본문 바로가기

벌새::Analysis

국내 악성코드 : FavorIcon

반응형

2013년 1월~2월경 국내에서 제작된 인터넷 쇼핑몰 바로가기 아이콘 생성 프로그램 FavorIcon을 이용하여 사용자 몰래 악성 프로그램을 추가로 설치하여 다양한 수익성 프로그램을 유포하던 사례에 대해 살펴보도록 하겠습니다.(※ 해당 내용은 2013년 초에 발생한 유포건에 대한 내용입니다.)

 

특히 해당 사례를 최근(2013년 5월 3일) 비슷한 방식으로 변종 프로그램을 재배포하고 있는 것으로 확인되고 있으므로 피해가 예상됩니다.

  제휴(스폰서) 프로그램 : Xecure speller Application (2012.9.5)

 

유포처로 활용된 곳은 국내에서 제작된 "Xecure speller Application" 프로그램이 설치된 환경에서 업데이트 창을 통해 설치될 수 있는 수익성 프로그램 중 "FavorIcon" 프로그램의 설치 파일입니다.

 

  • h**p://www.spell**.co.kr/distribute/***lq/utilq001.exe (MD5 : f0828f330a6b5ea2579271a242584ef5) - nProtect : Adware/W32.KrAdword.483096 (VT : 28/46) :: Xecure speller Application 설치 파일
  • h**p://down.fav****on.kr/file/favoricon_rightclick3.exe (MD5 : 04832a29a7f54ab04788ca989aff890f) - AhnLab V3 : Win-Dropper/KorAd.185658 (VT : 9/46) :: FavorIcon 설치 파일

이를 통해 FavorIcon 프로그램이 설치되는 과정에서 특정 외부 서버로부터 favoriconm_rightclick.exe 파일(MD5 : e0fb4416f9ace0642683fbf3c7144268)을 다운로드하며, 해당 파일에 대해 AhnLab V3 보안 제품에서는 Win-Dropper/KorAd.135906 (VT : 29/46) 진단명으로 진단되고 있습니다.

 

1. FavorIcon 프로그램 정보

 

[생성 폴더 / 파일 등록 정보 : FavorIcon 프로그램]

 

C:\Documents and Settings\(사용자 계정)\Favorites\11번가 - 고객감동 No.1, 11번가.url
C:\Documents and Settings\(사용자 계정)\Favorites\G마켓 - 놀라움을 쇼핑하다, G마켓.url
C:\Documents and Settings\(사용자 계정)\Favorites\REAL STYLING! 디앤샵.url
C:\Documents and Settings\(사용자 계정)\Favorites\옥션 - 앞으로의 인터넷쇼핑, 옥션.url
C:\Documents and Settings\(사용자 계정)\바탕 화면\11번가 - 고객감동 No.1, 11번가.url
C:\Documents and Settings\(사용자 계정)\바탕 화면\G마켓 - 놀라움을 쇼핑하다, G마켓.url
C:\Documents and Settings\(사용자 계정)\바탕 화면\REAL STYLING! 디앤샵.url
C:\Documents and Settings\(사용자 계정)\바탕 화면\옥션 - 앞으로의 인터넷쇼핑, 옥션.url
C:\Program Files\favoricon
C:\Program Files\favoricon\uninst.exe :: FavorIcon 프로그램 삭제 파일

 

[생성 레지스트리 등록 정보]

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\favoricon

 

우선 악성 프로그램 배포와 활용되는 FavorIcon 프로그램은 즐겨찾기와 바탕 화면에 11번가, G마켓, 디앤샵, 옥션 바로가기 아이콘을 생성하며, 해당 아이콘을 통해 접속시 특정 광고 코드(click.clickstory.co.kr)가 추가된 형태로 연결되는 것을 확인할 수 있습니다.

해당 프로그램의 삭제는 제어판에 등록된 "favoricon" 삭제 항목을 이용하여 삭제할 수 있습니다.

 

2. 사용자 몰래 설치되는 "Trojan/Win32.KorAd" 악성 프로그램 정보

 

FavorIcon 프로그램 설치 과정에서 특정 서버로부터 다운로드된 파일은 "C:\Program Files\favoricon\favoriconm_rightclick.exe" 파일을 생성하여, 다음과 같은 파일을 생성한 후 자가 삭제 처리가 됩니다.

