울지않는벌새 : Security, Movie & Society

옥션 바로가기 아이콘 생성 프로그램 : Windows Desktop BT Icons Ver 5.1.1.4

벌새::Analysis

바탕 화면과 즐겨찾기에 옥션(Auction) 바로가기 아이콘을 생성하며, 사용자 몰래 백그라운드 방식으로 특정 검색 키워드를 이용한 인터넷 검색을 수행하는 "Windows Desktop BT Icons Ver 5.1.1.4" 프로그램<SHA-1 : f6964744fd76ea512a51fe827e0af03780fac0d5 - BitDefender : Gen:Variant.Graftor.119277 (VT : 9/50)>에 대해 살펴보도록 하겠습니다.

 

  국내 악성코드 : IntoTheMap Plus CP IE Helper (2012.4.18)

 

  국내 악성코드 : brainclan CP (2013.6.13)

 

  국내 악성코드 : KoreaMessenger CP (2013.6.14)

 

  국내 악성코드 : Windows Desktop Batang Icon Ver 3.1.1.2 (2013.10.23)

 

해당 프로그램은 기존부터 CloverPlus로 알려진 변종 프로그램이 발견되고 있었으므로 참고하시기 바랍니다.

  • h**p://m.**icons.com/files/pav3/c_exe.exe (SHA-1 : 277fd92f904b31bcb1850073a007bc5572b09b50) - ESET : a variant of Win32/Adware.CloverPlus.AD (VT : 17/50) :: (= BTIPv32.exe)
  • h**p://m.**icons.com/files/pav3/c_updater.exe (SHA-1 : a625355acf25bbbaf56804c49b0277530bf6c3f3) - BitDefender : Gen:Variant.Symmi.31332 (VT : 16/50) :: (= BTIUPv32.exe)

프로그램 설치시에는 특정 서버로부터 프로그램 구성 파일을 다운로드로 하여 설치가 진행됩니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Users\(사용자 계정)\AppData\Local\Windows BT Icons
C:\Users\(사용자 계정)\AppData\Local\Windows BT Icons\BTIPv32.exe :: 시작 프로그램(BTIPv32) 등록 파일, 메모리 상주 프로세스
C:\Users\(사용자 계정)\AppData\Local\Windows BT Icons\BTIUPv32.exe :: 시작 프로그램(BTIUPv32) 등록 파일
C:\Users\(사용자 계정)\AppData\Local\Windows BT Icons\BTIVuninstall.exe :: 프로그램 삭제 파일
C:\Users\(사용자 계정)\Desktop\옥션.url
C:\Users\(사용자 계정)\Favorites\옥션 - 앞으로의 인터넷 쇼핑, 옥션.url
C:\Windows\auction_con.ico

 

[생성 파일 진단 정보]

 

C:\Users\(사용자 계정)\AppData\Local\Windows BT Icons\BTIPv32.exe
 - SHA-1 : 277fd92f904b31bcb1850073a007bc5572b09b50
 - ESET : a variant of Win32/Adware.CloverPlus.AD (VT : 17/50)

 

C:\Users\(사용자 계정)\AppData\Local\Windows BT Icons\BTIUPv32.exe
 - SHA-1 : a625355acf25bbbaf56804c49b0277530bf6c3f3
 - BitDefender : Gen:Variant.Symmi.31332 (VT : 16/50)

"JP Media Group" 디지털 서명이 포함된 해당 프로그램은 "C:\Users\(사용자 계정)\AppData\Local\Windows BT Icons" 폴더에 파일을 생성하며, Windows 시작시 다음의 2개의 시작 프로그램 등록값을 통해 자동 실행되도록 구성되어 있습니다.

  • BTIPv32 = C:\Users\(사용자 계정)\AppData\Local\Windows BT Icons\BTIPv32.exe
  • BTIUPv32 = C:\Users\(사용자 계정)\AppData\Local\Windows BT Icons\BTIUPv32.exe

1. "BTIUPv32" 시작 프로그램 기능

"BTIUPv32" 시작 프로그램 등록을 통해 자동 실행된 "C:\Users\(사용자 계정)\AppData\Local\Windows BT Icons\BTIUPv32.exe" 파일은 구글(Google) 서버에 쿼리 전송 및 특정 서버에서 업데이트 정보를 체크한 후 종료되도록 구성되어 있습니다.

 

2. "BTIPv32" 시작 프로그램 기능

"BTIPv32" 시작 프로그램 등록을 통해 자동 실행된 "C:\Users\(사용자 계정)\AppData\Local\Windows BT Icons\BTIPv32.exe" 파일은 특정 서버에 접속하여 프로그램 실행 체크 및 구성값을 받아온 후 메모리에 상주하도록 구성되어 있습니다.

이후 5분이 경과하면 백그라운드 방식으로 특정 검색 키워드 값을 기반으로 다양한 광고 검색 서버로 연결이 이루어집니다.

실제 사용자 PC 화면 상에서는 이러한 검색 동작은 표시되지 않지만 백그라운드 방식으로 불필요한 트래픽을 유발할 수 있습니다.

 

3. "Windows Desktop BT Icons Ver 5.1.1.4" 기본 광고 기능

"Windows Desktop BT Icons Ver 5.1.1.4" 프로그램이 설치된 환경에서는 기본적으로 바탕 화면과 즐겨찾기에 옥션(Auction) 바로가기 아이콘이 추가되며, 이를 통해 접속시 "a1.potens.co.kr" 제휴 코드를 경유하여 연결이 이루어집니다.

 

특히 해당 바로가기 아이콘은 프로그램 삭제 이후에도 삭제되지 않고 지속적인 수익 활동을 합니다.

 

4. 프로그램 삭제 방법

프로그램 삭제를 위해서는 Windows 작업 관리자를 실행하여 메모리에 상주하는 BTIPv32.exe 프로세스를 찾아 종료하시기 바랍니다.

그 후 제어판에 등록된 "Windows Desktop BT Icons Ver 5.1.1.4" 삭제 항목을 통해 프로그램을 삭제할 수 있으며, 프로그램 삭제 후에는 추가적으로 다음의 폴더(파일)를 찾아 삭제하시기 바랍니다.

  • C:\Users\(사용자 계정)\AppData\Local\Windows BT Icons
  • C:\Users\(사용자 계정)\AppData\Local\Windows BT Icons\BTIVuninstall.exe
  • C:\Users\(사용자 계정)\Desktop\옥션.url
  • C:\Users\(사용자 계정)\Favorites\옥션 - 앞으로의 인터넷 쇼핑, 옥션.url
  • C:\Windows\auction_con.ico
[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\Microsoft\RBTIV
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - BTIPv32 = C:\Users\(사용자 계정)\AppData\Local\Windows BT Icons\BTIPv32.exe
 - BTIUPv32 = C:\Users\(사용자 계정)\AppData\Local\Windows BT Icons\BTIUPv32.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\BTIV

 

해당 프로그램은 백그라운드 방식으로 불필요한 인터넷 검색을 수행하여 트래픽을 유발하며, 프로그램 삭제 이후에도 옥션(Auction) 바로가기 아이콘을 삭제하지 않는 방식으로 지속적인 수익 활동을 할 수 있으므로 주의하시기 바랍니다.