본문 바로가기

벌새::Analysis

검색 도우미 : Windows Application iconmania

반응형

바탕 화면 및 즐겨찾기 영역에 바로 가기 아이콘 생성 및 추가적인 iconm1 악성 광고 프로그램을 자동 설치하여 Windows 보안 기능 약화를 유발할 수 있는 "Windows Application iconmania" 광고 프로그램(SHA-1 : cfe202c46b3f546412f8c1511914f21d68585971 - Avira : ADWARE/KeywordFind.B)에 대해 살펴보도록 하겠습니다.

 

 

해당 광고 프로그램은 2016년 2월 초부터 활발하게 배포가 이루어진 것으로 추정되며, 파일에 포함된 디지털 서명으로 기준으로 "Windows Application TopsAdon" 광고 프로그램 계열로 확인되고 있습니다.

 

생성 폴더 / 파일 등록 정보

 

C:\Users\%UserName%\AppData\Local\mania_favicon.ico
C:\Users\%UserName%\AppData\Local\toon_favicon.ico
C:\Users\%UserName%\AppData\LocalLow\EngineList_iconmania.txt
C:\Users\%UserName%\AppData\Roaming\상품권몰.lnk
C:\Users\%UserName%\AppData\Roaming\아이템매니아.lnk
C:\Users\%UserName%\AppData\Roaming\iconmania
C:\Users\%UserName%\AppData\Roaming\iconmania\iconmania.exe :: 시작 프로그램(iconmania) 등록 파일, 메모리 상주 프로세스
C:\Users\%UserName%\AppData\Roaming\iconmania\iconmaniaagent.exe :: 시작 프로그램(iconmaniaagent) 등록 파일, 메모리 상주 프로세스
C:\Users\%UserName%\AppData\Roaming\iconmania\iconmaniabho.dll :: BHO 등록 파일(iconmania Class)
C:\Users\%UserName%\AppData\Roaming\iconmania\uninstall.exe :: 프로그램 삭제 파일
C:\Users\%UserName%\Desktop\상품권몰.lnk
C:\Users\%UserName%\Desktop\아이템매니아.lnk
C:\Users\%UserName%\Favorites\상품권몰.url
C:\Users\%UserName%\Favorites\아이템매니아.url
C:\Users\%UserName%\Favorites\Links\상품권몰.url
C:\Users\%UserName%\Favorites\Links\아이템매니아.url

 

생성 파일 진단 정보

 

C:\Users\%UserName%\AppData\Roaming\iconmania\iconmania.exe
 - SHA-1 : 0b35cf2caafe7a805c67727a39a310e93bd9ebab
 - Avira : ADWARE/Topsadon.Gen

 

C:\Users\%UserName%\AppData\Roaming\iconmania\iconmaniaagent.exe
 - SHA-1 : 9778340d28fe960027d11089517072ce5d0e6559
 - BitDefender : Gen:Variant.Graftor.311465

 

C:\Users\%UserName%\AppData\Roaming\iconmania\iconmaniabho.dll
 - SHA-1 : e24592ededb051cc9b4416a4f683bbc5c048b8a6
 - AhnLab V3 365 Clinic : PUP/Win32.BHO.C1491322

 

 

neomedia 디지털 서명이 포함된 "Windows Application iconmania" 광고 프로그램은 "C:\Users\%UserName%\AppData\Roaming\iconmania" 폴더에 파일을 생성합니다.

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - iconmania = C:\Users\%UserName%\AppData\Roaming\iconmania\iconmania.exe
 - iconmaniaagent = C:\Users\%UserName%\AppData\Roaming\iconmania\iconmaniaagent.exe

Windows 시작 시 iconmania, iconmaniaagent 2개의 시작 프로그램 등록값을 통해 iconmania.exe, iconmaniaagent.exe 파일을 자동 실행하여 메모리에 상주하도록 구성되어 있습니다.

