 있습니다.

 

이는 해당 프로그램 및 추가적으로 다운로드되는 프로그램이 사용자가 Internet Explorer 웹 브라우저를 이용하여 인터넷을 이용하는 과정에서 특정 스크립트가 노출없이 동작하도록 하려는 것이 아닌가 판단됩니다.

해당 프로그램은 제어판에서 "InICD" 삭제 항목을 통해 삭제할 수 있도록 등록되어 있지만, 실제 삭제를 시도할 경우 프로그램이 전혀 삭제가 이루어지지 않는 것으로 확인되고 있습니다.

 

그러므로 다음과 같은 절차에 따라 프로그램의 삭제를 진행하시기 바라며, 추가적인 업데이트를 통해 또 다른 프로그램이 설치되어 있을 수 있으므로 점검이 필요합니다.

 

(1) Windows 작업 관리자를 실행하여 rtv.exe 프로세스를 찾아 수동으로 종료하시기 바랍니다.

 

(2) Windows 탐색기를 통해 "C:\Program Files\INICD" 폴더 및 내부 파일을 삭제하시기 바랍니다.

 

(3) 레지스트리 편집기(regedit)를 실행하여 다음의 값들을 찾아 수동으로 삭제하시기 바랍니다.

 

HKEY_CURRENT_USER\Software\INICD
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - INICD = "C:\Program Files\INICD\32pgu.exe" -a
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\INICD

 

해당 프로그램과 유사한 기능을 하는 다양한 프로그램이 지속적으로 발견될 가능성이 존재하므로 주의하시기 바라며, 해당 프로그램을 통해 추가적으로 다운로드된 프로그램은 금전적 수익 창출을 목적으로 활동할 것으로 추정되므로 주의하시기 바랍니다.