본문 바로가기

벌새::Analysis

검색 도우미 : toastpop 버전 1.0.0.1

인터넷 검색시 추가적인 광고창이 생성되는 검색 도우미 "toastpop 버전 1.0.0.1" 프로그램에 대해 살펴보도록 하겠습니다.

 

  "toastpop 버전 1.0.0.1" 검색 도우미에 추가된 루트킷(Rootkit) 악성코드 (2013.2.28)

 

해당 프로그램은 루트킷(Rootkit) 악성코드를 배포할 목적으로 변조된 파일을 통해 함께 설치되었으므로 참고하시기 바랍니다.

 

최초 설치 방식은 변조된 배포 파일(MD5 : d8c82c0c08ef3f97dcc8350a61f77b83, avast! : Win32:Dropper-LZL [Drp] (VirusTotal : 30/46))이 실행될 경우 "C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\toastpop_vnr.exe" 파일을 생성하여, "toastpop 버전 1.0.0.1" 프로그램의 설치를 진행합니다.

설치 중 특정 서버로부터 광고 관련 구성값을 받아오면, 내용에는 인터넷 쇼핑몰 이용시 특정 광고 코드(click.interrich.com)가 추가되도록 설정되어 있습니다.

또 다른 구성값에서는 "toastpop 버전 1.0.0.1" 프로그램을 통해 광고창이 생성되지 않도록 필터링한 도메인 주소를 체크하는 부분을 확인할 수 있습니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Documents and Settings\(사용자 계정)\Application Data\toastpop
C:\Documents and Settings\(사용자 계정)\Application Data\toastpop\SetupUtil.dll
C:\Documents and Settings\(사용자 계정)\Application Data\toastpop\toastpop.exe :: 시작 프로그램 등록 파일 / 메모리 상주 프로세스
C:\Documents and Settings\(사용자 계정)\Application Data\toastpop\unins000.dat
C:\Documents and Settings\(사용자 계정)\Application Data\toastpop\unins000.exe :: 프로그램 삭제 파일
C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\toastpop_vnr.exe :: ToastPop 프로그램 설치 파일

 

[생성 파일 진단 정보]

 

C:\Documents and Settings\(사용자 계정)\Application Data\toastpop\toastpop.exe
 - MD5 : b561bc4be730722c2df71c2e21a0e371
 - AhnLab V3 : PUP/Win32.ToastPop (VirusTotal : 4/46)

 

C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\toastpop_vnr.exe
 - MD5 : 2d14d0c6aeca401616a1247839f8f529
 - AhnLab V3 : Win-PUP/Helper.ToastPop.1043248 (VirusTotal : 6/46)

해당 프로그램은 "C:\Documents and Settings\(사용자 계정)\Application Data\toastpop" 폴더에 파일을 생성하며, Windows 시작시 toastpop.exe 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.

자동 실행된 toastpop.exe 파일은 특정 서버에 설치 파일 고유값, 사용자 Mac Address, 버전 등의 정보를 체크하는 동작이 있습니다.

프로그램이 설치된 환경에서 사용자가 인터넷 검색시 또는 검색을 통해 웹 사이트 접속시 추가적인 광고창이 생성되는 동작을 확인할 수 있습니다.

해당 광고 동작은 메모리에 상주하는 toastpop.exe 프로세스를 통해 이루어지므로, 광고 중지 및 프로그램 삭제시에는 Windows 작업 관리자를 실행하여 toastpop.exe 프로세스를 찾아 수동으로 종료하시기 바랍니다.

프로그램 삭제는 제어판에 등록된 "toastpop 버전 1.0.0.1" 삭제 항목을 이용하여 삭제할 수 있으며, 프로그램 삭제 후에는 추가적으로 "C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\toastpop_vnr.exe" 파일을 찾아 삭제하시기 바랍니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software
 - toastpop = T
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - toastpop = "C:\Documents and Settings\(사용자 계정)\Application Data\toastpop\toastpop.exe" update
HKEY_CURRENT_USER\Software\toastpop
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{53403CB4-E619-4A64-B28D-A6159FE8F354}_is1

 

해당 프로그램은 기존부터 악성 파일 배포 목적으로 활용되는 것으로 보이며, 프로그램이 설치된 환경에서는 원치 않는 광고창이 생성되므로 주의하시기 바랍니다.