본문 바로가기

벌새::Analysis

인터넷 쇼핑몰 바로가기 아이콘(shopbacon.exe)을 이용한 정보 유출 악성코드 유포 주의 (2013.11.8)

최근 즐겨찾기 및 바탕 화면에 11번가, G마켓, 옥션 바로가기 아이콘을 등록하면서 사용자 몰래 도박성 온라인 게임 정보를 수집할 목적으로 제작된 악성코드를 함께 설치하는 사례가 확인되고 있습니다.

 

  11번가 바로가기 아이콘 프로그램에 추가된 정보 유출 악성코드 주의 (2013.6.24)

 

  ehantk 바로가기 아이콘을 이용한 악성코드 유포 주의 (2013.6.29)

 

위와 같이 인터넷 쇼핑몰 바로가기 아이콘 설치시 악성코드를 추가하는 방식은 기존에도 발견된 적이 있으므로 참고하시기 바랍니다.

대표적인 유포 방식으로는 블로그 또는 파일 자료실 첨부 파일<MD5 : 9a5f6d0a53f1c6a742b0745db12bac82 - ESET : probably a variant of Win32/Adware.Kraddare.EZ (VT : 14/47)>을 다운로드하여 실행시 추가적으로 등록된 제휴 프로그램 중 "아이콘바탕" 프로그램을 통해 설치가 이루어지고 있는 것으로 확인되고 있습니다.

해당 제휴 프로그램의 설치 파일<MD5 : acc74f339a6703c026e787f392d431b5 - Hauri ViRobot : Adware.Agent.650303 (VT : 17/47)>이 특정 서버로부터 다운로드되어 "C:\Users\(사용자 계정)\AppData\Local\Temp\nshopbacon.exe" 파일로 생성된 후 다음과 같은 삭제를 지원하지 않는 프로그램을 설치합니다.

 

[생성 파일 등록 정보]

 

C:\Users\(사용자 계정)\AppData\Local\Temp\nshopbacon.exe
C:\Users\(사용자 계정)\AppData\Roaming\nplog.log
C:\Users\(사용자 계정)\AppData\Roaming\shopbacon.exe
C:\Users\(사용자 계정)\Desktop\11번가.url
C:\Users\(사용자 계정)\Desktop\옥션.url
C:\Users\(사용자 계정)\Desktop\G마켓.url
C:\Users\(사용자 계정)\Favorites\11번가.url
C:\Users\(사용자 계정)\Favorites\옥션.url
C:\Users\(사용자 계정)\Favorites\G마켓.url
C:\Windows\11st.ico
C:\Windows\aution.ico
C:\Windows\gmarket.ico

 

[생성 파일 진단 정보]

 

C:\Users\(사용자 계정)\AppData\Local\Temp\nshopbacon.exe
 - MD5 : acc74f339a6703c026e787f392d431b5
 - Hauri ViRobot : Adware.Agent.650303 (VT : 17/47)

 

C:\Users\(사용자 계정)\AppData\Roaming\nplog.log
 - MD5 : 52c42a247682524667a35e8060702bad
 - avast! : Win32:Agent-ASFY [Trj] (VT : 1/46)

 

C:\Users\(사용자 계정)\AppData\Roaming\shopbacon.exe
 - MD5 : dfa8e12c921c01dee0a191a01040f6d4
 - ESET : a variant of Win32/Adware.Kraddare.EO (VT : 14/47)

프로그램이 설치된 환경에서는 바탕 화면, 즐겨찾기 영역에 11번가, G마켓, 옥션 바로가기 아이콘이 생성됩니다.

해당 바로가기 아이콘을 이용하여 인터넷 쇼핑몰에 접속하는 과정에서 "click.interich.com" 제휴 코드가 추가되는 형태로 연결이 이루어지는 것을 확인할 수 있습니다.

그런데 프로그램 설치로 인해 생성된 파일 중에 "C:\Users\(사용자 계정)\AppData\Roaming\nplog.log" 파일을 확인해보면, 로그(Log) 파일 확장자를 가지고 있지만 비정상적인 파일 크기임을 알 수 있습니다.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - nplog3 = rundll32 C:\Users\(사용자 계정)\AppData\Roaming\nplog.log,rdl

파일 헤더를 확인해보면 로그(Log) 포맷이 아닌 PE 포맷을 가진 실행 파일로 확인되며, 시작 프로그램 레지스트리 값에서도 "nplog3" 등록값을 통해 시스템 시작시 자동 실행되도록 되어있습니다.

파일을 오픈해보면 국내 IP 서버(211.115.90.**)로부터 정보를 체크하는 부분을 발견할 수 있습니다.

 

그럼 인터넷 쇼핑몰 바로가기 아이콘을 통해 사용자 몰래 추가된 "C:\Users\(사용자 계정)\AppData\Roaming\nplog.log" 악성 파일이 어떤 목적을 수행하는지 확인해 보도록 하겠습니다.

먼저 Windows 시작시 시작 프로그램으로 등록된 "rundll32 C:\Users\(사용자 계정)\AppData\Roaming\nplog.log,rdl" 파일은 "C:\Windows\System32\rundll32.exe" 시스템 파일을 불러와 자신을 실행하여 메모리에 상주합니다.

