본문 바로가기

벌새::Analysis

검색 도우미 : Network Application Express - Godzilla

728x90
반응형

인터넷 검색 및 웹사이트 접속 시 다양한 광고창 생성을 통해 불편을 유발할 수 있는 "Network Application Express" 광고 프로그램 변종 중 Godzilla 광고 프로그램(SHA-1 : 16daf95c7f02e85d47c7c510fcf6e564f1b8ee55)에 대해 살펴보도록 하겠습니다.

 

 

기존의 LuckyTool 악성 광고 프로그램에서 파생된 "Network Application Express" 광고 프로그램 시리즈는 배포 파일에 따라 다양한 폴더(파일)명 및 프로그램 이름으로 설치되고 있습니다.

 

생성 폴더 / 파일 등록 정보

 

C:\Users\%UserName%\AppData\Roaming\Godzilla
C:\Users\%UserName%\AppData\Roaming\Godzilla\data.db
C:\Users\%UserName%\AppData\Roaming\Godzilla\Godzilla.exe :: 시작 프로그램(godzilla_client) 등록 파일, 작업 스케줄러(godzilla_client) 등록 파일, 메모리 상주 프로세스
C:\Users\%UserName%\AppData\Roaming\Godzilla\GodzillaAgent.exe :: 시작 프로그램(godzilla_agent) 등록 파일, 작업 스케줄러(godzilla_agent) 등록 파일
C:\Users\%UserName%\AppData\Roaming\Godzilla\smartpush.dll
C:\Users\%UserName%\AppData\Roaming\Godzilla\uninst.exe :: 프로그램 삭제 파일
C:\Windows\System32\Tasks\godzilla_agent
C:\Windows\System32\Tasks\godzilla_client

 

생성 파일 진단 정보

 

C:\Users\%UserName%\AppData\Roaming\Godzilla\smartpush.dll
 - SHA-1 : a56b72d77c8cb16c2ea94283da02dd3f45af132e
 - Hauri ViRobot : Adware.SmartPush.5478160[h]

 

 

JWSOFT 디지털 서명이 포함된 "Network Application Express" 광고 프로그램 변종은 "C:\Users\%UserName%\AppData\Roaming\Godzilla" 폴더에 파일을 생성합니다.

 

  • godzilla_agent 시작 프로그램 등록값 : C:\Users\%UserName%\AppData\Roaming\Godzilla\GodzillaAgent.exe
  • godzilla_client 시작 프로그램 등록값 : C:\Users\%UserName%\AppData\Roaming\Godzilla\Godzilla.exe

 

Windows 시작 시 godzilla_agent, godzilla_client 2개의 시작 프로그램 등록값을 통해 각각의 파일을 자동 실행하도록 구성되어 있습니다.

 

  • godzilla_agent 작업 스케줄러 등록값 : "C:\Users\%UserName%\AppData\Roaming\Godzilla\GodzillaAgent.exe" "/run"
  • godzilla_client 작업 스케줄러 등록값 : "C:\Users\%UserName%\AppData\Roaming\Godzilla\Godzilla.exe" "/run"

 

또한 예약 작업 영역에 godzilla_agent, godzilla_client 2개의 작업 스케줄러 등록값을 등록하여 각각의 파일을 자동 실행하도록 구성되어 있습니다.

 

 

자동 실행된 GodzillaAgent.exe 파일(SHA-1 : 9ba9d3b08f7da004a3feca2be1d4f5513a9d77aa)은 업데이트 정보를 체크하며, 특정 시점에서는 "Network Application Express Agent" 기능을 통해 추가적인 제휴 프로그램 설치가 이루어질 수도 있으므로 주의하시기 바랍니다.

 

또한 광고 기능을 수행하는 Godzilla.exe 파일(SHA-1 : bb13aed31294375b0615466af0e214b45dd9f3df)은 자동 실행되어 광고 구성값 정보를 체크한 후 메모리에 상주하며, "Wetelecomunication Co.,Ltd" 디지털 서명이 포함된 smartpush.dll 광고 모듈을 로딩하여 다음과 같은 광고 행위를 수행할 수 있습니다.

 

 

사용자가 웹 브라우저의 주소 표시줄에 키워드 입력을 통한 인터넷 검색 시 다양한 광고창을 생성할 수 있습니다.

 

 

또한 인터넷 검색을 통해 웹사이트 접속 과정에서 자동으로 헝그리앱 사이트와 같은 다양한 광고창 생성 행위가 이루어질 수 있습니다.

 

Godzilla 광고 프로그램 제거 방법

 

(a) 작업 관리자를 실행하여 메모리에 상주하는 Godzilla.exe 프로세스를 찾아 종료하시기 바랍니다.

 

 

(b) 제어판의 프로그램 및 기능 또는 체크잇(CheckIt : www.checkitinfo.com) 프로그램에 등록된 Godzilla 프로그램을 찾아 제거하시기 바라며, 프로그램 제거 시 "Network Application Express 제거"창이 생성되어 진행됩니다.

 

생성 레지스트리 등록 정보

 

HKEY_CURRENT_USER\Software\godzilla
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - godzilla_agent = C:\Users\%UserName%\AppData\Roaming\Godzilla\GodzillaAgent.exe
 - godzilla_client = C:\Users\%UserName%\AppData\Roaming\Godzilla\Godzilla.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Godzilla
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{1F7C4C7F-9F34-46F9-AF15-7232CF28C560}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{2E92445C-E67A-4C7C-A9F8-B663899FF691}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\godzilla_agent
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\godzilla_client

 

 

"Network Application Express" 광고 프로그램 시리즈는 다양한 프로그램 이름과 폴더(파일)명으로 설치될 수 있으며, 사용자가 인터넷 이용 과정에서 검색 키워드와 무관한 저품질 광고를 지속적으로 생성하여 불편을 유발할 수 있으므로 설치되지 않도록 주의하시기 바랍니다.

728x90
반응형