최근 다양한 제휴 프로그램 배포 경로를 통해 웹 브라우저 종료 프로그램으로 위장한 "Browser Shot" 프로그램을 설치하여 사용자 몰래 수익성 프로그램을 설치하도록 환경을 구축하는 악성 프로그램이 확인되고 있습니다.
확인된 배포 파일<SHA-1 : 8295e8e2a68b4a8f93398c3c7d96af971357993d - 알약(ALYac) : Gen:Variant.Graftor.218982 (VT : 16/55)>은 "Good Ad Comms." 디지털 서명이 포함되어 있으며, 프로그램 설치시 특정 분석 도구를 체크하여 설치 여부를 결정하는 것으로 보입니다.
- h**p://www.****shot.kr/***/browshot.exe (SHA-1 : 9e7222673ff18a624088e3f4140afd80101a54c1) - BitDefender : Trojan.GenericKD.2558005 (VT : 12/55)
- h**p://www.****shot.kr/***/Diskmon.exe (SHA-1 : 35f546a00e4c62f8b8a678a25d959128e4f90ab6) - avast! : Win32:Evo-gen [Susp] (VT : 17/55)
- h**p://www.****shot.kr/***/uninstall.exe (SHA-1 : 18fb1579c02ec21c0dc0626b53ab0a063d4ccbfe) - BitDefender : Gen:Variant.Graftor.217709 (VT : 12/55)
프로그램 설치 과정에서는 특정 서버에서 관련 파일을 다운로드하여 설치되는 구조이며, 배포 파일에 따라 URL/Hash 값이 다를 수 있습니다.
C:\Program Files\Browshot
C:\Program Files\Browshot\browshot.exe :: "Browser Shot" 프로그램 실행 파일
- SHA-1 : 9e7222673ff18a624088e3f4140afd80101a54c1
- BitDefender : Trojan.GenericKD.2558005 (VT : 12/55)
C:\Program Files\uninstall.exe :: 프로그램 삭제 파일
- SHA-1 : 18fb1579c02ec21c0dc0626b53ab0a063d4ccbfe
- BitDefender : Gen:Variant.Graftor.217709 (VT : 12/55)
C:\Windows\Diskmon.exe :: 서비스(DiskmonitorService) 등록 파일, 메모리 상주 프로세스
- SHA-1 : 35f546a00e4c62f8b8a678a25d959128e4f90ab6
- avast! : Win32:Evo-gen [Susp] (VT : 17/55)
해당 프로그램은 외형적으로는 사용자가 "C:\Program Files\Browshot\browshot.exe" 파일을 찾아 직접 실행할 경우에만 "Browser Shot" 프로그램이 실행되어 메모리 최적화를 목적으로 실행 중인 웹 브라우저를 모두 종료하는 황당한 프로그램입니다.
하지만 웹 브라우저 종료 기능은 보여주는 기능일 뿐 실질적인 목적은 다음과 같은 기능을 수행합니다.
"DiskmonitorService (표시 이름 : DiskmonitorService)" 서비스 항목을 등록하여 시스템 시작시 "C:\Windows\Diskmon.exe" 파일을 자동 실행하도록 구성되어 있습니다.
자동 실행된 Diskmon.exe 서비스 파일은 1분이 경과할 때 특정 서버에서 browsup.exe 파일<SHA-1 : 8a7f286385d37493715d2a5247b210c99102d15f - MSE : TrojanDownloader:Win32/Parkchicers.D (VT : 16/55)>을 다운로드하며, AhnLab V3 보안 제품에서는 해당 연결 URL 값에 대하여 악성 사이트로 차단이 이루어지고 있습니다.
그런데 연결되는 방식과 관련 정보를 조사해보면 예전에 국내 광고 프로그램을 사용자 몰래 설치하는 Parkchicers 계열의 악성코드와 매우 유사성이 있는 것을 확인할 수 있었습니다.
