울지않는벌새 : Security, Movie & Society

국내 악성코드 : MaxFloating

벌새::Analysis

국내 특정 언론사 웹 사이트 접속시 광고 배너를 생성하며, 사용자 몰래 삭제를 지원하지 않는 네이버(Naver) 검색 관련 프로그램을 설치하는 검색 도우미 MaxFloating 프로그램에 대해 살펴보도록 하겠습니다.

 

해당 프로그램의 배포 파일(MD5 : 5b9060dd64dfa306a7b3d05133246674)에 대하여 AhnLab V3 보안 제품에서는 Adware/Win32.KorAd.R81434 (VT : 3/46) 진단명으로 진단되고 있으며, 총 5종의 변종 파일이 존재한 것으로 보입니다.

 

  국내 악성코드 : MassiveDynamic (2013.3.13)

 

참고로 기존에 유사한 기능을 가진 MassiveDynamic 악성 프로그램의 변종이므로 참고하시기 바랍니다.

배포 파일이 실행되면 특정 서버로부터 MaxFloating 설치 파일<MD5 : fbc8c022cdbaa12b02960c5c17f5565c - nProtect : Adware/W32.Agent.698959 (VT : 13/47)>을 다운로드하여 다음과 같은 프로그램을 설치합니다.

 

[생성 폴더 / 파일 등록 정보 : MaxFloating 프로그램]

 

C:\Users\(사용자 계정)\AppData\Local\MaxFloating
C:\Users\(사용자 계정)\AppData\Local\MaxFloating\AdAnalysis.dll :: BHO 등록 파일
C:\Users\(사용자 계정)\AppData\Local\MaxFloating\undllins.exe
C:\Users\(사용자 계정)\AppData\Local\MaxFloating\unins000.dat
C:\Users\(사용자 계정)\AppData\Local\MaxFloating\unins000.exe :: MaxFloating 프로그램 삭제 파일

 

[추가 설치 프로그램 정보 : VirtualSense 프로그램]

 

C:\Users\(사용자 계정)\AppData\Roaming\VirtualSense
C:\Users\(사용자 계정)\AppData\Roaming\VirtualSense\ttn.exe
C:\Users\(사용자 계정)\AppData\Roaming\VirtualSense\VirtualSense.exe :: 시작 프로그램 등록 파일
C:\Users\(사용자 계정)\AppData\Roaming\VirtualSense\virtualsense.ini
C:\Users\(사용자 계정)\AppData\Roaming\VirtualSense\vxs.exe

 

[생성 파일 진단 정보]

 

C:\Users\(사용자 계정)\AppData\Roaming\VirtualSense\ttn.exe
 - MD5 : 0e03ed409d5e60123b96e60b04b8d35f
 - BitDefender : Trojan.GenericKDV.1220692 (VT : 20/47)

 

C:\Users\(사용자 계정)\AppData\Roaming\VirtualSense\VirtualSense.exe
 - MD5 : 4c09d71466b4f865e7c07a9d73cdd7e0
 - AhnLab V3 : Malware/Win32.Generic (VT : 23/46)

 

C:\Users\(사용자 계정)\AppData\Roaming\VirtualSense\vxs.exe
 - 7cf15b94bc34cc8a7a6cc5228a7aac55
 - BitDefender : Trojan.GenericKDV.1220712 (VT : 23/47)

최초 "C:\Users\(사용자 계정)\AppData\Local\MaxFloating" 폴더에 MaxFloating 프로그램을 설치하는 과정에서 사용자 몰래 삭제 기능을 제공하는 VirtualSense 프로그램을 "C:\Users\(사용자 계정)\AppData\Roaming\VirtualSense" 폴더에 설치합니다.

 

1. MaxFloating 프로그램

[추가 기능 관리 : 도구 모음 및 확장 프로그램]

 

이름 : MaxFloating

게시자 : Max Floating

유형 : 브라우저 도우미 개체

CLSID : {E87FDCD6-0F9F-47C1-9C67-B6B17B69E93B}

파일 : C:\Users\(사용자 계정)\AppData\Local\MaxFloating\AdAnalysis.dll

 

MaxFloating 프로그램 Internet Explorer 웹 브라우저 실행시 AdAnalysis.dll 파일을 브라우저 도우미 개체(BHO)로 등록하여 프로그램이 지정한 언론사 사이트에서 광고 행위를 하도록 제작되어 있습니다.

테스트에서는 경향신문 웹 사이트를 대상으로 진행하였으며, 홈 페이지에 접속할 경우 MaxFloating 광고 서버에서 광고 구성값 정보를 받아오며 접속 정보를 체크하는 것을 확인할 수 있습니다.

광고 구성값을 확인해보면 광고 배너를 통해 연결되는 웹 사이트, 광고 배너 이미지 및 닫기(X) 버튼 이미지를 확인할 수 있습니다.

