울지않는벌새 : Security, Movie & Society

국내 악성코드 : MassiveDynamic

벌새::Analysis

국내 언론사 웹 사이트에서 플로팅(Floating) 광고를 생성하며 사용자 몰래 삭제를 지원하지 않는 추가적인 악성 프로그램을 설치하는 검색 도우미 MassiveDynamic 프로그램에 대해 살펴보도록 하겠습니다.

해당 프로그램의 배포 방식은 시스템 시작시 특정 광고 프로그램의 업데이트 창을 통해 설치가 이루어지고 있으며, 설치에 사용되는 배포용 파일(MD5 : e59cf247ba70e15c64d58f1613c7b12f)에 대하여 Kaspersky 보안 제품에서는 HEUR:Trojan-Downloader.Win32.Generic (VirusTotal : 7/45) 진단명으로 진단되고 있습니다.

다운로드되어 실행된 배포 파일은 특정 서버로부터 instt1.exe (MD5 : d7c87b72070293645910247fc19e2214) 파일을 다운로드하며, 해당 파일에 대하여 Kaspersky 보안 제품에서는 HEUR:Trojan-Downloader.Win32.Generic (VirusTotal : 4/45) 진단명으로 진단되고 있습니다.

 

[생성 폴더 / 파일 등록 정보 : MassiveDynamic 프로그램]

 

C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\Massivelink
C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\Massivelink\AdAnalysis.dll :: BHO 등록 파일
C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\Massivelink\mk1.exe
C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\Massivelink\undllins.exe
C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\Massivelink\unins000.dat
C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\Massivelink\unins000.exe :: 프로그램 삭제 파일

 

[생성 파일 진단 정보]

 

C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\Massivelink\mk1.exe
 - MD5 : 1bec817484e48fd5646b9c4f05ab2205
 - Kaspersky : HEUR:Trojan-Downloader.Win32.Generic (VirusTotal : 4/45)

다운로드된 instt1.exe 파일은 "C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\Massivelink" 폴더에 MassiveDynamic 검색 도우미 프로그램을 설치합니다.

생성된 파일 중 "C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\Massivelink\mk1.exe" 파일은 추가적인 다운로드 기능을 통해 WebConfig 프로그램의 설치 파일을 받아오는 동작을 수행합니다.

mk1.exe 파일은 특정 서버로부터 WebConfig.exe (MD5 : d4ac6eb9be19be49e5e64f989e1afcdf) 파일을 다운로드하여 "C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\WebConfig\WebConfig.exe" 파일로 생성한 후 WebConfig 프로그램 설치를 위한 업데이트 체크 및 파일 다운로드 동작을 수행합니다.

이를 위해 특정 서버로부터 업데이트 정보를 받아와 "C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\WebConfig" 폴더에 파일을 다운로드 및 생성합니다.

 

[생성 폴더 및 파일 등록 정보 : WebConfig 프로그램]

 

C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\WebConfig
C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\WebConfig\rdme.exe
C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\WebConfig\vnkq.exe
C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\WebConfig\WebConfig.exe :: 시작 프로그램 등록 파일
C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\WebConfig\webconfig.ini

 

[생성 파일 진단 정보]

 

C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\WebConfig\rdme.exe
 - MD5 : 982d02d36a9d1e47d580970c55dc2dfc
 - ESET NOD32 : a variant of Win32/Adware.Smarthink.A (VirusTotal : 3/45)

 

C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\WebConfig\vnkq.exe
 - MD5 : 75c3338d36b9904fcd2b4e5e4b769f6e
 - ESET NOD32 : a variant of Win32/Adware.Smarthink.A (VirusTotal : 6/45)

 

C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\WebConfig\WebConfig.exe
 - MD5 : d4ac6eb9be19be49e5e64f989e1afcdf
 - Avira : TR/BHO.Gen (VirusTotal : 8/45)

설치된 WebConfig 프로그램은 Windows 시작시 "C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\WebConfig\WebConfig.exe" 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.

