본문 바로가기

벌새::Analysis

한컴오피스 2010 정품 토렌트로 유포되는 악성코드 주의 (2013.1.19)

(주)한글과컴퓨터에서 제공하는 한컴오피스 2010 제품이 토렌트(Torrent)를 통해 불법적으로 유포되는 과정에서 국내 마케팅 관련 조직에서 제작한 것으로 추정되는 악성 파일이 함께 설치되는 사례가 확인되었습니다.

 

   불법 MS 오피스 2010 설치 파일에 추가된 국내 악성 파일 주의 (2013.1.6)

 

특히 해당 조직은 2012년 1년경에도 "Adware/Win32.Anyad (AhnLab V3 기준)" 계열을 비슷한 방식으로 유포하였다는 점을 감안하면 다수의 변종이 존재할 것으로 추정됩니다.

확인된 토렌트 파일은 "한글과컴퓨터오피스2010  정품.torrent" 이름으로 등록되어 있으며, 실제 다운로드를 시도하면 1.32GB 용량의 ALZip SFX 실행 압축 파일(한글과컴퓨터오피스2010  정품.exe)을 받아오는 것을 확인할 수 있습니다.

우선 한컴오피스 2010 정품 이미지를 확인해보면 AhnLab V3 Lite 무료 백신(V3Lite_Hancom_Setup.exe) 설치 파일이 포함되어 있으며, "/Install/readme/Css" 경로에는 Default.css 파일만 존재한 것을 확인할 수 있습니다.

하지만 2012년 4월 8일경 제작된 것으로 보이는 토렌트(Torrent)를 통해 다운로드된 불법판에는 AhnLab V3 Lite 무료 백신은 제외되어 있으며, "/Install/readme/Css/hrthrtSetup.exe" 파일이 추가되어 있는 것을 확인할 수 있습니다.

 

여기서 주목할 점은 hrthrtSetup.exe 파일은 2013년 1월 10일경에 추가된 것으로 보아, 기존에 유포되는 불법판에 악성 파일을 추가한 것으로 보입니다.

문제의 hrthrtSetup.exe 파일(MD5 : 0f7e03f52acf424801e9b18b76e1828e)을 추출하여 확인해보면 숨김(H) 속성값을 가지고 있으며, avast! 보안 제품에서는 Win32:Malware-gen (VirusTotal : 4/46) 진단명으로 진단되고 있습니다.

이렇게 토렌트(Torrent)를 통해 다운로드된 파일을 실행할 경우 ALZip Self-Extractor를 통해 자동으로 압축 해제되는 과정에서 다음과 같은 파일을 사용자 몰래 설치합니다.

 

[생성 폴더 / 파일 및 진단 정보]

 

C:\Documents and Settings\(사용자 계정)\Application Data\hrthrt

 

C:\Documents and Settings\(사용자 계정)\Application Data\hrthrt\btgsrhs.exe
 - MD5 : 5098a872d94f8c099d6320d2cc12911a

 

C:\Documents and Settings\(사용자 계정)\Application Data\hrthrt\hrthrt.exe
 - MD5 : 61d408390feb50904dd5af52cf86b823
 - avast! : Win32:Malware-gen (VirusTotal : 3/46)

 

C:\Documents and Settings\(사용자 계정)\Application Data\hrthrt\hrthrtbrow.exe
 - MD5 : 9cdf21feab71a341a4d530d67b9f1b8b

 

[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - adsol = C:\Documents and Settings\(사용자 계정)\Application Data\hrthrt\btgsrhs.exe
 - itor6 = C:\Documents and Settings\(사용자 계정)\Application Data\hrthrt\hrthrt.exe

생성된 악성 파일들은 숨김(H) 속성 폴더값을 가지는 폴더 내의 "C:\Documents and Settings\(사용자 계정)\Application Data\hrthrt" 폴더에 파일을 생성하며, btgsrhs.exe, hrthrt.exe 2개의 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.

우선 해당 악성 파일들에서는 공통적으로 "d:\_yk-solution\anyad\anyadclient\library\anyadnetclient.cpp"와 같은 개발자 환경을 확인할 수 있으며, 해당 값을 기반으로 확인해보면 이전의 "Adware/Win32.Anyad" 악성코드 변종이며, 국내 특정 마케팅 관련 조직에서 제작된 것으로 추정되고 있습니다.

