울지않는벌새 : Security, Movie & Society

검색 도우미 : ORUM 언인스톨

벌새::Analysis

특정 웹 사이트 접속시 웹 브라우저 화면 우측 영역에 "TOP AD" 광고 배너를 노출하는 국내에서 제작된 "ORUM 언인스톨" 프로그램<SHA-1 : d3cd64ff5f1a7bef5f404fe1295739e224497dd0 - Hauri ViRobot : Adware.Agent.68200 (VT : 2/53)>에 대해 살펴보도록 하겠습니다.(※ 기존에 "OrumMedia 언인스톨" 이름으로 배포되었을 가능성이 매우 높습니다.)

해당 프로그램의 배포 방식은 정확하게 확인되지는 않고 있지만, 사용자가 특정 웹 사이트 접속시 ActiveX 설치 방식으로 설치를 유도하고 있을 것으로 추정되며, 위와 유사한 광고 프로그램으로 예전의 MemoThis가 존재하였으므로 참고하시기 바랍니다.

[ActiveX 배포 정보]

 

□ 파일 : C:\Windows\Downloaded Program Files\ORUMControl.ocx

□ 레지스트리 : HKEY_LOCAL_MACHINE\Software\Microsoft\Code Store Database\Distribution Units\{3BF46485-3717-4333-8630-DD27F7D080C7}

[생성 폴더 / 파일 등록 정보]

 

C:\Users\(사용자 계정)\AppData\Roaming\OrumMedia
C:\Users\(사용자 계정)\AppData\Roaming\OrumMedia\Mtodt.tmd
C:\Users\(사용자 계정)\AppData\Roaming\OrumMedia\mu.dll
C:\Users\(사용자 계정)\AppData\Roaming\OrumMedia\orum.dat
C:\Users\(사용자 계정)\AppData\Roaming\OrumMedia\ORUM.exe :: 메모리 상주 프로세스
C:\Users\(사용자 계정)\AppData\Roaming\OrumMedia\ORUM.ini
C:\Users\(사용자 계정)\AppData\Roaming\OrumMedia\OrumCore.exe
C:\Users\(사용자 계정)\AppData\Roaming\OrumMedia\OrumCore.log
C:\Users\(사용자 계정)\AppData\Roaming\OrumMedia\OrumCore.txt
C:\Users\(사용자 계정)\AppData\Roaming\OrumMedia\OrumMon.exe :: 서비스(OrumMonService) 등록 파일, 메모리 상주 프로세스
C:\Users\(사용자 계정)\AppData\Roaming\OrumMedia\OrumUninstall.exe :: 프로그램 삭제 파일
C:\Users\(사용자 계정)\AppData\Roaming\OrumMedia\OrumUpdate.exe
C:\Users\(사용자 계정)\AppData\Roaming\OrumMedia\version.txt

"S. W. NETWORKS" 디지털 서명이 포함된 해당 프로그램은 "C:\Users\(사용자 계정)\AppData\Roaming\OrumMedia" 폴더 내에 파일을 생성합니다.

"OrumMonService (표시 이름 : OrumMonService)" 서비스 항목을 등록하여 시스템 시작시 "C:\Users\(사용자 계정)\AppData\Roaming\OrumMedia\OrumMon.exe" 파일(SHA-1 : 0fdc48e17ea6ba840b666442d5fa76b0b3a927dd)을 자동 실행하도록 구성되어 있습니다.

 

자동 실행된 서비스 파일(OrumMon.exe)은 "C:\Users\(사용자 계정)\AppData\Roaming\OrumMedia\OrumUpdate.exe" 파일(SHA-1 : 4c4598238a5c553eff52e168f454d96675fbfa98)을 로딩하여 프로그램 업데이트 체크를 수행한 후, 광고 기능을 수행하는 "C:\Users\(사용자 계정)\AppData\Roaming\OrumMedia\ORUM.exe" 파일(SHA-1 : 745b81c1ca28fae9a75c55335d4f01f2ec379d85)을 실행하여 메모리에 상주시킵니다.

실행된 프로그램(ORUM.exe)은 10분 주기로 특정 서버에서 업데이트 정보를 주기적으로 체크를 수행합니다.

프로그램이 설치된 환경에서는 포털 사이트 및 다양한 웹 사이트 접속시 웹 브라우저 우측 영역에 "TOP AD" 광고 배너를 노출하는 동작을 확인할 수 있습니다.

 

■ 광고 배너로 인한 인터넷뱅킹 악성코드 유포 정보

 

ORUM 또는 OrumMedia 광고 프로그램을 살펴보면 중 광고 서버 해킹을 통해 광고 배너가 노출될 경우 인터넷뱅킹 악성코드가 유포되는 정황을 확인하였습니다.