C:\Windows\BrowShot
C:\Windows\BrowShot\browsup.exe :: 시작 프로그램(browsup) 등록 파일
- SHA-1 : 8a7f286385d37493715d2a5247b210c99102d15f
- MSE : TrojanDownloader:Win32/Parkchicers.D (VT : 16/55)
참고로 추가 생성된 "C:\Windows\BrowShot\browsup.exe" 파일은 시스템 시작시마다 "C:\Windows\Diskmon.exe" 서비스 파일이 체크하여 삭제된 경우 재다운로드를 통해 생성됩니다.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- browsup = c:\windows\browshot\browsup.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
- browsup = C:\Windows\BrowShot\browsup.exe
또한 "C:\Windows\BrowShot\browsup.exe" 파일은 자신을 2종의 시작 프로그램 등록값(browsup)으로 등록하여 Windows 시작시 자동 실행되며, 사용자 계정 컨트롤(UAC) 알림 기능을 사용하는 Windows 환경에서는 부팅시 실행 여부를 사용자에게 물어보므로 실행을 허용하지 마시기 바랍니다.
GET /***/browsup.sys HTTP/1.1
User-Agent: WMUpdate
Host: www.****shot.kr
Connection: Keep-Alive
Cache-Control: no-cache
자동 실행된 "C:\Windows\BrowShot\browsup.exe" 파일은 특정 서버에서 암호화된 "C:\Windows\BrowShot\browsup.sys" 구성값 정보를 받아와 체크한 후 browsup.sys 파일은 삭제 처리되며, 테스트 당시에는 추가적인 프로그램 다운로드 행위는 발견되지 않고 있습니다.
하지만 특정 프로그램 다운로드 정보가 존재할 경우 예전과 마찬가지로 사용자 몰래 다양한 수익성 프로그램을 설치할 것으로 보이며 현재는 배포 환경만 구축하는 것으로 판단됩니다.
■ BrowserShot 광고 배포 프로그램 삭제 방법
해당 프로그램은 제어판에 BrowserShot 삭제 항목을 등록하여 정상적으로 프로그램을 삭제할 수 있는 것처럼 구성되어 있습니다.
- C:\Program Files\Browshot
- C:\Program Files\Browshot\browshot.exe
하지만 프로그램 삭제가 진행될 경우 핵심 기능을 하는 파일을 제외한 "C:\Program Files\Browshot" 폴더만 삭제할 뿐 지속적으로 동작하고 있으므로, 제어판을 통한 삭제 후 다음과 같은 절차에 따라 삭제를 진행하시기 바랍니다.
(a) "보조프로그램 → 명령 프롬프트" 메뉴를 "관리자 권한으로 실행"하여 생성된 명령 프롬프트 창에 다음의 명령어를 순서대로 입력 및 실행하여 메모리에 상주하는 Diskmon.exe 프로세스 및 서비스 레지스트리 값을 자동 종료 및 삭제할 수 있습니다.
- sc stop "DiskmonitorService"
- sc delete "DiskmonitorService"
(b) 다음의 폴더(파일)를 찾아 삭제하시기 바랍니다.
- C:\Program Files\uninstall.exe
- C:\Windows\BrowShot
- C:\Windows\BrowShot\browsup.exe
- C:\Windows\Diskmon.exe
(c) 레지스트리 편집기(regedit)를 실행하여 다음의 레지스트리 값을 찾아 삭제하시기 바랍니다.
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\browsup
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\
browsup
그러므로 제어판에 "BrowserShot" 삭제 항목이 추가된 사용자는 반드시 추가적으로 설치된 파일을 제거하여 차후 사용자 몰래 다양한 프로그램이 설치되지 않도록 사전에 예방하시기 바랍니다.
추천!
감사요!
^^.감사합니다.
제컴에는 C:\program files\browshotupdate\browsup.exe
에도 있습니다....
이 프로그램에 대한 정보가 공개되면서 설치 폴더를 변경한 것으로 알고 있습니다.
소중한 정보 고맙습니다.
덕분에 악성코드웨어를 쉽게 제거 했습니다.
감사합니다.^^
제컴에 프로그램추가제거 목록에 생겼는데 삭제가 되지않습니다. 윈7,64bit 이구요...
폴도들도 보이지가 않습니다... 어떻게해야하죠? ㅡㅡ
http://hummingbird.tistory.com/notice/4859
링크를 확인하여 run 파일을 제작하여 보내주시기 바랍니다.
레지스토리 값은삭제햇는데 명령어 프로몬트? 거기에서 cs stop 그거 치는데 지정된서비스가 설치된서비스로는 없다고뜨는데 어떻게해야하나요
해당 프로그램은 다양한 변종이 존재합니다.
http://hummingbird.tistory.com/6076
그러므로 링크 게시글 외에 다른 형태인 경우에는 http://hummingbird.tistory.com/notice/4859 게시글을 참고하여 이메일로 문의해 주시기 바랍니다.