국내에서 제작되어진 검색도우미 프로그램으로 인터넷 검색 시 좌측 사이드에 광고바가 생성되는
검색 도우미 GuideOn 에 대하여 살펴보도록 하겠습니다.
[실행 파일명] |
해당 파일은 카스퍼스키 보안제품에서 Trojan-Downloader.Win32.Adload.apfh 진단명으로 진단하고 있습니다.
해당 파일 구조를 확인하기 위해 PEID로 보니 UPX 로 패킹이 되어 있었습니다.
파일 내부를 살펴보니 해당 파일은 설치파일을 다운로드 후 자신은 삭제가 되도록 하여
사용자가 설치여부를 확인할 수 없도록 동작을 하고 있습니다.
다음은 파일내용의 일부입니다.
시스템루트에 DelUS.bat 배치 파일를 생성하여 실행 후 삭제되도록 하며
마지막으로 자신을 삭제하도록 동작합니다.
또, 아래와 같이 해당 서버에 접속하여 GuideOn_GO45.exe 를 다운받아 사용자 PC에 설치가 됩니다.
다운받은 GuideOn_GO45.exe 파일은 실제 사이드바를 설치하는 실행파일입니다.
| [생성 파일] C:\Program Files\GuideOn\elist.ini 사이드바 생성 리스트 키워드 C:\Program Files\GuideOn\GuideOn.dll BHO등록 파일 C:\Program Files\GuideOn\GuideOn.exe 시작프로그램 및 메모리상주 C:\Program Files\GuideOn\uninstall.exe |
인터넷 익스플로러 실행 시 GuideOn.dll 파일을 로드하여 감시하는 사이트에 접속하게 되면 사이드바를
보여지도록 합니다.
프로세스 정보를 보면 GuideOn.exe 가 메모리에 상주하여 사용자가 인터넷 익스플로러를 실행 시
iexplorer.exe에 GuideOn.dll 이 삽입되어 BHO 방식으로 동작을 합니다.
감시하는 사이트 접속 시 사이드바가 생성됩니다.
| [사이드바 생성하는 사이트 리스트] auction gmarket interpark dnshop cjmall gseshop shinsegae lotte hmall lotteimall samsungmall zeromarket nseshop yeoin ddm mple gsestore danawa enuri lotteshopping |
약 20개 정도 사이트에 대하여 감시하고 있으며, 대부분 쇼핑몰 사이트로 사용자가 키워드를 클릭하게 되면
광고업체에 금전적인 수익이 발생할 것으로 예상됩니다.
시작 시 자동실행 되도록 레지스트리에 등록되어 집니다.
해당 프로그램은 [프로그램 추가/제거]에서 삭제가 가능합니다.
'할롬::컴터 > 악성코드분석' 카테고리의 다른 글
| U+202E(RTLO) 유니코드를 이용한 확장자 변조 취약점 악성파일 유포 주의 (2) | 2011.09.15 |
|---|---|
| [악성코드분석] Adobe Flash Player 취약점(CVE-2011-2110)을 이용한 xpsp2res.dll 악성코드 유포 (0) | 2011.08.29 |
| [악성코드분석] 검색닷컴_DirectKeyword2.exe (0) | 2011.08.05 |
| [악성코드분석] 변조된 사이트 접속시 악성코드 감염주의 (0) | 2011.08.04 |
| [악성코드분석] 정상적인 lpk.dll 시스템 파일 변조하는 악성코드 (0) | 2011.06.29 |