본문 바로가기

벌새::Analysis

국내 악성코드 : conhost

시스템 시작시 자동 실행되는 conhost.exe 파일을 통해 네이버(Naver) 검색 관련 수익성 활동을 할 것으로 추정되며, 프로그램 삭제시 파일 변경을 통해 지속적인 활동을 유지하는 conhost 프로그램에 대해 살펴보도록 하겠습니다.

해당 프로그램의 설치 파일(MD5 : 86e90ffddc94e7eff5a5932276d5a193)은 2013년 7월 29일경 배포가 시작된 것으로 보이며, Kaspersky 보안 제품에서는 UDS:DangerousObject.Multi.Generic (VT : 5/46) 진단명으로 진단되고 있습니다.

참고로 conhost.exe 파일은 Windows 7 운영 체제의 콘솔 창 호스트 파일(C:\Windows\system32\conhost.exe)과 동일한 파일명을 가지고 있으므로 혼동하지 않도록 하시기 바랍니다.

파일이 실행되어 프로그램이 설치되는 과정에서 일본(Japan)에 위치한 특정 서버에 설치 PC의 Mac Address 및 파일 버전 정보를 전송합니다.

 

[생성 폴더 / 파일 및 진단 정보]

 

C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\conhost
C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\conhost\conhost.exe :: 시작 프로그램 등록 파일
 - MD5 : 86e90ffddc94e7eff5a5932276d5a193
 - Kaspersky : UDS:DangerousObject.Multi.Generic (VT : 5/46)

 

[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - conhost = "C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\conhost\conhost.exe" -o e
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\conhost

프로그램 설치를 통해 "C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\conhost\conhost.exe" 파일을 생성하며, Windows 시작시 conhost.exe 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.

자동 실행된 conhost.exe 파일은 일본(Japan)에 위치한 서버에서 프로그램 버전 및 네이버(Naver) 검색 키워드 값을 기반으로 한 구성값을 요청한 후 자동 종료 처리됩니다.(※ "C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\conhost\log.log" 파일 생성)

사용자가 프로그램 삭제를 위해 제어판에 등록된 "conhost" 삭제 항목을 실행할 경우 일본(Japan)에 위치한 서버에 삭제 카운터(Counter) 정보를 전송하며 삭제되는 것처럼 보이지만, 다음과 같은 동작이 사용자 몰래 이루어집니다.

 

1. "C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\conhost\conhost.exe" 파일 복제

 

[생성 폴더 / 파일 등록 정보]

 

C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\sticker
C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\sticker\sticker.exe
 - MD5 : 86e90ffddc94e7eff5a5932276d5a193
 - Kaspersky : UDS:DangerousObject.Multi.Generic (VT : 5/46)

conhost 프로그램의 삭제 파일("C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\conhost\conhost.exe" -o u)은 사용자 몰래 자신을 "C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\sticker\sticker.exe" 파일로 자가 복제 처리하며 자신은 삭제되지 않습니다.

 

2. 시작 프로그램 레지스트리 값 수정

 

[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - sticker = "C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\sticker\sticker.exe" -o e

 

[삭제 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - conhost = "C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\conhost\conhost.exe" -o e

제어판에 등록된 conhost 프로그램 삭제시 기존에 등록된 시작 프로그램 등록값(conhost)이 삭제되고 새로 추가된 시작 프로그램 등록값(sticker)이 생성됩니다.

 

이렇게 새로 추가된 "C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\sticker\sticker.exe" 파일은 기존의 conhost.exe 파일과 동일한 기능을 수행하고 있습니다.

 

일련의 conhost.exe, sticker.exe 파일과 연관된 파일을 확인해보면 2013년 2월 중순경 블로그를 통해 소개한 네이버(Naver) 검색 서비스에 사용자 몰래 다양한 키워드 값을 전송하여 백그라운드 방식으로 검색을 시도하는 스틱애드(StickADs) 프로그램과 연관된 것으로 추정됩니다.(※ 네이버(Naver) 검색어 순위 조작 프로그램)

 

설치된 conhost 프로그램은 제어판을 통해 삭제 기능을 제공하고 있는 것처럼 구성되어 있지만 실제로는 삭제가 이루어지지 않으므로 다음과 같은 절차에 따라 프로그램을 찾아 삭제하시기 바랍니다.

 

(1) Windows 탐색기를 실행하여 다음의 폴더(파일)를 찾아 수동으로 삭제하시기 바랍니다.(※ 만약 삭제되지 않는 경우 Windows 작업 관리자를 실행하여 conhost.exe<정상 프로세스와 혼동하지 않도록 하시기 바랍니다.>, sticker.exe 프로세스를 찾아 수동으로 종료하시기 바랍니다.)

 

  • C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\conhost
  • C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\conhost\conhost.exe
  • C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\sticker
  • C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\sticker\sticker.exe

(2) 레지스트리 편집기(regedit)를 실행하여 다음의 값들을 찾아 수동으로 삭제하시기 바랍니다.

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - sticker = "C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\sticker\sticker.exe" -o e

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\conhost

 

현재 테스트 시점에서는 실제적인 수익 활동은 이루어지지 않는 것으로 보이며, 프로그램이 2013년 6월 30일자 버전으로 2013년 7월경에 활발하게 동작한 것이 아닌가 의심이 됩니다.