예를 들어 사용자가 네이버 사전 웹 사이트에 접속할 경우 해당 광고 프로그램을 통해 광고 배너가 노출되는 것을 확인할 수 있습니다.

그런데 광고 배너를 노출시키는 광고 서버(ad.robin****.co.kr)를 불러오는 과정에서 악성 스크립트가 추가되어 있는 부분을 발견할 수 있으며, 이를 통해 보안 패치가 제대로 이루어지지 않은 PC 환경에서는 취약점(Exploit) 방식으로 자동 감염될 수 있습니다.

  • h**p://dcffdffdfd**.com/index.html (SHA-1 : a35deda9d5b8cad5413c69c281e236698ba01738) - MSE : Exploit:JS/DonxRef.A (VT : 7/53)
  • h**p://dcffdffdfd**.com/zz.html (SHA-1 : c2c7928fa9a7a59919510eb218fd743f45380d52) - MSE : Exploit:JS/Mult.AE (VT : 12/53)
  • h**p://dcffdffdfd**.com/nbwm.m3u (SHA-1 : 94c9a1fba12c6bf8228d7476554db3c720066463) - BitDefender : Java.Exploit.CVE-2012-4681.D (VT : 24/52)
  • h**p://bvdeeds**.com/1.exe (SHA-1 : 1b58af444de6a1da2681b40281961a639ed81573) - avast! : Win32:Malware-gen (VT : 18/53)

주요 취약점(Exploit) 정보를 살펴보면 Internet Explorer 웹 브라우저 보안 취약점(CVE-2013-3897), Oracle Java 보안 취약점(CVE-2012-4681) 등이 이용되고 있는 것으로 보입니다.

 

최종 다운로드된 악성 파일(1.exe)은 "C:\Windows\syotom.exe" 파일로 자가 복제되어 생성되며, 이를 통해 Windows 방화벽 무력화 및 "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
syotom"
시작 레지스트리 값을 등록하여 시스템 시작시 자동 실행되도록 구성되어 있습니다.

감염된 시스템에서는 특정 서버에 등록된 IP 정보를 불러와 사용자가 금융권 웹 사이트 접속시 가짜 웹 사이트로 접속을 유도하여 금융 정보 및 공인인증서 파일을 외부로 유출할 수 있을 것으로 판단됩니다.

위와 같이 광고 프로그램이 설치됨으로 인해 사용자가 네이버(Naver) 포털 사이트 접속만으로도 악성코드 감염에 노출될 수 있다는 점을 명심하시기 바라며, 위와 같은 취약점(Exploit) 유포 방식을 예방하기 위해서는 ViRobot APT Shield 2.1 또는 알약 익스플로잇 쉴드(ALYac Exploit Shield) 차단 솔루션으로 방어가 가능합니다.

 

다시 ORUM 또는 OrumMedia 광고 프로그램 내용으로 돌아와서 광고 기능 중지 및 프로그램 삭제 방법에 대해 살펴보도록 하겠습니다.

해당 광고 프로그램은 메모리에 ORUM.exe, OrumMon.exe 2개의 프로세스가 상주하여 광고 기능 및 프로그램 업데이트를 수행합니다.

그러므로 먼저 "보조 프로그램 → 명령 프롬프트" 메뉴를 "관리자 권한으로 실행"하여 생성된 명령 프롬프트 창에 [sc stop "OrumMonService"] 명령어를 입력 및 실행하여 OrumMon.exe 프로세스를 자동 종료하시기 바랍니다.

그 후 Windows 작업 관리자를 실행하여 ORUM.exe 프로세스를 종료하시기 바라며, 종료시 "프로세스를 종료할 수 없습니다." 메시지가 생성되므로 반드시 "모든 사용자의 프로세스 표시" 버튼을 클릭한 후 종료를 진행하시기 바랍니다.

프로그램 삭제는 제어판에 등록된 "ORUM 언인스톨" 삭제 항목을 이용하여 삭제할 수 있으며, 프로그램 삭제 후에는 추가적으로 다음의 폴더(파일)를 찾아 삭제하시기 바랍니다.

  • C:\Users\(사용자 계정)\AppData\Roaming\OrumMedia
  • C:\Users\(사용자 계정)\AppData\Roaming\OrumMedia\OrumUninstall.exe
[생성 레지스트리 등록 정보]

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\OrumMonService
OrumMedia
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\OrumMonService

 

"ORUM 언인스톨" 또는 "OrumMedia 언인스톨" 광고 프로그램은 웹 사이트 접속시 원치않는 광고 배너를 노출하며, 광고 배너 서버가 외부 해킹으로 인해 금융 정보를 탈취할 수 있는 악성코드 감염의 통로가 될 수 있다는 점에서 설치되지 않도록 각별히 주의하시기 바랍니다.