 

실행된 파일은 프로그램 버전, 실행 시간, 사용자 Mac Address 값 정보 체크와 함께 바탕 화면과 즐겨찾기 영역에 생성될 수 있는 바로 가기 아이콘을 추가 다운로드 및 생성합니다.

 

생성된 바로 가기 아이콘은 "api.iconmania.co.kr" 광고 서버를 경유하여 웹사이트 접속이 이루어지며 접속 IP 체크를 통해 광고 프로그램 설치를 위한 파일 다운로드를 시도할 수도 있습니다.

 

 

 이름

 iconmania Class

게시자

 neomedia

유형

 브라우저 도우미 개체

CLSID

 {F5E4EF1B-F657-4B82-A897-2266D2A26012}

폴더 / 파일

 C:\Users\%UserName%\AppData\Roaming\iconmania\iconmaniabho.dll

 

"Windows Application iconmania" 광고 프로그램 설치를 통해 Internet Explorer 웹 브라우저에 "iconmania Class" 확장 프로그램을 추가하여 iconmaniabho.dll 광고 모듈이 실행될 수 있도록 구성합니다.

 

이를 통해 인터넷 검색 시 조건에 부합될 경우 광고창 생성 등의 행위가 이루어질 수 있습니다.

 

"Windows Application iconmania" 광고 프로그램과 함께 자동 설치될 수 있는 iconm1 악성 광고 프로그램 정보

 

"Windows Application iconmania" 광고 프로그램은 테스트 당시에서는 위에서 언급한 광고 행위만 존재하며 추가적인 광고 프로그램 다운로드가 제거된 상태입니다.

 

하지만 2016년 10월 중순경까지 Themida 패킹을 통해 제작된 일명 iconm1 악성 광고 프로그램이 추가적으로 다운로드 및 설치되는 행위가 있었던 것으로 조사되고 있기에 관련 정보도 살펴보도록 하겠습니다.

 

  • h**p://down.ic**m1.com/icon1/setup.exe (SHA-1 : 5853d671be7fdb81d29cdf7c8ef67e4879adf972 - BitDefender : Adware.GenericKD.3647588)

 

최초 "Windows Application iconmania" 광고 프로그램 설치 시 iconm1 악성 광고 프로그램 설치 목적으로 자동 다운로드 및 실행되는 설치 파일 및 생성 파일은 Themida 패킹을 통해 가상 환경 및 네트워크 분석 도구가 확인될 경우 동작하지 않도록 제작되어 있습니다.

 

생성 폴더 / 파일 등록 정보

 

C:\Users\%UserName%\AppData\Roaming\iconmania\iconm1.dll :: BHO 등록 파일(iconm1)
C:\Users\%UserName%\AppData\Roaming\iconmania\iconm1c.exe :: 시작 프로그램(iconm1c) 등록 파일, 메모리 상주 프로세스
C:\Users\%UserName%\AppData\Roaming\iconmania\iconm1j.dll
C:\Users\%UserName%\AppData\Roaming\iconmania\iconm1u.exe :: 시작 프로그램(iconm1u) 등록 파일
C:\Users\%UserName%\AppData\Roaming\iconmania\uninstall1.exe

 

생성 파일 진단 정보

 

C:\Users\%UserName%\AppData\Roaming\iconmania\iconm1.dll
 - SHA-1 : e2a268b5ae90769ee6fb9a75bb0048bbd2a0c9e8
 - Hauri ViRobot : Adware.Keywordfind.983776[h]

 

C:\Users\%UserName%\AppData\Roaming\iconmania\iconm1c.exe
 - SHA-1 : 2de5fba9be4e61fde73af5afb48c60b33dda3c55
 - ESET : a variant of Win32/AdWare.KeywordFind.D

 

C:\Users\%UserName%\AppData\Roaming\iconmania\iconm1j.dll
 - SHA-1 : 45448ddf3a77cb996abeccbceab979f71f95520b
 - AVG : Generic.E3F

 

