최근 다양한 제휴 프로그램 배포 경로를 통해 웹 브라우저 종료 프로그램으로 위장한 "Browser Shot" 프로그램을 설치하여 사용자 몰래 수익성 프로그램을 설치하도록 환경을 구축하는 악성 프로그램이 확인되고 있습니다.

확인된 배포 파일<SHA-1 : 8295e8e2a68b4a8f93398c3c7d96af971357993d - 알약(ALYac) : Gen:Variant.Graftor.218982 (VT : 16/55)>은 "Good Ad Comms." 디지털 서명이 포함되어 있으며, 프로그램 설치시 특정 분석 도구를 체크하여 설치 여부를 결정하는 것으로 보입니다.

• h**p://www.****shot.kr/***/browshot.exe (SHA-1 : 9e7222673ff18a624088e3f4140afd80101a54c1) - BitDefender : Trojan.GenericKD.2558005 (VT : 12/55)
• h**p://www.****shot.kr/***/Diskmon.exe (SHA-1 : 35f546a00e4c62f8b8a678a25d959128e4f90ab6) - avast! : Win32:Evo-gen [Susp] (VT : 17/55)
• h**p://www.****shot.kr/***/uninstall.exe (SHA-1 : 18fb1579c02ec21c0dc0626b53ab0a063d4ccbfe) - BitDefender : Gen:Variant.Graftor.217709 (VT : 12/55)

프로그램 설치 과정에서는 특정 서버에서 관련 파일을 다운로드하여 설치되는 구조이며, 배포 파일에 따라 URL/Hash 값이 다를 수 있습니다.

해당 프로그램은 외형적으로는 사용자가 "C:\Program Files\Browshot\browshot.exe" 파일을 찾아 직접 실행할 경우에만 "Browser Shot" 프로그램이 실행되어 메모리 최적화를 목적으로 실행 중인 웹 브라우저를 모두 종료하는 황당한 프로그램입니다.

하지만 웹 브라우저 종료 기능은 보여주는 기능일 뿐 실질적인 목적은 다음과 같은 기능을 수행합니다.

"DiskmonitorService (표시 이름 : DiskmonitorService)" 서비스 항목을 등록하여 시스템 시작시 "C:\Windows\Diskmon.exe" 파일을 자동 실행하도록 구성되어 있습니다.

자동 실행된 Diskmon.exe 서비스 파일은 1분이 경과할 때 특정 서버에서 browsup.exe 파일<SHA-1 : 8a7f286385d37493715d2a5247b210c99102d15f - MSE : TrojanDownloader:Win32/Parkchicers.D (VT : 16/55)>을 다운로드하며, AhnLab V3 보안 제품에서는 해당 연결 URL 값에 대하여 악성 사이트로 차단이 이루어지고 있습니다.

• 국내 악성코드 : TrojanDownloader:Win32/Parkchicers (Microsoft) (2010.4.25)

• 국내 악성코드 : Win-Adware/Cn8cls.236544 (AhnLab V3) (2010.7.25)

• 국내 악성코드 : WIDCOMM Bluetooth Software (2010.7.26)

• 국내 악성코드 : Windows Family Safety - WFP.exe (2011.2.12)

• 국내 악성코드 : TrojanDownloader:Win32/Parkchicers 시리즈 - GP Core COM object (2011.2.21)

• 국내 악성코드 : SmartFind - SmartAppUpdate (2011.6.4)

그런데 연결되는 방식과 관련 정보를 조사해보면 예전에 국내 광고 프로그램을 사용자 몰래 설치하는 Parkchicers 계열의 악성코드와 매우 유사성이 있는 것을 확인할 수 있었습니다.

참고로 추가 생성된 "C:\Windows\BrowShot\browsup.exe" 파일은 시스템 시작시마다 "C:\Windows\Diskmon.exe" 서비스 파일이 체크하여 삭제된 경우 재다운로드를 통해 생성됩니다.

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - browsup = c:\windows\browshot\browsup.exe

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
 - browsup = C:\Windows\BrowShot\browsup.exe

또한 "C:\Windows\BrowShot\browsup.exe" 파일은 자신을 2종의 시작 프로그램 등록값(browsup)으로 등록하여 Windows 시작시 자동 실행되며, 사용자 계정 컨트롤(UAC) 알림 기능을 사용하는 Windows 환경에서는 부팅시 실행 여부를 사용자에게 물어보므로 실행을 허용하지 마시기 바랍니다.

GET /***/browsup.sys HTTP/1.1
User-Agent: WMUpdate
Host: www.****shot.kr
Connection: Keep-Alive
Cache-Control: no-cache

자동 실행된 "C:\Windows\BrowShot\browsup.exe" 파일은 특정 서버에서 암호화된 "C:\Windows\BrowShot\browsup.sys" 구성값 정보를 받아와 체크한 후 browsup.sys 파일은 삭제 처리되며, 테스트 당시에는 추가적인 프로그램 다운로드 행위는 발견되지 않고 있습니다.

하지만 특정 프로그램 다운로드 정보가 존재할 경우 예전과 마찬가지로 사용자 몰래 다양한 수익성 프로그램을 설치할 것으로 보이며 현재는 배포 환경만 구축하는 것으로 판단됩니다.

■ BrowserShot 광고 배포 프로그램 삭제 방법

해당 프로그램은 제어판에 BrowserShot 삭제 항목을 등록하여 정상적으로 프로그램을 삭제할 수 있는 것처럼 구성되어 있습니다.

• C:\Program Files\Browshot
• C:\Program Files\Browshot\browshot.exe

하지만 프로그램 삭제가 진행될 경우 핵심 기능을 하는 파일을 제외한 "C:\Program Files\Browshot" 폴더만 삭제할 뿐 지속적으로 동작하고 있으므로, 제어판을 통한 삭제 후 다음과 같은 절차에 따라 삭제를 진행하시기 바랍니다.

(a) "보조프로그램 → 명령 프롬프트" 메뉴를 "관리자 권한으로 실행"하여 생성된 명령 프롬프트 창에 다음의 명령어를 순서대로 입력 및 실행하여 메모리에 상주하는 Diskmon.exe 프로세스 및 서비스 레지스트리 값을 자동 종료 및 삭제할 수 있습니다.

• sc stop "DiskmonitorService"
• sc delete "DiskmonitorService"

(b) 다음의 폴더(파일)를 찾아 삭제하시기 바랍니다.

• C:\Program Files\uninstall.exe
• C:\Windows\BrowShot
• C:\Windows\BrowShot\browsup.exe
• C:\Windows\Diskmon.exe

(c) 레지스트리 편집기(regedit)를 실행하여 다음의 레지스트리 값을 찾아 삭제하시기 바랍니다.

• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\browsup
• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\
  browsup

그러므로 제어판에 "BrowserShot" 삭제 항목이 추가된 사용자는 반드시 추가적으로 설치된 파일을 제거하여 차후 사용자 몰래 다양한 프로그램이 설치되지 않도록 사전에 예방하시기 바랍니다.