 

위와 같은 프로그램은 차후 파일 교체를 통해 유사한 기능을 지속적으로 수행할 수 있으며, 시스템 시작 후 사용자 몰래 네이버(Naver) 키워드 검색을 통해 불필요한 트래픽 유발 등의 원인이 되므로 주의하시기 바랍니다.

  • 미나 2013.08.07 14:24 댓글주소 수정/삭제 댓글쓰기

    앞에 과장님이 폴더 색상 변경하는법 아냐고 해서.. 프로그램뒤지다가.. 폴더하이라이트라는 프로그램을 깔았더니.. 이게 깔리면서.. 온갖 쇼핑몰 사이트가 뜨기시작하네요.. 우선 알려주신대로 하긴했는데... 되야할텐데 걱정입니다.

  • 알려주신대로햇는데도 ㄱ계속 뜨네요 ㅜㅜregedit 으로해서 파일 삭ㅈㅔ했느데 ㅠㅜㅠ

    • 무엇이 뜬다는 말씀인가요? conhost.exe? 기본적으로 conhost.exe 파일은 정상적인 시스템에서 실행되는 파일이며, 해당 파일의 위치가 시스템 폴더가 아닌 경우 문제가 되는 파일입니다.

  • 그그레이트 2014.01.02 05:04 댓글주소 수정/삭제 댓글쓰기

    Yoyo이건 아닌데 님꺼 블로그보고 계속 제거해도 끝없이뜬 팝업창에 인내심을 가지고 끝까지 지우니 여섯개정도 지운거 같아요 엉엉 완전 감사감사 다시 말짱한 컴터가됬음

  • 그그레이크 2014.01.02 05:08 댓글주소 수정/삭제 댓글쓰기

    근데 사라지지 않는 11번가팝업창은 어떻게 제거하죵??ㅠㅠ

  • 질문!! 2014.01.18 16:42 댓글주소 수정/삭제 댓글쓰기

    질문 있습니다. conhost가 월래 평상시에도 프로세스 창에 활성화 되나요?
    cmd 켜닌까 conhost가 두개가 뜨는데 정상이 맞는지요? cmd끄면 conhost는 한개 그대로 유지 되구요. 예전엔 이런 프로세스 안 떳는데 윈도업뎃하면서 그런가..언제 부턴가 생겼더라구요

  • ddd 2014.08.11 12:09 댓글주소 수정/삭제 댓글쓰기

    윈도우7에선 documents and setting 폴더가 나타나지 않는데 윈7에서 어떻게해야되나요 알려주세요 제발

    프로세서 laobr 로 강제종료되게끔 conhost.exe 그냥 킬해놨는데 근본적인 치료법이

    궁금하네요;.

    • Windows 7 운영 체제에서는 기본적으로 C:\Users\(사용자 계정) 폴더 내부를 의미합니다.

      그리고 conhost.exe 프로세스는 원래 정상적인 윈도우 환경에서 존재하는 프로세스이며, 단지 악성 파일이 동일한 이름으로 다른 폴더 위치에서 실행되는 경우에 문제가 되는 겁니다.

      그러므로 정상적인 conhost.exe 프로세스를 건들지 않도록 주의하시기 바랍니다.

  • dd23 2015.03.11 17:48 댓글주소 수정/삭제 댓글쓰기

    conhost 바이러스인 줄 알고 삭제했는데 다시 복구 못하나요ㅠㅠㅠㅠ 어떡하나요 답변 부탁드립니다 잘 못 파일을 삭제해버렸어요 ㅠㅠㅠ

  • 현재 저프로세스가 수십개가 떠있습니다 거기다 프로세스강제종료기능도 먹통이 됐고..이럴경우 어떻게하나요? 파일위치는확인함

    • 파일 위치가 C:\Windows\system32\conhost.exe 라면 정상적인 파일이며, 만약 다를 경우에는 유명 백신을 통한 정밀 검사를 통해 악성코드에 감염되었는지 검사해 보시기 바랍니다.

      확인이 어렵다면 http://hummingbird.tistory.com/notice/4859 내용을 참고하여 run 파일을 제작하여 안내 메일로 보내주시기 바랍니다.

  • 2016.04.17 18:00 댓글주소 수정/삭제 댓글쓰기

    알약 네이버백신으로 돌렸을땐 깨끗하고 경로는 이상한곳이에요 확인은 했는데 실행중이라고 삭제도 안되고 프로세스강제종료기능도 먹통이됐네요 메일 hummingbird@tistory.com 이쪽으로 보냈습니다

  • ㅅㅂ 2019.11.25 05:57 댓글주소 수정/삭제 댓글쓰기

    아 진짜 내가 대체 뭐하다가 이걸 걸렸는지.....언젠가부터 저 ♫♬♩나서 네이버에서 이상한 정책 시작한 줄 알았어요. 바이러스 제로 시즌2 카페 가서야 저랑 비슷한 증상 겪는 분들 계서서 그제서야 좀비 피시 된 걸 알았죠. 어베스트는 검출 못하더군요. 쩝.