울지않는벌새 : Security, Movie & Society

국내 악성코드 : GloryShop

벌새::Analysis

제어판을 통한 삭제 기능을 제공하지 않으며, 시스템 시작 후 광고창 생성 및 추가적인 다운로드를 시도할 것으로 추정되는 "GloryShop" 프로그램에 대해 살펴보도록 하겠습니다.

해당 프로그램의 설치 파일(MD5 : c082444edcd80e4e91fa452055d67549)에 대하여 Hauri ViRobot 보안 제품에서는 Trojan.Win32.Agent.288320 (VT : 6/46) 진단명으로 진단되고 있습니다.

 

  [삭제] DreamNet Service (2013.3.23)

 

또한 기존에 DreamAD, DreamNet Service 이름으로 배포가 이루어졌던 변형된 버전으로 확인되고 있으므로 참고하시기 바랍니다.

프로그램 설치 과정에서는 특정 개인 도메인(pe.kr)에서 "GloryShop" 설치 파일(MD5 : b5da94dd1c99e5a0887f5b6e0d28aca1)을 다운로드하며, 다운로드된 파일은 "C:\Documents and Settings\(사용자 계정)\Application Data\gloryshopsetup.exe" 파일로 생성되어 프로그램 설치 후 자가 삭제 처리가 이루어집니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Documents and Settings\(사용자 계정)\Application Data\gloryshop
C:\Documents and Settings\(사용자 계정)\Application Data\gloryshop\gloryshop.exe
C:\Documents and Settings\(사용자 계정)\Application Data\gloryshop\gloryshops.exe :: 서비스(gloryshop) 등록 파일
C:\Documents and Settings\(사용자 계정)\Application Data\gloryshop\gloryshopu.exe
C:\Documents and Settings\(사용자 계정)\Application Data\gloryshop\LniAdLib.dll
C:\Documents and Settings\(사용자 계정)\Application Data\gloryshop\msvcp100.dll
C:\Documents and Settings\(사용자 계정)\Application Data\gloryshop\msvcr100.dll
C:\Documents and Settings\(사용자 계정)\Application Data\gloryshop\uninstall.exe :: 프로그램 삭제 파일

프로그램은 "C:\Documents and Settings\(사용자 계정)\Application Data\gloryshop" 폴더에 파일을 생성하며, "gloryshop(Glory Shop)" 서비스 항목을 등록하여 시스템 시작시 "C:\Documents and Settings\(사용자 계정)\Application Data\gloryshop\gloryshops.exe" 파일을 자동 실행하도록 구성되어 있습니다.

자동 실행된 서비스 파일(gloryshops.exe)은 5분간 유지된 후 gloryshop.exe, gloryshopu.exe 2개의 파일을 자동 실행하도록 구성되어 있습니다.

 

1. "C:\Documents and Settings\(사용자 계정)\Application Data\gloryshop\gloryshop.exe" 파일

  • C:\Documents and Settings\(사용자 계정)\Application Data\gloryshop\bot.dat
  • C:\Documents and Settings\(사용자 계정)\Application Data\gloryshop\site.dat

자동 실행된 gloryshop.exe 파일은 특정 서버와 통신하여 bot.dat, site.dat 2개의 구성값을 다운로드합니다.

이를 통해 Internet Explorer, Mozilla Firefox, Google Chrome 웹 브라우저 환경에서 광고창 생성을 할 수 있을 것으로 추정됩니다.

또한 차후 "C:\Documents and Settings\(사용자 계정)\Application Data\gloryshop\LniAdLib.dll" 파일을 브라우저 도우미 개체(BHO)로 등록할 수 있습니다.

C:\Documents and Settings\(사용자 계정)\Application Data\gloryshop\LniAdLib.dll

브라우저 도우미 개체(BHO)로 등록된 LniAdLib.dll 파일은 특정 광고 서버를 통해 등록된 광고 구성값을 참조하여 광고창 생성 동작이 이루어질 수 있습니다.

 

2. "C:\Documents and Settings\(사용자 계정)\Application Data\gloryshop\gloryshopu.exe" 파일

  • C:\Documents and Settings\(사용자 계정)\Application Data\gloryshop\today.dat

자동 실행된 gloryshopu.exe 파일은 특정 서버와 통신하여 today.dat 파일을 다운로드합니다.

이를 통해 추가적인 파일을 시작 프로그램(RunOnce)에 등록하여 시스템 재부팅 과정에서 1회 동작하도록 구성할 수 있습니다.

해당 동작을 통해 업데이트 창 생성을 통한 추가적인 수익성 프로그램의 설치를 유도할 가능성이 존재합니다.

 

3. 프로그램 삭제

 

"GloryShop" 프로그램은 설치 완료 이후에 외형적인 동작은 확인되지 않고 있지만, 차후 배포자의 의도에 따라 시스템 시작 후 5분이 경과하는 시점에서 브라우저 도우미 개체(BHO) 추가, 시작 프로그램 등록 등의 변화를 통해 광고 행위 및 추가적인 제휴 프로그램 설치 행위가 발생할 수 있습니다.

 

특히 일정 기간 사용자 PC에 잠복해 있기 위하여 제어판을 통한 삭제 기능은 제공하고 않으며, 이로 인하여 사용자는 프로그램 설치 여부를 제대로 인지하지 못할 가능성이 존재합니다.

 

프로그램 삭제를 위해서는 Windows 탐색기를 실행하여 "C:\Documents and Settings\(사용자 계정)\Application Data\gloryshop\uninstall.exe" 파일을 찾아 수동으로 실행하시기 바랍니다.

이를 통해 생성된 "GloryShop Company 제거" 창을 통해 프로그램을 삭제할 수 있습니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_GLORYSHOP
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\gloryshop

 

해당 프로그램은 최근 다양한 배포 경로를 이용하여 사용자의 부주의한 동의 과정을 거쳐 설치가 이루어지는 것으로 추정되며, 설치 완료 이후에는 특별한 동작을 일정 기간하지 않는 관계로 쉽게 눈치채지 못할 수 있으므로 주의하시기 바랍니다.