 

1. btgsrhs.exe (시작 프로그램 : adsol)

btgsrhs.exe 파일은 시스템 시작시 자동으로 실행되며, 일본(Japan)에 위치한 "61.213.1.106" IP 서버로 연결되도록 제작되어 있습니다.

실제 연결된 부분을 살펴보면 시스템 시작 후 1분이 경과하는 시점에서 일본(Japan)에 위치한 "61.213.1.106" IP 서버와 통신을 합니다.

그 후 1분 간격으로 주기적으로 통신이 이루어지며, 시작 프로그램(Run)에 등록된 "adsol" 문자열이 포함되어 있는 특징을 확인할 수 있습니다.

 

2. hrthrt.exe (시작 프로그램 : itor6)

hrthrt.exe 파일은 시스템 시작시 자동으로 실행되어 일본(Japan)에 위치한 "103.247.88.110" IP 서버와 연결하며, hrthrtbrow.exe 파일과 연동되는 부분을 발견할 수 있습니다.

실제 동작 모습을 살펴보면 시스템 시작 후 1분이 경과하는 시점에서 일본(Japan)에 위치한 "103.247.88.110" IP 서버와 연결을 지속적으로 유지하는 부분을 확인할 수 있습니다.

통신 부분을 확인해보면 시작 프로그램(Run)에 등록된 "itor6" 값과 유사한 "ITor50" 문자열이 포함되어 있습니다.

 

이를 통해 감염된 PC에서는 "103.247.88.110" C&C 서버에 등록된 FTP 서버에 등록된 추가적인 파일 다운로드 등의 악의적 동작이 예상됩니다.

 

3. hrthrtbrow.exe 파일

추가 실행이 예상되는 hrthrtbrow.exe 파일은 실행시 네이버(Naver), 다음(Daum), 네이트(Nate) 서버에 쿼리 전송을 하도록 제작되어 있습니다.

하지만 테스트 과정에서는 조건이 맞지 않는지 "Microsoft Visual C++ Runtime Library" 오류창만 생성되며 정상적인 동작은 확인되지 않고 있습니다.

 

이렇게 설치된 악성 프로그램의 삭제를 위해서는 Windows 작업 관리자를 실행하여 btgsrhs.exe, hrthrt.exe, hrthrtbrow.exe 프로세스가 존재할 경우 수동으로 종료한 후, "C:\Documents and Settings\(사용자 계정)\Application Data\hrthrt" 폴더를 찾아서 삭제를 하시기 바랍니다.

 

해당 악성코드에 감염된 시스템에서는 차후 해당 프로그램과 유사한 기능을 가진 또 다른 변종 프로그램을 지속적으로 설치하여 수익성 프로그램 설치 통로, 광고 생성 등의 악의적 행위를 사용자 몰래 할 가능성이 상당히 높습니다.

 

그러므로 토렌트와 같은 신뢰할 수 없는 경로를 통해 대용량 파일을 받을 경우에는 감염의 위험성이 높으므로 정품을 이용하시길 권장합니다.

 

또한 해당 유포 조직은 장기간에 걸쳐서 국내에서 인기있는 토렌트를 통해 유포되는 파일에 악성 파일을 추가하는 방식으로 감염을 유발하고 있는 것으로 보이므로 보안 업체의 적극적인 대응이 필요해 보입니다.

  • 이전 댓글 더보기
  • 저도 망함 ㅋ 2013.02.27 16:34 댓글주소 수정/삭제 댓글쓰기

    열심히다운받고 한번 토렌트 프로그램에서 바이러스있는것같다고 해서 검색해봤더니 바이러스있다는 글이 뜨고 폴더 봤더니 바이러스가 있네요 ㅎㅎ
    근데 저는 폴더는 없고 Aplication Data에 아이콘은 같은데 gsjswy.exe라는 바이러스와 gsjswybrow.exe는 바이러스가 있어요. 프로세스 종료하고 지우면 되나요?
    그리고 백신으로는 못잡나요?

    • 네.. 파일명을 봐서는 악성 같습니다. 유포자가 파일명은 계속 변경할 수 있으니.. 프로세스 종료하시고 삭제 처리하시기 바랍니다.

      그리고 레지스트리 값에서 시작 프로그램(Run)에 등록된 해당 파일 값도 삭제하세요.

  • 이런.. 2013.03.04 21:36 댓글주소 수정/삭제 댓글쓰기

    한글 2010 전체다 삭제하면 악성코드 지워지나요?

