울지않는벌새 : Security, Movie & Society

국내 악성코드 : KoreaMessenger CP

벌새::Analysis

바탕 화면, 즐겨찾기 영역에 "서치바이미" 바로가기 아이콘을 등록하며, 사용자 몰래 백그라운드 방식으로 서치바이미 검색을 시도하는 "KoreaMessenger CP" 프로그램에 대해 살펴보도록 하겠습니다.

해당 프로그램은 2013년 5월 21일경부터 유포가 확인되었으며, 설치 파일(MD5 : 360f609fc2fd46f073728c7ed7ae25e7)에 대하여 MSE 보안 제품에서는 Trojan:Win32/Sisron (VT : 31/46) 진단명으로 진단되고 있습니다.

 

  국내 악성코드 : brainclan CP (2013.6.13)

 

또한 기존의 동일한 기능을 가진 "brainclan CP" 악성 프로그램의 변종이므로 참고하시기 바랍니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Documents and Settings\(사용자 계정)\Favorites\서치바이미 - 내가 만들어가는 검색형 블로그.url
C:\Documents and Settings\(사용자 계정)\Favorites\연결\서치바이미.url
C:\Documents and Settings\(사용자 계정)\바탕 화면\서치바이미.url
C:\Program Files\KoreaMessenger CP
C:\Program Files\KoreaMessenger CP\koreamessenger_CP_updater.exe :: 시작 프로그램(clover_u) 등록 파일
C:\Program Files\KoreaMessenger CP\koreamessenger_CP.exe :: 시작 프로그램(clover) 등록 파일 / 메모리 상주 프로세스
C:\WINDOWS\CloverPlus.cot
C:\WINDOWS\searchbyme.ico

  • h**p://m.batang****.net/files/pav/c_updater.exe <= koreamessenger_CP_updater.exe> (MD5 : a278f0c4fee313e9932ccd6a5337bd6a) - nProtect : Adware/W32.KrAdword.114688.D (VT : 27/47)
  • h**p://m.batang****.net/files/pav/c_exe.exe <= koreamessenger_CP.exe> (MD5 : 6791d4cc36132f8aedfae8b206056910) - MSE : Adware:Win32/CloverPlus (VT : 30/47)

"KoreaMessenger CP" 프로그램 설치시에는 특정 서버로부터 파일을 다운로드하여 설치가 이루어지고 있으며, "brainclan CP" 악성 프로그램과 동일한 파일을 다운로드하지만 생성 파일명은 변경되고 있습니다.

설치된 프로그램은 "C:\Program Files\KoreaMessenger CP" 폴더에 주요 파일을 생성하며, Windows 시작시 다음과 같은 시작 프로그램을 등록하여 자동 실행되도록 구성되어 있습니다.

  • clover = C:\Program Files\KoreaMessenger CP\koreamessenger_CP.exe
  • clover_u = C:\Program Files\KoreaMessenger CP\koreamessenger_CP_updater.exe

프로그램이 설치된 환경에서는 바탕 화면과 즐겨찾기 영역에 "서치바이미" 바로가기 아이콘이 등록되는 것이 특징입니다.

 

1. "C:\Program Files\KoreaMessenger CP\koreamessenger_CP_updater.exe" 시작 프로그램

시스템 시작시 자동 실행된 koreamessenger_CP_updater.exe 파일은 구글(Google) 서버에 쿼리 전송을 통한 네트워크 연결 및 프로그램 파일을 체크한 후 자동 종료됩니다.

 

2. "C:\Program Files\KoreaMessenger CP\koreamessenger_CP.exe" 시작 프로그램

시스템 시작시 자동 실행된 koreamessenger_CP.exe 파일은 광고 구성값 체크 후 주기적으로 서치바이미 서버에 랜덤(Random)한 검색 키워드 값을 기반으로 백그라운드 검색을 수행합니다.

테스트 과정에서 확인된 검색 키워드 값에서는 "이삿짐센터"를 통해 서치바이미 인터넷 검색이 이루어지는 것을 확인할 수 있었습니다.

 

3. 프로그램 삭제

 

"KoreaMessenger CP" 프로그램은 사용자에 의한 프로그램 삭제를 방해할 목적으로 제어판을 통한 삭제 기능을 제공하지 않고 있으므로, 보안 제품을 통한 정밀 검사 또는 다음과 같은 방식으로 삭제를 진행하시기 바랍니다.

 

(1) Windows 작업 관리자를 실행하여 koreamessenger_CP.exe 프로세스를 찾아 수동으로 종료하시기 바랍니다.

(2) 다음의 폴더(파일)를 찾아 수동으로 삭제하시기 바랍니다.

  • C:\Documents and Settings\(사용자 계정)\Favorites\서치바이미 - 내가 만들어가는 검색형 블로그.url
  • C:\Documents and Settings\(사용자 계정)\Favorites\연결\서치바이미.url
  • C:\Documents and Settings\(사용자 계정)\바탕 화면\서치바이미.url
  • C:\Program Files\KoreaMessenger CP
  • C:\Program Files\KoreaMessenger CP\koreamessenger_CP_updater.exe
  • C:\Program Files\KoreaMessenger CP\koreamessenger_CP.exe
  • C:\WINDOWS\CloverPlus.cot
  • C:\WINDOWS\searchbyme.ico

(3) 레지스트리 편집기(regedit)를 실행하여 생성된 레지스트리 값을 참조하여 삭제하시기 바랍니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\Microsoft\CloverP
HKEY_CURRENT_USER\Software\Microsoft\CloverPlus
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - clover = C:\Program Files\KoreaMessenger CP\koreamessenger_CP.exe
 - clover_u = C:\Program Files\KoreaMessenger CP\koreamessenger_CP_updater.exe

 

"KoreaMessenger CP" 프로그램은 삭제를 지원하지 않고 있으며, 다양한 바로가기 아이콘 등록 및 인터넷 이용시 백그라운드 방식으로 원치 않는 검색 동작을 통해 트래픽을 유발하므로 주의하시기 바랍니다.