울지않는벌새 : Security, Movie & Society

삭제 기능을 제공하지 않는 DesktopIcon 악성 프로그램 주의 (2014.9.4)

벌새::Analysis

제어판의 삭제 목록에 표시하지 않으면서 바탕 화면에 "넷폴더" 웹하드 바로가기 아이콘을 생성하는 국내에서 제작된 데스크탑(DesktopIcon) 악성 광고 프로그램에 대해 살펴보도록 하겠습니다.

참고로 확인된 배포 파일<SHA-1 : 09e7cb8b5d97646348227336d9b6bb604f54f974 - BitDefender : Gen:Variant.Graftor.151096 (VT : 34/54)>은 2014년 8월 20일경부터 유포가 이루어지고 있습니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Users\(사용자 계정)\AppData\Roaming\data
C:\Users\(사용자 계정)\AppData\Roaming\deskicon
C:\Users\(사용자 계정)\AppData\Roaming\deskicon\deskicon.exe :: 시작 프로그램 등록 파일
C:\Users\(사용자 계정)\AppData\Roaming\deskicon\uninst.exe :: 프로그램 삭제 파일
C:\Users\(사용자 계정)\Desktop\넷폴더.lnk
C:\Windows\System32\sysprep\CRYPTBASE.dll
C:\Windows\System32\sysprep\Panther\diagerr.xml
C:\Windows\System32\sysprep\Panther\diagwrn.xml
C:\Windows\System32\sysprep\Panther\setupact.log
C:\Windows\System32\sysprep\Panther\setuperr.log

 

[생성 파일 진단 정보]

 

C:\Users\(사용자 계정)\AppData\Roaming\deskicon\deskicon.exe
 - SHA-1 : 206f25db4ad581f910e7fc96bd842b21f92a86e2
 - BitDefender : Trojan.GenericKD.1838566 (VT : 26/52)

 

C:\Windows\System32\sysprep\CRYPTBASE.dll
 - SHA-1 : ece1ea49b8084a83ab47a6a54855e8cac914ebb6
 - Symantec : Backdoor.Trojan (VT : 17/54)

데스크탑아이콘 디지털 서명이 포함된 해당 프로그램은 "C:\Users\(사용자 계정)\AppData\Roaming\deskicon" 폴더에 주요 파일을 생성하며, Windows 시작시 "C:\Users\(사용자 계정)\AppData\Roaming\deskicon\deskicon.exe" 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.

 

프로그램 설치를 통해 바탕 화면에 생성된 넷폴더 웹하드 바로가기 아이콘은 아이콘 이미지가 존재하지 않으며, 클릭시 ["C:\Program Files\Internet Explorer\iexplore.exe" http://www.netfolder.co.kr] 명령어를 통해 웹하드 사이트로 연결되도록 구성되어 있습니다.

 

하지만 일반적인 바로가기 아이콘 생성 광고 프로그램과 비교하여 파트너 아이디 정보가 포함되어 있지 않다는 점은 단순히 웹하드 홍보 목적으로 제작된 프로그램이 아닐 수 있다는 점이며 어떤 문제가 발생할 수 있는지 살펴보도록 하겠습니다.

Windows 시작시 자동 실행된 deskicon.exe 파일은 미국(USA)에 위치한 "utilpowerman.com" 웹 서버에 사용자 Mac Address, 배포 파일 ID, 운영 체제 버전, 컴퓨터 이름을 전송합니다.

 

이를 통해 "C:\Users\(사용자 계정)\AppData\Roaming\data\downlist.log" 파일을 임시 생성하며, 테스트 당시에는 추가적인 다운로드 목록은 존재하지 않는 것으로 파악되고 있습니다.

특히 시스템 시작시 추가적인 프로그램 설치를 목적으로 유효하지 않은 데스크탑아이콘 디지털 서명이 포함된 "C:\Windows\System32\sysprep\CRYPTBASE.dll" 파일을 추가하여, 시스템 준비 도구(C:\Windows\System32\sysprep\sysprep.exe) 파일을 통해 추가적인 프로그램 배포를 수행할 수 있도록 제작된 부분을 발견할 수 있습니다.

만약 웹 서버에 추가적인 프로그램이 등록되어 있는 경우 downloader.exe 파일 생성(추정)을 통해 서버로부터 파일 다운로드를 수행하여 시스템 준비 도구(sysprep.exe)의 /quiet 스위치 명령어를 수행할 경우 화면상에는 표시되지 않는 방식으로 자동 설치가 이루어질 가능성이 매우 높습니다.

 

해당 프로그램은 제어판의 삭제 목록에 표시되지 않도록 설치되어 사용자는 설치 여부를 인지하기 매우 어려우므로, 다음과 같은 절차에 따라 프로그램 삭제를 진행하시기 바랍니다.

 

(a) 다음의 폴더(파일)를 찾아 직접 삭제하시기 바랍니다.

  • C:\Users\(사용자 계정)\AppData\Roaming\data
  • C:\Users\(사용자 계정)\AppData\Roaming\deskicon
  • C:\Users\(사용자 계정)\Desktop\넷폴더.lnk
  • C:\Windows\System32\sysprep\CRYPTBASE.dll
  • C:\Windows\System32\sysprep\Panther\diagerr.xml
  • C:\Windows\System32\sysprep\Panther\diagwrn.xml
  • C:\Windows\System32\sysprep\Panther\setupact.log
  • C:\Windows\System32\sysprep\Panther\setuperr.log

(b) 레지스트리 편집기(regedit)를 실행하여 다음의 키값을 찾아 삭제하시기 바랍니다.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - deskicon = C:\Users\(사용자 계정)\AppData\Roaming\deskicon\deskicon.exe

데스크탑 디지털 서명이 포함된 해당 광고 프로그램은 단순히 웹하드 바로가기 아이콘 생성을 통한 홍보 목적보다는 해외에 위치한 서버로부터 추가적인 프로그램 설치를 통해 금전적 수익을 얻기 위한 목적이 큰 것으로 판단되므로 설치 여부를 체크해 보시기 바랍니다.