울지않는벌새 : Security, Movie & Society

삭제를 제공하지 않는 BFreeReal 바로가기 아이콘 생성 프로그램 주의 (2015.1.10)

벌새::Analysis

바탕 화면, 즐겨찾기, 도구 모음 영역에 다양한 인터넷 쇼핑몰 바로가기 아이콘을 생성할 수 있으며, 사용자에 의한 프로그램 삭제를 방해할 목적으로 제어판을 통한 프로그램 삭제 기능을 제공하지 않는 BFreeReal 악성 광고 프로그램에 대해 살펴보도록 하겠습니다.

유포 방식을 확인해보면 광고 프로그램 배포 목적으로 제작된 다수의 블로그에 "itstorydownload.com" 링크가 포함된 URL 링크를 통해 "Tech Joy Co." 디지털 서명이 포함된 파일(SHA-1 : a32f8420f35d9d79c2dc7b0fc9417417a35e88ec) 다운로드를 유도하고 있습니다.

참고로 해당 유포 사례는 기존의 "freedownloade.net" 링크를 통한 광고 프로그램 배포의 변종이므로 참고하시기 바랍니다.

다운로드된 파일을 실행하면 그림과 같은 다운로드 창이 생성되며, 우측 하단의 매우 좁은 영역에는 13종의 다양한 제휴 프로그램이 숨어있는 형태로 자동 설치되도록 등록되어 있습니다.

 

그 중에서 BeFreeCleaner 이름으로 등록된 BFreeReal 광고 프로그램이 포함되어 있으며, 설치 과정에서는 사용자에게 어떠한 화면 정보도 노출하지 않습니다.

설치가 진행되면 특정 광고 배포 서버에 등록된 설치 파일<SHA-1 : f20b7a943c1ebc12d3bc9e0447251e22c3db10c6 - AhnLab V3 365 Clinic : PUP/Win32.Agent (VT : 16/53)>을 다운로드하여 "C:\WINDOWS\setupreal.exe" 파일명으로 생성되어 다음과 같은 프로그램 설치 후 자가 삭제 처리됩니다.

  • h**p://219.***.221.**/pgm/ieexplorrs.exe (= BFreeReal_zhst.exe)
  • h**p://219.***.221.**/pgm/iexploref.exe (= BFreeReal.exe)
  • h**p://219.***.221.**/pgm/iexplorexfd.exe (= BFreeReal_host.exe)
  • h**p://219.***.221.**/pgm/iexplorexii.exe (= BFreeReal_net.exe)
  • h**p://219.***.221.**/pgm/uninstall.exe (= BFreeReal_delete.exe)

참고로 설치시 일본(Japan)에 위치한 특정 IP 서버로부터 관련 파일을 다운로드하여 설치하는 방식입니다.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\
System
 - EnableLUA = 1 :: 변경 전
 - EnableLUA = 0 :: 변경 후

또한 BFreeReal 광고 프로그램 설치 과정에서 사용자 계정 컨트롤(UAC) 알림 기능을 자동으로 끄도록 설정을 변경하여 차후 프로그램 추가 설치시 사용자가 인지하지 못하도록 할 수 있습니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Program Files\BFreeReal
C:\Program Files\BFreeReal\BFreeReal_delete.exe
C:\Program Files\BFreeReal\BFreeReal.exe :: 예약 작업(BFreeReal) 등록 파일
C:\Windows\BFreeReal_net.exe :: 숨김(H) 속성
C:\Windows\BFreeReal_zhst.exe :: 숨김(H) 속성, 예약 작업(BFreeReal_r) 등록 파일
C:\Windows\System32\BFreeReal_host.exe :: 숨김(H) 속성, 서비스(cacaloter) 등록 파일
C:\Windows\System32\logit.txt
C:\Windows\System32\Tasks\BFreeReal
C:\Windows\System32\Tasks\BFreeReal_r

 

[생성 파일 진단 정보]

 

C:\Program Files\BFreeReal\BFreeReal.exe
 - SHA-1 : f0c31e684a3ce8c8b35ee9f3cdd6c2c0f79696de
 - avast! : Win32:Malware-gen (VT : 13/56)

 

C:\Windows\BFreeReal_net.exe
 - SHA-1 : 3e906fb9443f345e02d2ce521cb51bdbe397bf3d
 - AVG : Win32/DH{gQwuICQiJSM} (VT : 12/55)

 

C:\Windows\BFreeReal_zhst.exe
 - SHA-1 : 103962549211256bf8c07959ea0061ba87fe4cab
 - AhnLab V3 365 Clinic : PUP/Win32.Agent (VT : 6/55)

 

C:\Windows\System32\BFreeReal_host.exe
 - SHA-1 : 468b6c39605eed804d766b66b8cf9cf4696bb28b
 - Symantec : Trojan Horse (VT : 5/56)

  • C:\Program Files\BFreeReal
  • C:\Windows
  • C:\Windows\System32

"fun communication" 디지털 서명이 포함된 BFreeReal 광고 프로그램은 3개의 폴더에 각각의 파일을 생성하며, Windows 폴더 및 시스템 폴더 내에 생성된 파일은 사용자가 찾지 못하도록 숨김(H) 속성값을 가집니다.(※ 폴더 옵션에서 "숨김 파일, 폴더 및 드라이브 표시" 항목에 체크하시고 파일을 찾으시기 바랍니다.)

