국내에서 제작되어진 cpc 형태의 광고를 통해 수익을 내는 (주)마이크로네임즈의 [해보고] 광고에

대하여 알아보도록 하겠습니다. 우선 해당 광고는 사용자 몰래 설치되어 특정 키워드 검색 시 해당 키워드

성격에 맞는 광고주 사이트를 팝업 창으로 띄워 광고 수익을 내는 형태의 악성코드입니다.


해당 악성파일은 카스퍼스키 제품에서 진단명 Adware.Win32.Hebogo.cq 으로 진단하고 있습니다.



악성파일 실행 시 사용자 몰래 하기의 파일들이 생성이 되며, 자가 삭제되는 형태의 악성파일입니다.





 

  생성파일 정보


 C:\Documents and Settings\(사용자계정)\Application Data\MicroLab\MyEngin\Common


 C:\Documents and Settings\(사용자계정)\Application Data\MicroLab\MyEngin\Common\MicroProCon.exe - 업데이트 파일


 C:\Documents and Settings\(사용자계정)\Application Data\MicroLab\MyEngin\Common\MicroProProc.exe - 메모리 상주


 C:\Documents and Settings\(사용자계정)\Application Data\MicroLab\MyEngin\Common\Uninstall


 C:\Documents and Settings\(사용자계정)\Application Data\MicroLab\MyEngin\Common\Uninstall\Uninstall.exe - 프로그램 삭제



 

  레지스트리 생성 정보


 [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]

MicroProCon=C:\Documents and Settings\(사용자계정)\Application Data\MicroLab\MyEngin\Common\MicroProCon.exe -iCtjxI


 [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

MicroProProc=C:\Documents and Settings\(사용자계정)\Application Data\MicroLab\MyEngin\Common\MicroProProc.exe -iCtjxI


 [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\MicroNames Multi Language Convert Service3.0]



시스템 재부팅 시 자동 시작 되도록 레지스트리에 등록이 되어 있는 것을 확인 할 수 있으며,

MicroProCon.exe 파일은 재부팅 시 서버와의 통신을 통해 최신 리스트를 업데이트 하는 역할을 수행합니다.


 

 





 

  프로세스 정보


MicroProcProc.exe 파일은 프로세스에 로드되어 사용자가 특정 키워드 입력 시 관련 광고 사이트

팝업창을 띄우는 역할을 합니다.




여름 옷이란 키워드 입력 시 옷과 관련 된 사이트가 새창으로 생성되는 것을 확인 할 수 있습니다.

또 아기와 관련된 키워드를 입력하면 유아용품 사이트가 팝업 됩니다.

 


 






 

 프로그램 삭제 방법


정상적으로 설치가 되지 않을 경우 프로그램 추가/제거 항목에 없기 때문에 수동으로 삭제하여야 합니다.

하기 위치의 Uninstall.exe 를 실행시켜 제거 한 후 나머지 파일 및 레지스트리 값을 수동으로 삭제 해 주시면 됩니다.


위치 : C:\Documents and Settings\(사용자계정)\Application Data\MicroLab\MyEngin\Common\Uninstall










악성코드 감염 사이트 접속 시 시스템 파일 변조를 통하여 온라인 게임 계정 탈취를 목적으로한

악성코드에 대하여 알아보겠습니다.

해당 파일은 카스퍼스키 제품에서는 진단명 Trojan.Win32.Generic 으로 진단하고 있습니다.


ws2help.dll 파일은 온라인 게임 계정 탈취를 목적으로 한 악성코드에 주로 이용되는 단골 고객이며,

신규 공격 기법이 아니라 히스토리 목적으로만 포스팅 합니다.





 

 악성파일 정보






 

 생성파일 정보


C:\Documents and Settings\Administrator\Local Settings\Temp\VnrYne173.exe

C:\WINDOWS\System32\ws2help.dll (악성파일)
C:\WINDOWS\System32\ws2help.dll.(영문+숫자 임의명 3자리).tmp (원본 백업 파일)
C:\WINDOWS\System32\ws2helpXP.dll (원본 백업 파일)




최초 악성파일인 rund11.exe 파일이 실행되면 VnrYne173.exe 라는 파일을 생성하며, 자가 삭제 됩니다.







VnrYne173.exe 파일은 시스템 파일인 ws2help.dll 원본 파일을 ws2help.(영문+숫자 임의명 3자리).tmp와

ws2helpXP.dll 로 백업한 후 ws2help.dll 악성파일을 생성합니다.







ws2help.dll 파일을 호출하는 모든 프로세스에 인젝션 되어 동작하며, 시스템에 설치된 백신을 무력화 하여

온라인 게임 계정을 탈취하는 기능을 수행합니다.






ws2help.dll 이 탈취하는 온라임 게임 리스트는 다음과 같습니다.


 - 던파,메이플스토리
 - 피파온라인, 레이시티
 - 리니지
 - 카발2
 - 와우
 - 바람의나라



그리고 악성코드에 대해 시스템에 설치된 백신을 무력화 시킵니다.