 

1. MassiveDynamic 프로그램

[추가 기능 관리 : 도구 모음 및 확장 프로그램]

 

이름 : Massive Dynamic

게시자 : Massive Dynamic

유형 : 브라우저 도우미 개체

CLSID : {E87FDCD6-0F9F-47C1-9C67-B6B17B69E93B}

파일 : C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\Massivelink\AdAnalysis.dll

 

MassiveDynamic 프로그램은 Internet Explorer 웹 브라우저 동작시 AdAnalysis.dll 파일을 브라우저 도우미 개체(BHO)로 등록하여 국내 언론사 웹 사이트를 대상으로 광고 행위를 하도록 제작되어 있습니다.

실제 테스트를 진행해보면 특정 검색 키워드를 통해 언론사 웹 사이트에 접속하여 기사를 볼 때 플로팅(Floating) 광고 배너를 노출하는 동작을 확인할 수 있습니다.

특히 언론사 웹 페이지에서는 다수의 광고가 노출되어 운영되는 부분이 있기에 사용자는 해당 광고가 언론사 광고로 착각을 할 수 있습니다.

 

해당 광고 행위 중지 및 프로그램 삭제시에는 웹 브라우저의 추가 기능 관리에 등록된 "Massive Dynamic" 항목을 선택하여 "사용 안 함"으로 변경하시기 바랍니다.

프로그램 삭제시에는 Internet Explorer 웹 브라우저를 종료한 상태에서 제어판에 등록된 "MassiveDynamic" 삭제 항목을 이용하여 삭제할 수 있습니다.

 

2. WebConfig 프로그램

사용자 몰래 설치된 WebConfig 프로그램은 시스템 시작시 자동 실행되는 WebConfig.exe 프로그램을 통해 rdme.exe, vnkq.exe 2개의 파일을 로딩하여 특정 서버로부터 정보를 체크하는 부분을 확인할 수 있습니다.

특히 vnkq.exe 파일을 네이버(Naver) 검색 서비스에 특정 검색 키워드를 입력하여 백그라운드로 검색을 수행한 후 자동으로 종료되는 기능이 있습니다.

이를 통해 시스템 시작시마다 랜덤(Random)한 검색어를 통해 네이버 검색 순위 조작을 시도하여 상위 노출 또는 연관 검색어 노출을 수행할 것으로 보입니다.

 

이렇게 설치된 WebConfig 프로그램은 제어판을 통한 삭제 기능을 제공하지 않으므로 사용자가 수동으로 "C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\WebConfig" 폴더를 찾아 삭제를 하시기 바랍니다.

 

[생성 레지스트리 등록 정보 : MassiveDynamic + WebConfig 프로그램]

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - WebConfig = C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\WebConfig\WebConfig.exe
HKEY_CURRENT_USER\Software\PosSports
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AdAnalysis.AdMain
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AdAnalysis.AdMain.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AdAnalysis.AnalysisMain
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AdAnalysis.AnalysisMain.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E87FDCD6-0F9F-47C1-9C67-B6B17B69E93B}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{83F298A8-890A-4886-BE65-8C4180D44D27}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{379DF0CB-7C86-4BA8-BA80-5A9B6962F6E3}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{E87FDCD6-0F9F-47C1-9C67-B6B17B69E93B}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
MassiveDynamic_is1

 

이처럼 프로그램 최초 설치시에는 사용자의 동의 과정을 거쳐서 설치되지만, 사용자 몰래 추가적인 프로그램을 설치하여 시스템 시작시 몰래 동작하여 사용자가 확인하지 못하는 사례가 있습니다.

 

그러므로 시스템 시작시 출처를 알 수 없는 업데이트 창이 생성되어 설치를 요구할 때에는 추가적으로 설치되는 구성 요소가 없는지 잘 확인하시기 바라며, 함부로 설치에 동의하지 않도록 주의하시기 바랍니다.