설치된 BFreeReal 광고 프로그램은 기존에 유사한 기능을 가진 "Windows Favorite Collection" 악성 광고 프로그램의 변종이므로 참고하시기 바랍니다.

"cacaloter (표시 이름 : SortWare defense protected)" 서비스 항목을 등록하여 시스템 시작시 "C:\Windows\system32\BFreeReal_host.exe" 파일을 자동 실행하여 네이버(Naver) 웹 서버 연결을 체크한 후 자동 종료 처리됩니다.

  • BFreeReal 작업 스케줄러 : "C:\Program Files\BFreeReal\BFreeReal.exe"
  • BFreeReal_r 작업 스케줄러 : C:\Windows\BFreeReal_zhst.exe

또한 예약 작업 영역에 BFreeReal, BFreeReal_r 2개의 작업 스케줄러 값을 등록하여 시스템 시작시 각각의 파일을 자동 실행하도록 구성되어 있습니다.

 

이를 통해 일본(Japan)에 위치한 특정 IP 서버로부터 암호화된 광고 구성값 및 업데이트 정보를 가져와 바탕 화면, 즐겨찾기, Internet Explorer 웹 브라우저의 도구 모음 영역에 다양한 바로가기 아이콘을 생성할 수 있습니다.(※ 테스트 당시에는 바로가기 아이콘 생성은 확인되지 않고 있지만, "Windows Favorite Collection" 광고 프로그램 정보를 참고하여 바로가기 아이콘 정보를 확인하시기 바랍니다.)

 

BFreeReal 광고 프로그램 삭제 방법

 

BFreeReal 광고 프로그램은 "C:\Program Files\BFreeReal\BFreeReal_delete.exe" 파일을 통해 매우 제한적인 삭제 기능만을 제공하고 있으므로 다음과 같은 절차에 따라 프로그램 삭제를 하시기 바랍니다.

(a) 제어판의 "시스템 및 보안 → 관리 센터 → 사용자 계정 컨트롤 설정 변경" 메뉴를 실행하여 슬라이드 바를 1단계로 올린 후 Windows 재부팅을 진행하시기 바랍니다.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\cacaloter

(b) "보조 프로그램 → 명령 프롬프트" 메뉴를 "관리자 권한으로 실행"하여 생성된 명령 프롬프트 창에 [sc delete "cacaloter"] 명령어를 입력 및 실행하여 서비스 레지스트리 값을 자동 삭제하시기 바랍니다.

 

(c) 다음의 폴더(파일)를 찾아 삭제하시기 바라며, 반드시 폴더 옵션에서 "숨김 파일, 폴더 및 드라이브 표시" 항목에 체크한 후 진행하시기 바랍니다.

  • C:\Program Files\BFreeReal
  • C:\Windows\BFreeReal_net.exe
  • C:\Windows\BFreeReal_zhst.exe
  • C:\Windows\System32\BFreeReal_host.exe
  • C:\Windows\System32\Tasks\BFreeReal
  • C:\Windows\System32\Tasks\BFreeReal_r

참고로 만약 인터넷 쇼핑몰 바로가기 아이콘이 생성되었다면 "Windows Favorite Collection" 광고 프로그램 정보를 참고하여 바로가기 아이콘 관련 유사값을 찾아 삭제하시기 바랍니다.

 

(d) 레지스트리 편집기(regedit)를 실행하여 다음의 레지스트리 값이 존재할 경우 삭제하시기 바랍니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{1721328C-4CAC-4CB7-B788-E13A3914972E}
HKEY_LOCAL_MACHINE\SOFTWARE\BrowserMemoryCleaner

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{1721328C-4CAC-4CB7-B788-E13A3914972E}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{6DA070FC-5649-47AE-BC0F-C768FD8EE9E3}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\BFreeReal
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\BFreeReal_r

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\cacaloter

 

BFreeReal 악성 광고 프로그램은 변종에 따라 다양한 파일명으로 설치가 이루어지고 있는 것으로 보이므로 만약 파일 이름이 다른 경우에는 "Malware Zero Kit(MZK)" 보조 악성코드 제거 스크립트 도구를 이용하여 검사를 해보시기 바랍니다.