 

[생성 파일 및 진단 정보]

 

C:\Program Files\aqlegfts
C:\Program Files\aqlegfts\aqlegfts.dll
 - MD5 : 7c0af11c37f73e56cfd33f30dc1e4a7b
 - AhnLab V3 : Trojan/Win32.KorAd (VirusTotal : 29/46)

 

[생성 레지스트리 등록 정보]

 

HKEY_LOCAL_MACHINE\SOFTWARE\aqlegfts
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_AQLEGFTS
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\aqlegfts

favoriconm_rightclick.exe 파일은 "aqlegfts" 서비스 항목을 등록하여 시스템 시작시 "%SystemRoot%\System32\svchost.exe -k netsvcs" 파일을 자동 실행하도록 제작되어 있으며, 이를 통해 특정 업데이트 서버와 통신을 하게 됩니다.

 

시스템 시작시마다 업데이트 서버를 체크하여 추가적인 프로그램이 등록되어 있을 경우 사용자 몰래 자신과 유사한 기능을 가진 악성 프로그램을 다운로드 및 실행하는 방식으로 지속적인 변종을 설치하게 됩니다.

  • h**p://down.group**.kr/file2/ajqzbwcvbxr.exe (MD5 : b3a11af7399ec798b77010efa5a56cb5) - AhnLab V3 : Win-Trojan/Agent.135929 (VT : 33/46)

예를 들어 "aqlegfts" 서비스를 통해 특정 시점에서 ajqzbwcvbxr.exe 파일을 다운로드하며, 해당 파일은 "C:\fts08ajqzbwcvbxr.exe" 파일로 생성된 후 "C:\Program Files\ajqzbwcvbxr\ajqzbwcvbxr.dll" 파일(MD5 : aef900e523ea7a8e69759f56f31a5af5)을 등록하고 fts08ajqzbwcvbxr.exe 파일은 자가 삭제 처리됩니다.

 

[생성 파일 및 진단 정보]

 

C:\Program Files\ajqzbwcvbxr
C:\Program Files\ajqzbwcvbxr\ajqzbwcvbxr.dll
 - MD5 : aef900e523ea7a8e69759f56f31a5af5
 - AhnLab V3 : Trojan/Win32.KorAd (VT : 29/46)

 

[생성 레지스트리 등록 정보]

 

HKEY_LOCAL_MACHINE\SOFTWARE\ajqzbwcvbxr
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_AJQZBWCVBXR
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ajqzbwcvbxr

이렇게 사용자 몰래 설치된 악성 프로그램은 "ajqzbwcvbxr" 서비스 항목을 등록하여 시스템 시작시 "%SystemRoot%\System32\svchost.exe -k netsvcs" 파일을 자동 실행하여 업데이트 체크를 하도록 구성되어 있습니다.

 

이렇게 업데이트 기능을 가진 PC를 확보한 공격자는 특정 시점에서 시스템 시작시 다음과 같은 다수의 수익성 프로그램을 설치할 수 있습니다.

 

3. "Trojan/Win32.KorAd" 악성코드를 통한 수익 활동 정보

  1. h**p://down.group**.kr/spp/freelisten3.exe (MD5 : c8ed794095856446cbfdbbb4e7bbc478) - AhnLab V3 : Win-Downloader/KorAd.193364 (VT : 21/46)
  2. h**p://down.group**.kr/spp/signkey3.exe (MD5 : 94d46a154af5d7966b6dc750bcc4fb35) - AhnLab V3 : Win-Downloader/KorAd.193339 (VT : 21/46)
  3. h**p://down.group**.kr/spp/tabsync3.exe (MD5 : 9e349c124060fa2734416d5b7d6bff58) - AhnLab V3 : Adware/Win32.KorAd (VT : 30/46)
  4. h**p://down.group**.kr/spp/utilzone3.exe (MD5 : 51f184a06d0dca419696bba572ef2321) - avast! : NSIS:Adware-EI [Adw] (VT : 22/46)
  5. h**p://down.group**.kr/spp/windowstab3.exe (MD5 : e9092145877558e0412103bc32f10639) - AhnLab V3 : Win-Downloader/KorAd.193337.C (VT : 15/46)
  6. h**p://down.group**.kr/spp/winpro3.exe (MD5 : caa1ae0c644dbf4708dca9677347b7ce) - AhnLab V3 : Win-Downloader/KorAd.239267 (VT : 22/46)
  7. h**p://down.group**.kr/spp/wisesearch3.exe (MD5 : 8ee7066a8cfae8e32c0a5a0bf83aa83a) - AhnLab V3 : Win-Downloader/KorAd.193320 (VT : 19/46)

"Trojan/Win32.KorAd" 악성코드에 감염된 사용자 PC 환경에서는 어느날 시스템 부팅 과정에서 특정 업데이트 서버로부터 다수의 수익성 프로그램(7종)의 설치 파일을 사용자 몰래 다운로드합니다.