 

이를 통해 국내 "211.115.90.**" IP 서버와 20분 주기로 통신을 시도하는 동작을 확인할 수 있습니다.

연결된 IP 서버를 확인해보면 한게임(로우바둑이, 7포커, 하이로우2, 라스베가스 포커, 맞포커, 파티훌라), 피망(로우바둑이), 넷마블(세븐포커, 훌라, 맞포커)와 같은 도박성 온라인 게임을 체크합니다.

 

즉, 감염된 시스템 환경에서 사용자가 지정된 온라인 게임을 오픈하고 있을 경우 추가적으로 다음과 같은 악성 프로그램을 다운로드 및 실행할 수 있습니다.

  • h**p://211.115.90.**/svchost.exe (MD5 : 9070ba0fe2b10cc82af7091f5e6cb53d) - ESET : a variant of Win32/Packed.Themida (VT : 6/47)

이를 통해 다운로드된 악성 프로그램은 "C:\Windows\Temp/winlog.exe" 파일을 생성하여 추가적인 악의적 행위(게임 화면 훔쳐보기 등의 정보 유출 행위)를 통해 사이버 범죄를 수행할 수 있습니다.

 

그러므로 위와 같은 제휴 프로그램을 통해 설치되는 광고 프로그램 중에는 또 다른 악성 프로그램을 추가하여 정보 유출 등의 범죄로 연결될 수 있으므로, 광고 프로그램 자체가 PC에 설치되지 않도록 블로그에 등록된 파일은 절대로 다운로드하지 않도록 하시기 바랍니다.

  • 박숑숍 2013.11.13 19:10 댓글주소 수정/삭제 댓글쓰기

    딱저네요 위와 똑같은 증상입니다. 어떻게 하면 제거할 수 있는지 좀 알려주세요
    "C:\Users\(사용자 계정)\AppData\Local\Temp\nshopbacon.exe"
    C:\Users\(사용자 계정)\AppData\Roaming\nplog.log"
    는 제컴에는 없어요.

    • 시작 프로그램 레지스트리 값에 보시면 nplog3 = rundll32 C:\Users\(사용자 계정)\AppData\Roaming\nplog.log,rdl 와 같은 유사한 값이 존재할 것으로 보입니다.

      해당 값을 찾아서 파일의 위치를 찾으시기 바랍니다.

  • 죽겠습니다 2013.11.29 23:49 댓글주소 수정/삭제 댓글쓰기

    C:\Windows\system32\config\systemprofile\AppData\Roaming\nplog.log 라고 뜨는데.. 이런 경우에는 어떻게 해야 하는지 아시나요..?

    • 아마 감염시 폴더 위치가 그쪽으로 들어가서 생성된 것 같습니다.

      그러므로 nplog.log 파일을 삭제하시고 레지스트리의 시작 프로그램(Run)에 등록된 nplog3 값과 유사한 값을 찾아 삭제하시기 바랍니다.

      되도록 잘 모르겠으면 보안 제품을 통해 정밀 검사를 하여 치료하시길 바랍니다.

  • 오맙소사 2013.12.02 02:10 댓글주소 수정/삭제 댓글쓰기

    역시... 의심은 했지만 요런 곳에...
    저는 컴을 잘 다루지 못해 프로그램 추가/삭제랑 해당 파일 경로 따라가서 찾는 것 밖에 못 하는데...
    그렇게 해도 되나요?
    안 연구소의 백신은 계속 오류나고.. 다음 클리너로는 안 잡히는 듯...
    일단 지워는 보는데... 그걸로는 부족하지 않나 싶어서요.

    • 제어판에 등록되어 삭제를 지원하는 프로그램은 그나마 양반입니다.

      진짜 악성 프로그램은 사용자에게 삭제를 할 수 있는 방법이나 설치되었다는 흔적을 남기지 않습니다.

      보통 AhnLab V3와 같은 백신이 비정상적인 동작이 발생한다면 감염 가능성이 매우 높습니다.

  • 오맙소사 2013.12.02 02:13 댓글주소 수정/삭제 댓글쓰기

    지금 저 위의 경로 가서 지우는데 나머지 바로가기나 기타 프로그램은 지워지는데 nplog는 권한이 필요하다며 지워지지 않네요.
    텍스트 파일이고 344kb라고 하고요.
    이 파일... 어쩌죠???

  • 행운이란 2014.01.20 14:32 댓글주소 수정/삭제 댓글쓰기

    사용자계정을 모르는데 어떻게 하나요?

  • 행운이란 2014.01.21 20:32 댓글주소 수정/삭제 댓글쓰기

    탐색기를 통해 c드라이브 들어가라는데 그게 뭔소리임?
    그냥 c 드라이브 가면 안됨? 그냥 c드라이브 들어가면 사용자란 계정이 없어요

    • 이 글은 Windows 7 환경을 기준으로 작성하였으며, Windows XP 환경에서는 폴더가 완전히 다른 구조입니다.

      현재 Windows XP 환경은 더 이상 분석하지 않으며, XP의 사용자 폴더는 C:\Documents and Settings\(사용자 계정) 폴더를 의미합니다.