본문 바로가기

벌새::Analysis

국내 악성코드 : conhost

반응형

시스템 시작시 자동 실행되는 conhost.exe 파일을 통해 네이버(Naver) 검색 관련 수익성 활동을 할 것으로 추정되며, 프로그램 삭제시 파일 변경을 통해 지속적인 활동을 유지하는 conhost 프로그램에 대해 살펴보도록 하겠습니다.

해당 프로그램의 설치 파일(MD5 : 86e90ffddc94e7eff5a5932276d5a193)은 2013년 7월 29일경 배포가 시작된 것으로 보이며, Kaspersky 보안 제품에서는 UDS:DangerousObject.Multi.Generic (VT : 5/46) 진단명으로 진단되고 있습니다.

참고로 conhost.exe 파일은 Windows 7 운영 체제의 콘솔 창 호스트 파일(C:\Windows\system32\conhost.exe)과 동일한 파일명을 가지고 있으므로 혼동하지 않도록 하시기 바랍니다.

파일이 실행되어 프로그램이 설치되는 과정에서 일본(Japan)에 위치한 특정 서버에 설치 PC의 Mac Address 및 파일 버전 정보를 전송합니다.

 

[생성 폴더 / 파일 및 진단 정보]

 

C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\conhost
C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\conhost\conhost.exe :: 시작 프로그램 등록 파일
 - MD5 : 86e90ffddc94e7eff5a5932276d5a193
 - Kaspersky : UDS:DangerousObject.Multi.Generic (VT : 5/46)

 

[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - conhost = "C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\conhost\conhost.exe" -o e
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\conhost

프로그램 설치를 통해 "C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\conhost\conhost.exe" 파일을 생성하며, Windows 시작시 conhost.exe 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.

자동 실행된 conhost.exe 파일은 일본(Japan)에 위치한 서버에서 프로그램 버전 및 네이버(Naver) 검색 키워드 값을 기반으로 한 구성값을 요청한 후 자동 종료 처리됩니다.(※ "C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\conhost\log.log" 파일 생성)

사용자가 프로그램 삭제를 위해 제어판에 등록된 "conhost" 삭제 항목을 실행할 경우 일본(Japan)에 위치한 서버에 삭제 카운터(Counter) 정보를 전송하며 삭제되는 것처럼 보이지만, 다음과 같은 동작이 사용자 몰래 이루어집니다.

 

1. "C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\conhost\conhost.exe" 파일 복제

 

[생성 폴더 / 파일 등록 정보]

 

C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\sticker
C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\sticker\sticker.exe
 - MD5 : 86e90ffddc94e7eff5a5932276d5a193
 - Kaspersky : UDS:DangerousObject.Multi.Generic (VT : 5/46)

conhost 프로그램의 삭제 파일("C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\conhost\conhost.exe" -o u)은 사용자 몰래 자신을 "C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\sticker\sticker.exe" 파일로 자가 복제 처리하며 자신은 삭제되지 않습니다.

 

2. 시작 프로그램 레지스트리 값 수정

 

[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - sticker = "C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\sticker\sticker.exe" -o e

 

[삭제 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - conhost = "C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\conhost\conhost.exe" -o e

제어판에 등록된 conhost 프로그램 삭제시 기존에 등록된 시작 프로그램 등록값(conhost)이 삭제되고 새로 추가된 시작 프로그램 등록값(sticker)이 생성됩니다.

 

이렇게 새로 추가된 "C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\sticker\sticker.exe" 파일은 기존의 conhost.exe 파일과 동일한 기능을 수행하고 있습니다.

 

일련의 conhost.exe, sticker.exe 파일과 연관된 파일을 확인해보면 2013년 2월 중순경 블로그를 통해 소개한 네이버(Naver) 검색 서비스에 사용자 몰래 다양한 키워드 값을 전송하여 백그라운드 방식으로 검색을 시도하는 스틱애드(StickADs) 프로그램과 연관된 것으로 추정됩니다.(※ 네이버(Naver) 검색어 순위 조작 프로그램)

 

설치된 conhost 프로그램은 제어판을 통해 삭제 기능을 제공하고 있는 것처럼 구성되어 있지만 실제로는 삭제가 이루어지지 않으므로 다음과 같은 절차에 따라 프로그램을 찾아 삭제하시기 바랍니다.

 

(1) Windows 탐색기를 실행하여 다음의 폴더(파일)를 찾아 수동으로 삭제하시기 바랍니다.(※ 만약 삭제되지 않는 경우 Windows 작업 관리자를 실행하여 conhost.exe<정상 프로세스와 혼동하지 않도록 하시기 바랍니다.>, sticker.exe 프로세스를 찾아 수동으로 종료하시기 바랍니다.)

 

  • C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\conhost
  • C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\conhost\conhost.exe
  • C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\sticker
  • C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\sticker\sticker.exe

(2) 레지스트리 편집기(regedit)를 실행하여 다음의 값들을 찾아 수동으로 삭제하시기 바랍니다.

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - sticker = "C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\sticker\sticker.exe" -o e

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\conhost

 

현재 테스트 시점에서는 실제적인 수익 활동은 이루어지지 않는 것으로 보이며, 프로그램이 2013년 6월 30일자 버전으로 2013년 7월경에 활발하게 동작한 것이 아닌가 의심이 됩니다.

 

위와 같은 프로그램은 차후 파일 교체를 통해 유사한 기능을 지속적으로 수행할 수 있으며, 시스템 시작 후 사용자 몰래 네이버(Naver) 키워드 검색을 통해 불필요한 트래픽 유발 등의 원인이 되므로 주의하시기 바랍니다.

728x90
반응형