  • 이런.. 2013.03.04 22:21 댓글주소 수정/삭제 댓글쓰기

    V3 백신 파일은 없는데
    Css폴더에도 Default 파일 외에는 아무것도 없거든요.
    안전하다고 할 수 있나요?
    아니면 다른 변종일수도 있는지...
    알약으로 정밀검사 하니까 아무 이상없다는데
    알약으로 보지 못하는 것도 있나요?

  • Tamy 2013.03.06 03:26 댓글주소 수정/삭제 댓글쓰기

    저도 퍼갑니다...벌새님 허락없이 가져간 점 죄송합니다.
    너무 중요하네요...

  • 신동식 2013.03.17 22:54 댓글주소 수정/삭제 댓글쓰기

    안녕하세요~

    윈도우8을 사용하고 있는데요,
    알집을 풀고 나니 컴퓨터보안에서

    hrthrt.exe를
    사용할것이냐고 물어봐서
    아니오를 눌렀는데ㅡ 그래도 문제가 되나요?

    • 아마 사용자 계정 컨트롤(UAC)에서 해당 파일 실행을 하려는 부분에 대해 창을 띄웠나 보군요.

      사용자가 아니오를 선택하며 파일 실행은 이루어지지 않습니다.

      파일을 찾아서 삭제하시기 바랍니다.

  • 이영호 2013.03.24 10:18 댓글주소 수정/삭제 댓글쓰기

    안녕하세요 여기 글 보고 지우려고 했는데 작업관리자에도 요놈이 안뜨네요 강제종료 시킬수가 없어서 삭제도 못하고 있는데 방법이 없나요 ㅠㅠ

    • 수동으로 해결할 능력이 안되시는 경우에는 보안 제품으로 정밀 검사하여 제거하시길 바랍니다.

      변종이 다수 존재하여 다른 파일명으로 있을 수도 있으며, 실제 감염되지 않았는데 불법판 사용자라서 오해할 수도 있습니다.

    • 이영호 2013.03.24 20:44 댓글주소 수정/삭제

      ㅠㅠ 안그래도 어베스트로 검사하니까 악성코드가 나오더라고요.근데 치료 하니까 치료불가 라고 뜨면서 안되네요 ㅠㅠ 이런 경우 해결 방법없는거죠 ㅠㅠ

    • 치료 불가 문제는 관련 파일이 동작 중이기 때문이 아닌가 싶습니다.

      그러므로 해당 파일이 Windows 작업 관리자에 등록되어 있으면 해당 프로세스를 종료하시고 파일을 수동으로 찾아서 삭제해 보시기 바랍니다.

  • 황종빈 2013.07.31 20:16 댓글주소 수정/삭제 댓글쓰기

    안그래도 설치하고 나니깐 이상한 오류 뜨던데...
    그것 때문이군요..^^ 감사합니다

  • 이기석 2013.09.20 23:15 댓글주소 수정/삭제 댓글쓰기

    itor6로 검색해서 이 블로그래 오게 되었네요 한컴이랑 오피스 깔고 나서 생긴것 같습니다 msconfig 시작프로그램에 itor6라는 이름으로 있길래 뭐지? 하고봤더니 appdata roaming 폴더에 ktjen.exe 라는 프로그램이네요 이건 뭔가요~? 악성코드인건가요~? 알약으로 검사해도 걸리진 않는데 해결방법이있는지 궁금합니다~!

    • 찾아보니 이 글에서 소개한 악성 파일의 변종으로 보입니다.

      그러므로 함께 삭제하시기 바랍니다.

    • 이기석 2013.09.21 00:59 댓글주소 수정/삭제

      msconfig 시작프로그램에서 그 파일만 삭제 해주면 되는건가요~? office 프로그램도 삭제해줘야하는건가요? 그러면 다른 전이되는 문제는 없겠죠~? 괜히 찝찝하네요 참고로 위 글에 1.2.3. 제목에 exe 파일은 검색해도 나오진 않습니다

    • 파일 이름은 언제든지 변경될 수 있습니다.

    • 이기석 2013.09.21 01:53 댓글주소 수정/삭제

      그러면 해결책이 뭔가요~? 백신에도 안잡히는데.. 포맷하고 윈도우재설치라도 해야하는건가요? 구체적으로 좀 알려주시면 감사하겠습니다 일단 위에서 말한 ktjen.exe 파일은 삭제하고 office2010 도 제거했습니다

    • 해결책은 해당 파일을 삭제하시고 시작 프로그램에 등록된 레지스트리 값을 삭제하시면 됩니다.

