본문 바로가기

벌새::Analysis

국내 악성코드 : AniCt

사용자 몰래 특정 검색 키워드 값을 이용하여 네이버(Naver) 지식쇼핑 서비스의 인기 검색어 순위 조작 및 특정 업체 및 상품에 대해 이득을 유발할 것으로 추정되는 AniCt 프로그램에 대해 살펴보도록 하겠습니다.

해당 프로그램의 설치 파일(MD5 : 62eccd221556aa827d22d5473d0da752)은 2013년 5월 9일경 유포가 시작되었으며, AhnLab V3 보안 제품에서는 Win-Adware/KorAd.442368.D (VT : 5/47) 진단명으로 진단되고 있습니다.

 

  <2011년~2012년 관련 정보> 이니텍(INITECH) 프로그램으로 위장한 IniCert 프로그램 유포 주의 (2012.12.28) 외 6종

 

  국내 악성코드 : InICD (2013.1.18)

 

  국내 악성코드 : RealWeb (2013.3.24)

 

  국내 악성코드 : IniCD - ENICD (2013.5.23)

 

해당 프로그램은 2011년경부터 유사한 기능을 가진 다양한 프로그램 이름으로 유포되고 있으므로 참고하시기 바랍니다.

프로그램 설치 단계에서는 홍콩(HongKong)에 위치한 "aazz8282.pnsweb.net(183.90.188.37)" 서버에 사용자 설치 환경 정보를 전송하는 동작을 확인할 수 있습니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Program Files\AniCt
C:\Program Files\AniCt\bxb.dll
C:\Program Files\AniCt\jqs.exe :: 메모리 상주 프로세스
C:\Program Files\AniCt\jqu.exe :: 시작 프로그램 등록 파일
C:\Program Files\AniCt\UnInstall.exe :: 프로그램 삭제 파일

 

[생성 파일 진단 정보]

 

C:\Program Files\AniCt\jqu.exe
 - MD5 : fe69a9c28a1ab12a55f2f793b553e203
 - nProtect : Adware/W32.KrAdword.294912.D (VT : 4/47)

해당 프로그램은 "C:\Program Files\AniCt" 폴더에 파일을 생성하며, Windows 시작시 ["C:\Program Files\AniCt\jqu.exe" -a] 파일을 시작 프로그램으로 등록하여 자동 실행하도록 구성되어 있습니다.

자동 실행된 jqu.exe 파일은 1분이 경과하면 홍콩(HongKong) 서버로부터 업데이트 정보를 체크하여 추가적인 다운로드를 진행합니다.

  • C:\Program Files\AniCt\Temp
  • C:\Program Files\AniCt\bxa.dll
  • C:\Program Files\AniCt\bxb.dll

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\
Advanced
 - Hidden = 2 :: 기본값

또한 시작 프로그램으로 등록된 jqu.exe 파일은 업데이트 기능 이외에 시스템 시작시마다 폴더 옵션의 "숨김 파일 및 폴더 표시 안 함(기본값)"으로 변경하여 사용자가 숨김(H) 속성을 가진 파일을 찾지 못하게 방해를 합니다.

 

이는 차후 사용자 몰래 업데이트 기능을 통해 추가적인 유사한 기능을 가진 악성 프로그램을 몰래 설치하며, 설치된 프로그램은 숨김(H) 속성으로 지정하여 사용자가 인지하지 못하게 할 목적을 가지고 있습니다.

자동 실행된 "jqu.exe → jqs.exe" 파일을 로딩한 후 자가 종료되며, 실행된 jqs.exe 파일은 30초 경과시 광고 구성값을 체크하며 추가로 2분이 경과하면 검색 키워드 값을 받아오는 동작을 확인할 수 있습니다.

현재 테스트 시점에서 받아오는 검색 키워드 값의 구성은 "(검색 키워드 번호)#@(검색 목표치)#@(실시간 검색 카운트)#@15#@S#@B#@X#@1#@(검색 키워드)"와 같은 패턴으로 등록되어 있으며, 해당 정보를 체크한 후 4분이 경과하면 동작이 실행됩니다.

실제 동작하는 행위를 살펴보면 홍콩(HongKong) 서버에 등록된 검색 키워드 값 1개를 받아와서 네이버(Naver) 지식쇼핑에서 해당 검색 키워드 값으로 백그라운드 검색이 이루어집니다.

 

그 후 순차적으로 등록된 검색 키워드 값을 참조하여 반복적으로 다음 검색이 진행되며, 일련의 검색 동작이 완료된 이후에는 jqs.exe 프로세스를 자동 종료 처리합니다.

 

사용자 입장에서는 백그라운드 방식으로 진행되는 해당 행위가 화면상으로는 표시되지 않지만, 메모리 상승 및 불필요한 트래픽 유발로 시스템 속도 저하 등이 발생할 수 있으리라 판단됩니다.

 

또한 프로그램의 자동 검색 행위를 통해 네이버(Naver) 지식 쇼핑의 인기 검색어 순위에 영향을 줄 수 있으며, 이를 통해 특정 업체 또는 제품이 상위에 노출되어 금전적 수익을 얻을 것으로 판단됩니다.

해당 프로그램은 제어판에 "AniCt" 삭제 항목을 통해 삭제를 진행할 경우 "C:\Program Files\AniCt\UnInstall.exe" 파일 실행을 유발하여 프로그램이 삭제될 것처럼 등록되어 있습니다.

 

하지만 이런 삭제 기능은 사용자에게 정상적인 소프트웨어처럼 속이기 위한 목적이며 실제로 프로그램은 전혀 삭제 처리가 이루어지지 않으므로, 다음과 같은 절차에 따라 프로그램 삭제를 진행하시기 바랍니다.

 

(1) Windows 작업 관리자를 실행하여 jqs.exe 프로세스가 존재할 경우 수동으로 종료하시기 바랍니다.

(2) 다음의 생성 폴더를 찾아 수동으로 삭제하시기 바랍니다.(※ 생성 폴더(파일) 등록 정보 내용을 참고하시기 바랍니다.)

  • C:\Program Files\AniCt

(3) 레지스트리 편집기(regedit)를 실행하여 생성된 값을 찾아 수동으로 삭제하시기 바랍니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\IniCert
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - AniCt = "C:\Program Files\AniCt\jqu.exe" -a
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\AniCt

 

해당 프로그램은 중국(China) 또는 홍콩(HongKong)과 같은 해외 서버를 이용하여 지속적으로 변종 프로그램을 운영하고 있으며, 프로그램이 설치된 환경에서 사용자 몰래 추가적인 프로그램 설치 및 백그라운드 방식의 검색 조작 행위를 수행하므로 주의하시기 바랍니다.