C:\Users\%UserName%\AppData\Roaming\iconmania\iconm1u.exe
 - SHA-1 : 49c692555afbb89789f3fdc0498349665e83e1af
 - Avira : ADWARE/KeywordFind.B

 

C:\Users\%UserName%\AppData\Roaming\iconmania\uninstall1.exe
 - SHA-1 : b99cf42f4d8eaa7e4e5b3ee719c9c92ccf7a4511
 - Norton : Trojan.Gen.2

 

 

추가 생성된 neomedia 디지털 서명이 포함된 iconm1 악성 광고 프로그램은 "C:\Users\%UserName%\AppData\Roaming\iconmania" 폴더 내에 파일을 생성합니다.

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - iconm1c = "C:\Users\PC2017\AppData\Roaming\iconmania\iconm1c.exe"
 - iconm1u = "C:\Users\PC2017\AppData\Roaming\iconmania\iconm1u.exe"

Windows 시작 시 iconm1c, iconm1u 2개의 시작 프로그램 등록값을 통해 iconm1c.exe, iconm1u.exe 파일을 자동 실행하여 프로그램 업데이트 체크 후 광고 기능을 수행하는 iconm1c.exe 파일을 메모리에 상주시킵니다.

 

우선 iconm1 악성 광고 프로그램 자동 설치로 인하여 Windows 보안 기능 약화 및 기본 설정 변경이 이루어지는 부분에 대해 살펴보도록 하겠습니다.

 

(1) 사용자 계정 컨트롤(UAC) 설정 변경

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
 - ConsentPromptBehaviorAdmin = 5 :: 기본값
 - ConsentPromptBehaviorAdmin = 0 :: 변경 후

사용자 계정 컨트롤(UAC) 알림 기능을 끄도록 변경하여 사용자 몰래 프로그램 설치 및 시스템 설정을 변경할 수 있도록 합니다.

 

(2) Windows Defender 백신 프로그램 기능 중지

 

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender
 - DisableAntiSpyware = 1

 

Windows 7, Windows 8.1, Windows 10 운영 체제에 기본 내장된 Windows Defender 백신 프로그램 기능을 중지시킵니다.

 

(3) Internet Explorer 웹 브라우저의 보안과 비보안 모드 사이를 전환할 때 경고 중지

 

 

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
 - NoProtectedModeBanner = 1

Internet Explorer 웹 브라우저를 이용하여 사이트 접속 시 비보호 모드로 열릴 경우 경고 메시지를 표시하지 않도록 변경합니다.

 

(4) Microsoft SmartScreen 필터 해제

 

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer
 - SmartScreenEnabled = RequireAdmin :: 기본값
 - SmartScreenEnabled = off :: 변경 후

Internet Explorer 웹 브라우저를 통해 악성 사이트 접속 및 파일 다운로드 행위를 차단하지 못하도록 Microsoft SmartScreen 필터 기능을 해제합니다.

 

(5) Internet Explorer 웹 브라우저의 추가 기능으로 인한 속도 저하 메시지 표시 중지

 

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Ext
 - DisableAddonLoadTimePerformanceNotifications = 1

광고 프로그램 설치를 통해 추가된 확장 프로그램으로 인하여 Internet Explorer 웹 브라우저 실행 시 속도 저하를 유발할 수 있는 메시지를 표시하지 않도록 합니다.

 

 

이름

 iconm1

게시자

 neomedia

유형

 브라우저 도우미 개체

CLSID

 {CC01FC6C-9D34-4232-984C-DF2D7EA42C75}

폴더 / 파일

 C:\Users\PC2017\AppData\Roaming\iconmania\iconm1.dll

 

추가 설치된 iconm1 확장 프로그램은 Internet Explorer 웹 브라우저 실행 시 iconm1.dll 광고 모듈을 로딩하여 특정 조건에 부합될 경우 제휴 코드 추가 또는 광고창 생성이 이루어질 수 있습니다.

 

설치된 iconm1 악성 광고 프로그램의 핵심적인 기능은 자동 실행되어 메모리에 상주하는 iconm1c.exe 파일이 사용자 몰래 다음과 같은 행위를 수행할 수 있습니다.

