울지않는벌새 : Security, Movie & Society

국내 악성코드 : catroot

벌새::Analysis

사용자 몰래 설치되어 추가적인 광고 프로그램 설치를 시도할 수 있는 국내에서 제작된 catroot 악성 프로그램에 대해 살펴보도록 하겠습니다.

해당 프로그램은 국내에서 제작된 wininlt 악성 광고 프로그램이 설치된 환경에서 사용자 동의없이 자동으로 설치되는 방식으로 유포가 이루어지고 있습니다.

설치 과정을 살펴보면 배포 파일<SHA-1 : 33c62f16f513c1fc4259e3364a3baec13170e951 - Hauri ViRobot : Trojan.Win32.Z.Agent.453240.A[h] (VT : 35/55)> 다운로드 및 실행을 통해 업데이트 서버에 등록된 catroot 설치 파일<SHA-1 : 3970b3db94c1dc63cc0b59e9563561c0a10d283c - AhnLab V3 : Win-Adware/Catroot.1063128 (VT : 20/55)>을 추가 다운로드하여 "C:\Users\Public\Documents\catins1.exe" 파일로 생성되어 다음과 같은 프로그램 설치를 완료 후 자동 삭제 처리됩니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Windows\System32\AppCompat
C:\Windows\System32\AppCompat\catroot
C:\Windows\System32\AppCompat\catroot\catroot.exe :: 서비스(AppCatroots) 등록 파일, 메모리 상주 프로세스
C:\Windows\System32\AppCompat\catroot\catrootsz.dat
C:\Windows\System32\AppCompat\catroot\catrootsz.exe :: 시작 프로그램(catroot) 등록 파일
C:\Windows\System32\AppCompat\catroot\clcatrootsz.exe
C:\Windows\System32\AppCompat\catroot\unins000.dat
C:\Windows\System32\AppCompat\catroot\unins000.exe :: 프로그램 삭제 파일

 

[생성 파일 진단 정보]

 

C:\Windows\System32\AppCompat\catroot\catroot.exe
 - SHA-1 : 6b2343bfd835c1b766a1058322e7e7b8aa8d6a56
 - Microsoft : Trojan:Win32/Dynamer!ac (VT : 20/52)

 

C:\Windows\System32\AppCompat\catroot\catrootsz.exe
 - SHA-1 : f0c5c7bcf75ddc4b89a1fd2df19a3dae9713f5a8
 - Malwarebytes : Adware.Kraddare (VT : 3/55)

 

C:\Windows\System32\AppCompat\catroot\clcatrootsz.exe
 - SHA-1 : b08959101601533d1e6f0e2514ec55abc8be41e6
 - Malwarebytes : Adware.Kraddare (VT : 2/54)

cnkcompany 디지털 서명이 포함된 해당 프로그램은 시스템 폴더처럼 위장한 "C:\Windows\System32\AppCompat\catroot" 폴더에 파일을 생성합니다.(※ 정상적인 PC 환경에서는 "C:\Windows\AppCompat" 폴더는 존재합니다.)

"AppCatroots (표시 이름 : Application Catroots)" 서비스 항목을 등록하여 시스템 시작시 "C:\WINDOWS\system32\AppCompat\catroot\catroot.exe" 파일을 자동 실행하도록 구성되어 있습니다.

자동 실행된 catroot.exe 서비스 파일은 시작 프로그램(catroot)으로 등록된 "C:\Windows\System32\AppCompat\catroot\catrootsz.exe" 파일(TrueUpdate Client)을 로딩하여 업데이트 서버에 등록된 암호로 보호된 정보를 체크하여 업데이트를 시도합니다.

 

이를 통해 테스트 당시에는 추가적인 광고 프로그램 설치가 이루어지지 않지만 다음과 같은 2종의 광고 프로그램 설치 파일을 다운로드 합니다.

 

(1) [삭제] MicrowindowSearch (2012.2.26)

  • h**p://update.**links.kr/MicrowindowSearch/MicrowindowSearch_Setup_silent_08.exe (SHA-1 : 48bab9bebf524214d7eaed9fb60c2c1d294e8083) - avast! : Win32:Adware-ASB [PUP] (VT : 15/55)

(2) 검색 도우미 : pvinc plugin (2015.6.16)

  • h**p://update.pop**vaccine.com/setup/pvinc_si.exe (SHA-1 : 5bfbfbf450f5785bc06a57593c4e75dd1b05f019) - avast! : Win32:Malware-gen (VT : 10/54)

만약 정상적으로 다운로드를 통해 설치가 연결될 경우 화면상으로는 설치 정보를 표시하지 않는 형태로 자동 설치되므로 주의하시기 바랍니다.

 

catroot 악성 프로그램 삭제 방법

 

catroot 악성 프로그램은 사용자가 제어판을 통해 프로그램을 찾아 삭제하는 것을 방해할 목적으로 등록하지 않으므로 다음과 같은 절차에 따라 제거하시기 바랍니다.

(a) "보조프로그램 → 명령 프롬프트" 메뉴를 "관리자 권한으로 실행"하여 생성된 명령 프롬프트 창에 [sc stop "AppCatroots"] 명령어를 입력 및 실행하여 메모리에 상주하는 catroot.exe 프로세스를 자동 종료 처리하시기 바랍니다.

(b) "C:\Windows\System32\AppCompat\catroot\unins000.exe" 파일을 찾아 직접 실행하시면 프로그램 삭제를 진행할 수 있습니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_LOCAL_MACHINE\SOFTWARE\AppDataLow\catroot
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - catroot = C:\Windows\system32\AppCompat\catroot\catrootsz.exe
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\AppCatroots

 

catroot 악성 프로그램은 시스템 시작시마다 추가적인 광고 프로그램 설치를 시도할 수 있으며, 제어판을 통한 삭제 기능을 제공하지 않으므로 사용자가 설치 여부를 인지하기 매우 어려우므로 주의하시기 바랍니다.