이를 근거로 경향신문 홈 페이지에서 MaxFloating 프로그램이 생성하는 광고 배너를 확인해보면 화면 중간 영역에 노란색 플로팅(Floating) 광고를 생성하는 것을 확인할 수 있습니다.

 

일반적으로 언론사 웹 사이트는 다양한 광고로 인하여 사용자들은 모든 광고가 언론사에서 제공하는 광고로 판단하기 때문에 사용자 PC에 설치된 광고로 인해 생성되었다는 것을 인지하기 매우 어려운 점을 노려서 언론사 사이트를 타켓으로 한 광고 프로그램을 운영하는 것으로 보입니다.

해당 프로그램의 삭제를 위해서는 Internet Explorer 웹 브라우저를 종료한 상태에서 제어판에 등록된 "MaxFloating" 삭제 항목을 이용하여 삭제할 수 있습니다.

프로그램 삭제 후에도 브라우저 도우미 개체(BHO)에 등록된 "MaxFloating" 항목이 제거되지 않는 문제가 있으므로, 레지스트리 편집기(regedit)를 실행하여 "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Explorer\Browser Helper Objects\{E87FDCD6-0F9F-47C1-9C67-B6B17B69E93B}"
값을 찾아 수동으로 삭제하시기 바랍니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\TechStory
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AdAnalysis.AdMain
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AdAnalysis.AdMain.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AdAnalysis.AnalysisMain
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AdAnalysis.AnalysisMain.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E87FDCD6-0F9F-47C1-9C67-B6B17B69E93B}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{83F298A8-890A-4886-BE65-8C4180D44D27}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{379DF0CB-7C86-4BA8-BA80-5A9B6962F6E3}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{E87FDCD6-0F9F-47C1-9C67-B6B17B69E93B}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
MaxFloating_is1

 

2. VirtualSense 프로그램

 

MaxFloating 프로그램 설치 과정에서 사용자 몰래 설치되는 VirtualSense 프로그램은 "C:\Users\(사용자 계정)\AppData\Roaming\VirtualSense" 폴더에 파일을 생성합니다.

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - VirtualSense = C:\Users\(사용자 계정)\AppData\Roaming\VirtualSense\VirtualSense.exe

설치된 프로그램은 Windows 시작시마다 VirtualSense.exe 파일을 시작 프로그램으로 등록하여 자동 실행되어 ttn.exe, vxs.exe 2개의 파일을 로딩하도록 합니다.

이를 통해 MaxFloating 광고 서버에서 등록된 VirtualSense 프로그램의 파일 버전 정보를 체크하며 다음과 같은 정보(info.php)를 체크합니다.

받아오는 정보에서는 네이버(Naver) 검색 서비스에 특정 검색 키워드 값을 전송하여 백그라운드 방식으로 자동 검색이 이루어지도록 구성되어 있으며, 이를 통해 특정 검색 키워드에 대한 검색 노출 강화 등의 목적이 있는 것으로 추정됩니다.

 

특히 부팅시마다 vxs.exe 파일을 통해 특정 검색 키워드를 이용한 검색 활동 이후에는 자동 종료되어 사용자는 쉽게 해당 동작을 확인하기 어렵습니다.

또한 Windows 7 운영 체제 환경에서는 시스템 시작시 VirtualSense.exe 파일을 통해 자동 실행되는 ttn.exe, vxs.exe 파일이 "RealTime St", "Linkers" 오류창을 생성하여 정상적으로 실행이 이루어지지 않는 문제가 있으며, Windows XP 운영 체제에서는 정상적인 프로그램 동작이 발생하고 있습니다.

 

VirtualSense 프로그램은 삭제 기능을 제공하지 않고 있으므로 다음과 같은 절차에 따라 삭제를 진행하시기 바랍니다.

 

(1) Windows 작업 관리자를 실행하여 ttn.exe, vxs.exe 프로세스가 존재할 경우 수동으로 종료하시기 바랍니다.(※ 정상적인 프로그램 동작에서는 해당 프로세스는 시스템 시작시 동작한 후 자동 종료 처리됩니다.)

(2) "C:\Users\(사용자 계정)\AppData\Roaming\VirtualSense" 폴더를 찾아 수동으로 삭제하시기 바랍니다.

 

(3) 레지스트리 편집기(regedit)를 실행하여 다음의 값을 찾아 수동으로 삭제하시기 바랍니다.

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - VirtualSense = C:\Users\(사용자 계정)\AppData\Roaming\VirtualSense\VirtualSense.exe

 

위와 같이 MaxFloating 프로그램은 광고가 많이 노출되는 언론사 웹 사이트에서만 광고를 노출하며, 사용자 몰래 추가적으로 설치한 VirtualSense 프로그램을 통해 네이버(Naver) 검색 조작을 시스템 시작시 1회 수행하는 방식으로 사용자 눈을 피하고 있으므로 주의하시기 바랍니다.