      어떤 제품을 사용하시는지 모르지만 아마 AhnLab V3 제품에서는 해당 유사 변종에 대해 진단을 하지 않을까도 생각됩니다.

      또한 근본적으로 불법 소프트웨어를 다운로드하여 설치하지 않는 것이 이런 것들이 설치되는 것을 예방할 수 있겠죠.

  • 와우 2013.09.29 18:41 댓글주소 수정/삭제 댓글쓰기

    안녕하세요
    좋은 정보 감사합니다
    근데 질문하나만 할께요
    우선 office 2010을 꼭제거해야하는지요?
    아니면 avast를 통해 치료만 하고, office 2010을 사용해도 되는지요?
    아니면 avast를 통해서 치료하고,appdata 여기서 폴더 삭제하고,레지스트리 값 삭제 해주고 프로그램 사용하면되는지...
    프로그램 자체에 악성코드는 아니니깐 그냥 사용해도 되나요?

    • 와우 2013.09.29 19:49 댓글주소 수정/삭제

      제가 지금까지 행했던 내용 좀 봐주세요
      한컴오피스 2010설치->msconfig->ktjen.exe발견->체크해제후 재부팅->redegit->startupreg->itor6삭제->application data->ktjen폴더 삭제->avast다운로드->avast 전체검사->2개파일 발견(ktjen.exe,A0009446.exe)->치료실패,그래서 삭제->리부팅 검사->2번눌러서 delete all선택하고 exit->avast검사결과 바이러스 없음
      이라고 나왔습니다. 이제 그냥 오피스 2010은 사용해도 괜찮을까요? 그리고 avast 리부팅 검사에서 삭제,전체삭제,무시,전체무시,등등 이런게 숫자와 함께 표시되어 있던데 여기서 위에 어떤 경로를 보여주던데 거기에 ??가 있고해서 뭔지 몰라서 그냥 delete all 선택했는데 이게 바이러스를 삭제하는 과정인지...아니면 어떤것이지 설명좀 부탁드립니다...
      수고하십시요

    • 치료 방식은 맞는 것 같으며, 불법 소프트웨어 사용의 가능 여부에 대해서는 언급하지 않겠습니다.

  • 윈도우8! 2013.11.13 14:56 댓글주소 수정/삭제 댓글쓰기

    제가 윈도우8 엔터프라이즈를 사용중인데
    지금 한글2010을 설치하고 나서 시작프로그램에itor6가 있어서
    바이러스 같아서 지웠는데 appdata에 또 바이러스같은 ktjen.exe 라는
    파일이 있어서 그것도 같이 지우고 레지스트리에 가서 itor6과ktjen.exe 를
    지웠는데 이렇게 하면 컴퓨터가 괜찮아 지나요???

    • 제가 분석한 파일 외에도 다양한 변종이 존재할 가능성이 있으므로 보안 제품을 이용하여 정밀 검사를 하시는 것이 좋습니다.

    • 윈도우8! 2013.11.26 16:01 댓글주소 수정/삭제

      알약으로 정밀검사를 해보았는데 바이러스도 없고
      네이버 지식에 검색하니깐 윈도우8 엔터프라이즈가

      단어 자체도 기업. 단체를 의미하는 것이고..
      기업용이라서
      MS 홈페이지 스토어에서는
      일반인에게는 엔터프라이즈 에디션은 판매되지 않기 때문에 안 보이는겁니다.
      일반인이엔터프라이즈 에디션을 사용할려면 불법 다운로드 설치 방법 뿐입니다.
      시디키도 불법으로 구해야 되고기업이면
      그 기업 대표 이사 명의로
      MS에 별도 문의를 해야 됩니다.
      학교, 학원(교육 기관), 관공서도 마찬가지
      엔터프라이즈는
      일반인에게 판매되지 않는 Volume 라이센스입니다.
      결론은
      일반인은 엔터프라이즈 정품 업데이트 구매 불가능
      일반인은 Volume 라이센스 구매 불가능
      라고 해서 엔터프라이즈를 쓰지 말아야하나요???
      아니면 계속 쓸까여>????

  • 와하하 2013.12.18 16:04 댓글주소 수정/삭제 댓글쓰기

    정말 감사합니다. 덕분에 파일이랑 레지스트리 값까지 모두 삭제했어요.