 - 바이러스체이서
 - 네이버pc그린
 - v3
 - 알약






 

 예방 방법


1. ws2help.dll 파일 이름을 변경 (ex. old_ws2help.dll)

2. WFP로 인하여 정상적인 파일 복구되는지 확인 (복구 안될 시 ws2helpXP.dll을 ws2help.dll 로 변경

3. 재부팅 후 악성파일 삭제









전형적인 Reverse Telnet 방식으로 RAT 기능이 포함된 악성파일에 대하여 살펴보겠습니다.


 

얼마 전 악성주소가 포함 된 메일 한 통을 받았습니다.



현재 내부적으로도 관련 인력을 구인하고 있는 상태라 단순한 스팸메일은 아닌 것으로 보이네요..

APT 공격의 기본적인 특징이라고 할 수 있습니다.

하지만 제목이나 URL등을 보니 그렇게 꼼꼼하게 보이진 않네요.. 오타도 있구요..


 

우선 해당 파일을 다운로드 받아 압축 해제하면 윈도우 도움말 파일인 chm 으로 되어 있는 것을 확인 할 수 있습니다.






Virustotal 에서는 현재 기준으로 6% 미만의 탐지율을 보이고 있습니다.




Info.chm 파일을 실행하면 기본적인 이력서를 보여주며 사용자 몰래 악성파일 설치를 시도 합니다.





 

 생성파일 정보


C:\WINDOWS\Downloaded Program Files\Google_Mapu.exe


해당 파일은 은닉 되어 있어 탐색기로는 확인할 수 없고 루트킷 탐지 툴을 이용하여야 합니다.

루트킷 툴인 Gmer이나 IceSword 를 이용하여 보면 해당파일이 생성되어 있는 것을 확인할 수 있습니다.




생성된 파일은 Virustotal 에서 7% 미만 정도 탐지율을 보이고 있으며 국내 제품으로는 유일하게 AhnLab에서만 Win-Trojan/Binma.39192 진단명으로 탐지가 되고 있습니다.





 

 레지스트리 생성 정보


 [HKCU\Software\Microsoft\Windows\CurrentVersion\Run\]
 Google_Update="c:\windows\downloaded program files\google_mapu.exe"


구글 업데이트로 위장하여 자동 실행 되도록 레지스트리에 등록되어 있습니다.






프로세스로 등록이 되어 주기적으로 C&C 서버로 DNS 질의를 하고 있는 것을 확인할 수 있으며,

IP 추적 결과 국내서버로 확인이 되고 있습니다.





악성파일 동작을 확인하기 위해 호스트 파일을 수정하여 확인해 보았습니다.




우선 netcat 으로 80포트를 오픈 한 후에 일정 시간 기다리면 패스워드 입력창이 나옵니다.

해커가 원격으로 시스템을 컨트롤 할 수 있도록 동작하는 것으로 추정되며, 추가로 패스워드를 확보하여

접속 해본 결과 감염 서버로 접속이 가능하였습니다.




아래 이미지는 실제 해커 서버에 접속되어 동작하는 패킷을 캡쳐한 화면입니다.



주기적으로 C&C서버에 접속을 시도하고 있으며 접속이 되면 자동으로 패스워드가 일치 할 때까지 매번 다른 패스워드가 입력이 되는 것으로 보아 추정 해 볼 수 있는건 해커가 배포한 파일들의 비번이 각각 다르다는 것을 알 수 있으며,

특정 기업의 APT공격은 아닌 것으로 생각됩니다.

일단 해당 패스워드가 맞으면 이후 추가작업을 진행하는 것을 확인할 수 있습니다.

 




 

 삭제 방법


1. 해당 프로세스 종료

:단독으로 실행되기 때문에 강제로 프로세스를 종료하여도 상관없습니다.


2. 레지스트리 삭제

:[HKCU\Software\Microsoft\Windows\CurrentVersion\Run\]
 Google_Update="c:\windows\downloaded program files\google_mapu.exe"


3. 파일 삭제

: 해당 파일은 탐색기로 보이지 않아 루트킷 탐지툴을 이용하여 제거 해야 합니다.

GMER 툴을 다운받아 실행 후 Files 탭에서 아래의 경로로 이동하여 해당 파일을 삭제 하시면 됩니다.

C:\WINDOWS\Downloaded Program Files\Google_Mapu.exe


GMER 다운받기






 

 예방 방법


탐지율이 6%미만이라 거의 제로데이 공격에 가까워 사용자들의 주의가 필요합니다.


1. 수상한 메일은 확인하지 않습니다.

2. 메일 내용의 첨부파일이나 URL은 다운 받지 않습니다.

3. 수상한 메일이라고 판단되면 주위 사람들에게 전파합니다.

4. 파일을 다운 받았으면 꼭 바이러스 검사를 진행합니다.









국내에서 제작되어진 검색 도우미 CloverPlus의 변종에 대하여 알아보도록 하겠습니다.


일반적인 검색도우미와 다르게 감염 시 백그라운드로 인터넷 익스플로어를 구동하여

관련된 특정 키워드를 호출하여 금전적인 이득을 취하는 방식입니다.