 

다수의 광고 배너가 포함된 자체적으로 운영하는 웹사이트를 제작하여 iconm1 악성 광고 프로그램이 설치된 환경에서 PC 화면에는 노출되지 않는 백그라운드 방식으로 지속적으로 관련 웹사이트 접속을 시도하여 광고 배너 노출을 시도합니다.

 

 

대표적으로 접속되는 웹사이트는 인터넷 검색을 통해 사용자들이 직접 방문하는 형태보다는 사용자 몰래 설치된 광고 프로그램을 통해 마치 사용자가 접속하는 것처럼 조작하여 광고 수익을 얻고 있습니다.

 

특히 이들 사이트에 노출된 광고 배너는 부적절한 수익 활동에 대해 사이트 운영자 측에서는 인터넷 상에 사이트 정보가 노출되는 것을 상당히 꺼리고 있는 것으로 보입니다.

 

"Windows Application iconmania"iconm1 광고 프로그램 제거 방법

 

(a) 작업 관리자를 실행하여 "Windows Application iconmania" 광고 프로그램을 통해 생성되어 메모리에 상주하는 "① iconmaniaagent.exe → ② iconmania.exe" 파일을 순서에 따라 프로세스를 종료하시기 바랍니다.

 

또한 추가적으로 iconm1 악성 광고 프로그램이 설치된 경우에는 iconm1c.exe 프로세스를 찾아 종료하시기 바랍니다.

 

 

(b) 제어판의 프로그램 및 기능 또는 체크잇(CheckIt : www.checkitinfo.com) 프로그램에 등록된 "Windows Application iconmania" 프로그램을 찾아 제거하시기 바랍니다.

 

생성 / 변경된 레지스트리 등록 정보

 

HKEY_CURRENT_USER\Software\Bloc
HKEY_CURRENT_USER\Software\iconm1
HKEY_CURRENT_USER\Software\iconmania
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
 - NoProtectedModeBanner = 1
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - iconmania = C:\Users\%UserName%\AppData\Roaming\iconmania\iconmania.exe
 - iconmaniaagent = C:\Users\%UserName%\AppData\Roaming\iconmania\iconmaniaagent.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CC01FC6C-9D34-4232-984C-DF2D7EA42C75}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F5E4EF1B-F657-4B82-A897-2266D2A26012}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\iconm1.iconm1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{2D86697D-4145-46DE-80DC-5F78DBFAD560}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\sidehelper
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\sidehelper.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{65CA96EC-AFA8-44DB-8AC1-DFE044DC33EC}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer
 - SmartScreenEnabled = RequireAdmin :: 기본값
 - SmartScreenEnabled = off :: 변경 후
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{CC01FC6C-9D34-4232-984C-DF2D7EA42C75}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{F5E4EF1B-F657-4B82-A897-2266D2A26012}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Ext
 - DisableAddonLoadTimePerformanceNotifications = 1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
 - ConsentPromptBehaviorAdmin = 5 :: 기본값
 - ConsentPromptBehaviorAdmin = 0 :: 변경 후
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - iconm1c = "C:\Users\PC2017\AppData\Roaming\iconmania\iconm1c.exe"
 - iconm1u = "C:\Users\PC2017\AppData\Roaming\iconmania\iconm1u.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\iconmania
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender
 - DisableAntiSpyware = 1

 

 

"Windows Application iconmania" 광고 프로그램이 설치된 경우 사용자 몰래 추가 다운로드되는 iconm1 악성 광고 프로그램으로 인해 자동으로 웹사이트 접속 행위가 지속되어 PC 속도 저하 및 Windows 보안 기능이 약화될 수 있습니다.

 

그러므로 광고 프로그램 제거 후에는 반드시 변경된 보안 기능을 이전 상태로 수정할 필요가 있으므로 설치되지 않도록 주의하시기 바랍니다.

 

728x90
반응형