    이런 고퀄의 정보도 놀라울 따름인데 답변까지 다 달아주시네요+_+

    복 받으실 거예요~~^^

  • 헣허 2014.12.24 22:54 댓글주소 수정/삭제 댓글쓰기

    말씀하신데로 저기에 나와있는것을 지웠는데 한번 악성코드에 노출 되면 추가로 설치될 가능성이있나요?

  • 와하하하 2015.01.08 11:01 댓글주소 수정/삭제 댓글쓰기

    한컴 필요해서 다운받아서 했는데 시작프로그램에 adsol 있는거 보고 이상해서 인터넷에 쳐봤더니 이블로그에 들어오게 됐네요. 위에 설명을 이해를 못했는데 avast 바이러스 검사 항목에 있더라고요 그럼 조치가 다된건가요?

    • 이 글이 다소 시간이 지나서 감염된 파일이 정확하게 동일한지는 모르겠지만 백신에서 진단하는 부분이 있다니 해결되었을 것 같습니다.

  • 이럴수가... 2015.01.26 00:53 댓글주소 수정/삭제 댓글쓰기

    저도 비슷한 문제로 검색하다가 여기 들어오게 됬는데
    저는 찜찜해서 아예 노트북을 포멧했는데 괜찮겠죠?

    • 포맷까지 하셨다면 문제는 없습니다. 단지 포맷 이후에도 저런 불법 소프트웨어를 다운로드하여 잘못 사용하시다가는 또 다시 감염될 수 있다는 점을 명심하시기 바랍니다.

  • 강뉴스 2015.03.15 15:19 댓글주소 수정/삭제 댓글쓰기

    네 방금 구글에서 받은거 hrthrt v3이 잡았네요.. 진단명 일치

  • 주묵 2015.04.26 09:30 댓글주소 수정/삭제 댓글쓰기

    감사합니다
    역시 어둠의 경로로 다운받는것보다 정품이 좋겟네요..
    덕분에 치료 했어요

  • 비밀댓글입니다

    • USB 감염은 아니고 문제의 파일만 삭제하시면 될 듯합니다만 이 글이 2013년 작성한 내용이라서 다를 수도 있습니다.

      그러므로 백신 프로그램으로 정밀 검사를 해보시기 바랍니다.

  • 아래댓글 쓴사람입니다!
    usb를 올레닥터 정밀검사를시켜보니 트로이목마로 나왓고, ktjen은 제컴퓨터에 실행되려고한거같은데 실행안햇음된건가요?피씨는 닥터정밀검사로는 아무것도안나와요ㅠㅠ

    • 아마 사용자 계정 컨트롤(UAC) 창 생성을 통해 실행 여부를 묻는 과정에서 취소를 하신 것 같습니다. 이런 경우에는 실행되지 않았다고 판단됩니다.

    • 다행이네요 감사합니다 늦은시간에죄송하지만 좀더여쭤봐도될까요?..너무몰라서..대충언급해주신 파일명들검색해봣는데 없는것같고,백신프로그램에서 안나온다면 굳이포맷할필요는업ㅇ는건가요?

    • 포맷까지 할 필요는 없으며 불안하시면 MZK 도구를 통해 검사해 보시기 바랍니다.^^

      http://cafe.naver.com/malzero/94376

    • 정말감사합니다 너무좋은프로그램이네요...저처럼 아무것도모르는사람에게 큰도움이되었습니다 검사항목중 어느것도 발견되지않네요^^ 다시한번감사드립니다

  • 비밀댓글입니다

    • 답변하기 어려운 질문 같습니다. 어떤 제품을 사용하면 잘 잡고 못 잡고의 차이가 있는데 한글2010 다운로드해서 바이러스 유무를 판단하는데 좋은 백신이 뭐냐고 하시니...

      일반적으로 Kaspersky와 같은 백신 프로그램이 전체적인 진단에서 최상위권을 보여주고 있습니다.

  • 저는 사용자 계정 컨트롤 켰는데 그후로
    사용자 계정 컨트롤창이 안뜨네요

    • 제어판에서 "사용자 계정 컨트롤 설정 변경" 메뉴에서 다시 켜보시기 바랍니다.

      일부 악성 광고 프로그램이나 악성코드 감염시 사용자 계정 컨트롤 기능을 끄는 경우가 있습니다.