주말을 이용한 국내 애드웨어(Adware) 계열 프로그램으로 추정되는 "드림애드(DreamAD)"가 새로운 변종 프로그램을 유포하고 있는 부분을 확인하였습니다.

  • (2013년 3월 8일) h**p://****.prajski.pe.kr/DreamAD.exe <Dead> → h**p://****.prajski.pe.kr/clipshawsetup.exe <Dead>

최초 배포는 3월 8일경 DreamAD 드랍퍼(Dropper)를 통해 clipshaw 설치 파일을 다운로드하는 방식으로 확인되었으며, 이번에 확인된 변종 프로그램은 3월 22일경부터 배포가 이루어지고 있는 것으로 보입니다.

  • h**p://**.prajski.pe.kr/DreamNet.exe (MD5 : fc09fed058b1a00401289d4918e10b36) - Hauri ViRobot : Adware.Taeyeon.151602 (VirusTotal : 5/46)

이번 드랍퍼(Dropper)는 기존과 동일한 pe.kr 도메인을 통해 배포가 시작되었으며, 사용자의 부주의한 동의 과정을 거쳐 다음과 같은 설치가 진행됩니다.

설치가 진행되면 특정 서버(zetamata.com)로 사용자 Mac Address 값을 기반으로 한 설치 체크를 하며, 추가적으로 taeyeonsetup.exe (MD5 : de11f085a8003c6b128da7e1eeaeec86) 파일을 다운로드하여 "C:\Documents and Settings\(사용자 계정)\Application Data\taeyeonsetup.exe" 파일로 생성한 후 프로그램 설치 및 자가 삭제가 이루어됩니다.(※ 파일 이름이 여성 걸그룹 소녀시대의 "태연"이 아닌가 생각됩니다.)

 

다운로드된 설치 파일에 대하여 Hauri ViRobot 보안 제품에서는 Adware.Taeyeon.3287946 (VirusTotal : 6/46) 진단명으로 진단되고 있습니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Documents and Settings\(사용자 계정)\Application Data\taeyeon
C:\Documents and Settings\(사용자 계정)\Application Data\taeyeon\bot.dat
C:\Documents and Settings\(사용자 계정)\Application Data\taeyeon\LniAdLib.dll
C:\Documents and Settings\(사용자 계정)\Application Data\taeyeon\msvcp100.dll
C:\Documents and Settings\(사용자 계정)\Application Data\taeyeon\msvcr100.dll
C:\Documents and Settings\(사용자 계정)\Application Data\taeyeon\site.dat
C:\Documents and Settings\(사용자 계정)\Application Data\taeyeon\taeyeon.exe
C:\Documents and Settings\(사용자 계정)\Application Data\taeyeon\taeyeons.exe :: 서비스(taeyeon) 등록 파일
C:\Documents and Settings\(사용자 계정)\Application Data\taeyeon\taeyeonu.exe
C:\Documents and Settings\(사용자 계정)\Application Data\taeyeon\today.dat
C:\Documents and Settings\(사용자 계정)\Application Data\taeyeon\uninstall.exe :: 프로그램 삭제 파일

설치된 프로그램은 "C:\Documents and Settings\(사용자 계정)\Application Data\taeyeon" 폴더에 파일을 생성하며, 제어판을 통한 삭제 기능을 제공하지 않으므로 사용자는 설치 여부를 확인하기 어렵습니다.

설치를 통해 "taeyeon(DreamNet Service)" 서비스 항목을 등록하여 시스템 시작시 "C:\Documents and Settings\(사용자 계정)\Application Data\taeyeon\taeyeons.exe" 파일을 자동으로 실행하도록 구성되어 있습니다.

자동 실행된 서비스 파일(taeyeons.exe)은 5분이 경과할 경우 다음과 같은 통신을 시도한 후 자동으로 종료하도록 제작되어 있습니다.

특히 최초 설치 완료 후 통신을 통해 bot.dat, site.dat, today.dat 구성값을 받아와 파일로 생성하는 동작을 확인할 수 있습니다.

 

테스트 시점에서는 추가적인 광고 동작 등의 외형적 변화가 존재하지 않으므로 파일 분석을 통해 대략적인 동작을 추정해 보았습니다.

 

1. C:\Documents and Settings\(사용자 계정)\Application Data\taeyeon\taeyeon.exe

생성된 파일들은 모두 파일 버전 정보(5.7.2200.1361)만을 포함하고 있으며, 3월 18일경 제작된 것으로 보입니다.

서비스 파일(taeyeons.exe) 실행 후 5분이 경과시 자동으로 동작하는 taeyeon.exe 파일은 "taeyeon.pe.kr" 서버로부터 정보를 받아 광고창을 생성할 수 있을 것으로 추정됩니다.

 

2. C:\Documents and Settings\(사용자 계정)\Application Data\taeyeon\taeyeonu.exe

서비스 파일(taeyeons.exe) 실행 후 5분이 경과시 자동으로 동작하는 taeyeonu.exe 파일은 업데이트 기능을 가지고 있으며, 차후 추가적인 다운로드를 통해 생성된 파일을 시작 프로그램(RunOnce) 값에 등록하여 시스템 재부팅시 1회 동작할 가능성이 존재합니다.

자동 실행된 taeyeonu.exe 파일은 "taeyeon.pe.kr" 서버의 암호화된 today.php 값을 받아오는 동작을 확인할 수 있습니다.

 

3. 프로그램 삭제

 

해당 프로그램은 기본적으로 제어판을 통한 삭제 기능을 제공하지 않고 있으므로 "C:\Documents and Settings\(사용자 계정)\Application Data\taeyeon\uninstall.exe" 파일을 찾아 직접 실행하여 프로그램을 삭제할 수 있습니다.

해당 파일 실행을 하면 "DreamNet Service" 삭제 화면이 생성되며 삭제가 진행됩니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TAEYEON
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\taeyeon

 

4. 추가 정보

해당 프로그램은 중복 설치 또는 재설치를 방지하기 위해 프로그램 설치시 사용자 Mac Address 값에 고유값을 부여하여 체크를 하며, 기존에 설치되었던 환경에서는 "cnt_proc.php?id=soheuy&flag=6"를 통해 설치 파일을 다운로드하지 못하게 차단합니다.

 

결론적으로 "DreamAD" 또는 "DreamNet Service" 계열 프로그램은 수익을 목적으로 제작되어 광고봇 역할을 수행할 것으로 보이며, 이를 통해 원치 않는 광고 노출 및 추가적인 프로그램 설치가 이루어질 수 있습니다.

 

또한 사용자가 프로그램 삭제를 하지 못하도록 할 목적으로 제어판을 통한 삭제 기능은 제공하지 않으면서, 법적인 문제를 고려하여 삭제 파일은 포함하고 있는 형태를 가지고 있습니다.

블로그 이미지

울지않는 벌새

울지않는벌새가 되고 싶은 나..

댓글을 달아 주세요