 

서버로부터 다운로드된 파일의 행위를 살펴보면 2번(signkey3.exe)의 경우 "C:\fts07windowstab3.exe" 파일을 생성하여, "C:\Documents and Settings\LocalService\Application Data\temp\windowstab2.exe" 파일 형태로 저장됩니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
 - freelisten3 = "C:\Documents and Settings\LocalService\Application Data\temp\freelisten2.exe"
 - signkey3 = "C:\Documents and Settings\LocalService\Application Data\temp\signkey2.exe"
 - tabsync3 = "C:\Documents and Settings\LocalService\Application Data\temp\tabsync2.exe"
 - utilzone3 = "C:\Documents and Settings\LocalService\Application Data\temp\utilzone2.exe"
 - windowstab3 = "C:\Documents and Settings\LocalService\Application Data\temp\windowstab2.exe"
 - winpro3 = "C:\Documents and Settings\LocalService\Application Data\temp\winpro2.exe"
 - wisesearch3 = "C:\Documents and Settings\LocalService\Application Data\temp\wisesearch2.exe"

 

[생성 파일 진단 정보]

 

freelisten2.exe (MD5 : 98ab836d5ef83202dacb40eca53def8a) - avast! : Win32:Adware-gen [Adw] (VT : 19/46)
signkey2.exe (MD5 : f731d15631bb24d66212c3cf78332112) - avast! : Win32:Malware-gen (VT : 16/46)
tabsync2.exe (MD5 : 9e349c124060fa2734416d5b7d6bff58) - AhnLab V3 : Adware/Win32.KorAd (VT : 30/46)
utilzone2.exe (MD5 : 59e47ad95afee8eca3598fee107fd712) - avast! : NSIS:Adware-EI [Adw] (VT : 25/46)
windowstab2.exe (MD5 : dd33d508a1d22aaeaafa414668809936) - AhnLab V3 : Win-PUP/Helper.WindowTap.137868 (VT : 13/46)
winpro2.exe (MD5 : 55ac5c606381935c3cccc31af4ba06a2) - AhnLab V3 : Win-PUP/Helper.Winpro.183097 (VT : 24/46)
wisesearch2.exe (MD5 : e1f22ec0bd9d7c22a7e1e7085acf3d0b) - AhnLab V3 : Win-PUP/Helper.WiseSearch.137829 (VT : 17/46)

 

"C:\Documents and Settings\LocalService\Application Data\temp" 폴더에 생성된 파일들은 시작 프로그램(RunOnce)으로 등록하여 시스템 재부팅 과정에서 자동 실행을 통해 7종의 수익성 프로그램을 일괄 설치하도록 구성되어 있습니다.

 

  프리리슨(FreeListen)에 포함된 FreeListenManager.exe 광고 파일 (2012.6.26)

 

  검색 도우미 : SignKey (2012.12.15)

 

  검색 도우미 : TabSync (2012.10.22)

 

  검색 도우미 : UtilZone (2012.3.20)

 

  검색 도우미 : 윈도우즈탭(WindowsTab) (2012.4.12)

 

  검색 도우미 : WinPro (2012.3.21)

 

  국내 악성코드 : WiseSearch version 1.0 (2013.1.31)

 

이렇게 사용자 동의없이 설치된 7종의 수익성 프로그램들은 인터넷 이용시 원치 않는 광고창 생성 등을 통해 지속적인 광고 수익을 창출하며, 차후 언제든지 사용자 몰래 또 다른 악성 프로그램을 설치할 수 있습니다.

 

4. 변종 프로그램 유포 정보

 

해당 방식으로 사용자 PC를 감염시킨 변종 프로그램에 대해 2013년 1월~2월경까지 확인된 21종의 파일 정보는 다음과 같습니다.

 

