바이러스 제로 시즌 2 보안 카페에 의심스러운 파일로 추정되는 문의글이 올라와서 관련된 정보를 살펴보았습니다.
어떤 경로를 통해 설치되었는지 알 수 없지만 루트(Root) 폴더에 vdc.exe 파일명<SHA-1 : 79645cd38f7a53b74343474602b75c978b7a8e4e - 알약(ALYac) : Trojan.GenericKD.2519704 (VT : 22/55)>으로 단독으로 생성되어 있습니다.
안랩(AhnLab) 파일 분석 보고서를 통해 이력을 살펴보면 2014년 12월에 최초 보고되었으며 AhnLab V3 보안 제품에서는 안전 파일로 분류되어 있습니다.
하지만 행위 정보에서는 다량의 패킷을 전송하며 의심스러운 사이트 연결 및 파일 다운로드 행위가 존재할 수 있는 것으로 추정됩니다.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- vdc = c:\vdc.exe
해당 파일이 설치된 환경에서는 Windows 시작시 vdc.exe 파일을 시작 프로그램(vdc)으로 등록하여 자동 실행되어 메모리에 상주하도록 구성되어 있습니다.
자동 실행된 vdc.exe 파일은 미국(USA)에 위치한 Nu11 호스팅 서버에서 특정 URL 주소값과 구성 정보를 받아오는 것을 확인할 수 있습니다.
우선 구글(Google) 검색 서버와의 통신을 통해 인터넷 연결을 체크한 후 2개의 유튜브(YouTube) 동영상으로 연결을 시도합니다.
- Supermoto, Crashes and Street Meet... [Superretards 2015]
- Creepy Supermoto Video - Eastern Europe Riding @ Night
연결된 유튜브(YouTube) 동영상에서는 배경 음악과 함께 러시아(Russia)인으로 추정되는 오토바이 라이딩 단체의 영상이 자동 재생됩니다.
또한 Xbox 360 Emulator 프로그램 다운로드 페이지로 연결을 시도하며 이 과정에서 다양한 광고 사이트로 추가적인 연결이 이루어질 수 있습니다.
위와 같은 일련의 유튜브(YouTube) 동영상 재생 및 웹 사이트 연결 행위는 화면상으로 표시되지 않고 백그라운드 방식으로 진행되며, 사용자 입장에서는 동영상 소리와 트래픽만 유발하여 인터넷 속도 저하 등의 문제가 발생합니다.
어떤 방식으로 vdc.exe 파일이 설치되었는지 알 수 없지만 해외 광고 프로그램 또는 해외에서 제작된 프로그램 설치시 사용자 몰래 추가된 것으로 추정되므로, 자신도 모르는 해외 동영상 소리가 PC에서 흘러나오는 경우에는 자동 실행되는 파일을 찾아서 제거하시기 바랍니다.
■ vdc.exe 악성 광고 파일 삭제 방법
(a) Windows 작업 관리자를 실행하여 메모리에 상주하는 vdc.exe 프로세스를 찾아 종료하시기 바랍니다.
(b) "C:\vdc.exe" 파일을 찾아 삭제하시기 바랍니다.
(c) 레지스트리 편집기(regedit)를 실행하여 "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\vdc" 레지스트리 값을 찾아 삭제하시기 바랍니다.