  • h**p://down.group**.kr/file/tkjexvdrz.exe (MD5 : 196da0d5d26e8473a5f261026ff991ab) - AhnLab V3 : Win-Trojan/Korad.139634 (VT : 31/46)
  • h**p://down.group**.kr/file2/jnbitintoft.exe (MD5 : 59c3b868cdfd0621e9fe215c76058728) - AhnLab V3 : Win-Trojan/Korad.141169 (VT : 31/46)
  • h**p://down.group**.kr/file2/lgyuppg.exe (MD5 : 0ae12c5b78f070d35de2a54b85736e5a) - AhnLab V3 : Win-Trojan/Agent.141060 (VT : 31/46)
  • h**p://down.group**.kr/file2/auxhazr.exe (MD5 : 7f13667d08948f03f70622c3b65e4b38) - AhnLab V3 : Win-Dropper/KorAd.135910 (VT : 35/46)
  • h**p://down.group**.kr/file2/olctpopfrx.exe (MD5 : 1a815b274eb9e6785217c742c07d53d5) - AhnLab V3 : Dropper/Korad.135411 (VT : 31/46)
  • h**p://down.group**.kr/file2/qfofzxoykn.exe (MD5 : bb2f0da75983f379154d14e5a450a639) - AhnLab V3 : Dropper/Korad.135416 (VT : 34/46)
  • h**p://down.group**.kr/file2/baockaxholu.exe (MD5 : 55de8a9288e8265546273a9c75ba7dc8) - AhnLab V3 : Win-Trojan/Korad.135476 (VT : 34/46)
  • h**p://down.group**.kr/file2/gazoueveefm.exe (MD5 : bd74a8c272ca281785ed851c9f341a6d) - AhnLab V3 : Win-Dropper/KorAd.135503 (VT : 35/46)
  • h**p://down.group**.kr/file2/llgmmh.exe (MD5 : 97d7b8664439ee4043864bc25673641e) - AhnLab V3 : Win-Dropper/KorAd.135501 (VT : 31/46)
  • h**p://down.group**.kr/file2/bhwjobm.exe (MD5 : 2e22d2b48b26fcb10a28063ff359d399) - AhnLab V3 : Win-Dropper/KorAd.134192 (VT : 33/46)
  • h**p://down.group**.kr/file2/hksimrooxgx.exe (MD5 : 537cdf8d017e6b663f5498d8ff25396d) - AhnLab V3 : Win-Adware/KorAd.134234 (VT : 31/46)
  • h**p://down.group**.kr/file2/crzflgqdg.exe (MD5 : 6ec4ca299236d7be2b8d992a6cbef4c5) - AhnLab V3 : Win-Adware/KorAd.134428 (VT : 31/45)
  • h**p://down.group**.kr/file2/ncighstd.exe (MD5 : 53c6b02e2cd3a35d11ab93c80eb62fcb) - AhnLab V3 : Win-Dropper/KorAd.134430 (VT : 33/46)
  • h**p://down.group**.kr/file2/svclcaskkkz.exe (MD5 : 8f8966863013c4a6c81d45a5998da279) - AhnLab V3 : Win-Trojan/Korad.134419 (VT : 32/46)
  • h**p://down.group**.kr/files/fmzwrbz.exe (MD5 : 394f98848e484f060a879645c410457e) - Hauri ViRobot : Adware.Agent.135376 (VT : 32/45)
  • h**p://down.group**.kr/files/dwmruwy.exe (MD5 : e060e060d3d4bb2929f80b2eba76c69f) - AhnLab V3 : Dropper/Korad.132208 (VT : 34/46)
  • h**p://down.group**.kr/files/egsiecyqfh.exe (MD5 : fca84c497f945f79b5ae058690222958) - AhnLab V3 : Dropper/Korad.132226 (VT : 32/46)
  • h**p://down.group**.kr/files/vmewhsllaq.exe (MD5 : cf28f55789b8b92a1aa2e3b706d48f5f) - AhnLab V3 : Win-Dropper/KorAd.132239 (VT : 30/46)
  • h**p://down.group**.kr/files/ipjdpig.exe (MD5 : cab3063e851abc9c1f137b4a2dd4c728) - AhnLab V3 : Win-Trojan/Agent.132277 (VT : 30/46)
  • h**p://down.group**.kr/files/ensxrfiibn.exe (MD5 : d0d516caccb4db76214f5ad94a407f10) - AhnLab V3 : Win-Dropper/KorAd.132560 (VT : 28/46)
  • h**p://down.group**.kr/files/jqmusqcnpw.exe (MD5 : 54449a9e4513390796e286997b49a2a0) - avast! : Win32:Adware-gen [Adw] (VT : 27/45)

5. 결론

 

해당 악성코드는 이전부터 최초 유포는 사용자 동의를 얻는 수익성 프로그램 설치 과정에서 은밀하게 설치가 이루어지는 것으로 보이며, 이를 통해 다수의 좀비 PC를 확보하여 사이버 범죄자가 언제든지 수익성 프로그램을 설치할 수 있는 통로로 활용되고 있습니다.

favoriconm_speller.exe (MD5 : 034fd3c87e57bf3ba20ab9c6c1f5eb17) - MSE : Adware:Win32/Kraddare (VT : 11/46)

현재도 FavorIcon 프로그램 설치시 추가로 포함된 악성 프로그램을 통해 최소 수만대 이상의 PC를 표적으로 감염을 유발하고 있으므로 이런 프로그램이 설치되지 않도록 사용자들은 각별한 주의를 하시기 바랍니다.

728x90
반응형