카스퍼스키 보안 제품에서는 not-a-virus:AdWare.Win32.KSG.zu 으로 진단하고 있습니다.



 

 악성파일 정보





 

 생성파일 정보


C:\Documents and Settings\Administrator\바탕 화면\옥션.url

 C:\Documents and Settings\Administrator\Favorites\연결\옥션.url

 C:\Documents and Settings\Administrator\Favorites\옥션 - 앞으로의 인터넷 쇼핑, 옥션.url
 C:\Documents and Settings\Administrator\바탕 화면\11번가.url

 C:\Documents and Settings\Administrator\Favorites\연결\11번가.url

 C:\Documents and Settings\Administrator\Favorites\11번가 - 고객감동 No.1, 11번가.url
 C:\Documents and Settings\Administrator\바탕 화면\G마켓

 C:\Documents and Settings\Administrator\Favorites\연결\G마켓.url

 C:\Documents and Settings\Administrator\Favorites\G마켓 - 놀라움을 쇼핑하다, G마켓.url



사용자의 바탕화면 및 즐겨찾기 위치에 인터넷 쇼핑몰의 바로가기가 생성되며 각 파일의 속성을 살펴보면

직접 해당 쇼핑몰로 연결되지 않고 광고 링크를 통하여 접속이 되도록 설정이 되어 있습니다.



http://click.clickstory.co.kr/?vanilla=WEJoS1FXTzY3RE1VaERGYTN0cUZXYndLZXhlMzk3RWxhZkV4V1BBZktXd2pmSUNZ&turl=http://www.11st.co.kr
 http://click.clickstory.co.kr/?vanilla=dXhlVGFCUDhKMTlXbkE4VzN0cUZXYndLZXhlMzk3RWxsVkZ5RmFlQkpRUWpmSUNZ&turl=http://www.gmarket.co.kr
 http://click.clickstory.co.kr/?vanilla=QTFLTGZxOTEvSjNFaXNKZzN0cUZXYndLZXhlMzk3RWxEMUkwSktyOG9GNE9GNzF4&turl=http://www.auction.co.kr



해당 악성코드는 백그라운드로 인터넷 익스플로러 프로세스를 실행시켜 임의로 생성한 URL을 호출하게 되어

있으며, 호출 된 페이지에 스크립트가 삽입되어 있어 광고 링크를 호출하게 됩니다. 호출 된 페이지 소스엔

다른 광고성 스크립트가 삽입되어 있어 요청 할 때마다 연쇄적으로 호출을 하도록 되어 있습니다.






악성코드가 이용하는 광고 링크입니다.





해당 샘플은 일반 검색도우미와 같이 시스템에 설치가 되거나 BHO가 등록되는 등의 행위은 없었지만,

실제 감염 시에는 일반적인 감염 증상과 동일할 것으로 생각됩니다.















 윈도우 시스템 파일로 위장한 악성코드가 발견되었으며 지속적으로 외부 해커 서버로 접속을 시도하여 악의적인 행위를 하는 악성코드에 대하여 살펴보겠습니다.


카스퍼스키 보안 제품에서 Backdoor.Win32.agent.cfax 로 진단하고 있으며

최종 파일을 살펴보면 윈도우 업데이트 파일로 위장하고 있는 것을 확인할 수 있습니다.



 imgs.exe 라는 파일명으로 되어 있으며, 해당 파일이 실행되면 KB(영문+숫자8자리랜덤).dll 파일명으로 생성이 되고 svchost.exe, rundll32.exe 프로세스를 실행하여 dll 파일을 Injection 하고 있습니다.




 생성파일 정보

C:\Documents and Settings\All Users\KB(영문+숫자8자리랜덤).dll


 레지스트리 생성 정보


HKLM\SYSTEM\CurrentControlSet\Services\WMIHelper
HKLM\SYSTEM\CurrentControlSet\Services\WMIHelper\Enum
HKLM\SYSTEM\CurrentControlSet\Services\WMIHelper\Security
HKLM\SYSTEM\CurrentControlSet\Services\WMIHelper\Parameters
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WMIHELPER
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WMIHELPER\0000
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WMIHELPER\0000\Control
HKLM\SYSTEM\ControlSet001\Services\WMIHelper
HKLM\SYSTEM\ControlSet001\Services\WMIHelper\Enum
HKLM\SYSTEM\ControlSet001\Services\WMIHelper\Security
HKLM\SYSTEM\ControlSet001\Services\WMIHelper\Parameters
HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_WMIHELPER
HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_WMIHELPER\0000
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WMIHELPER\0000\Control
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost




WMIHelper(Microsoft Windows WMIHelper) 라는 서비스명으로 레지스트리에 등록이 되어 OS 재시작 시에도 자동 실행 되도록 동작하고 있습니다.








svchost.exe와 rundll32.exe 프로세스에 로드되어 외부의 특정 서버로 접속을 시도 하고 있습니다.







외부의 특정 서버(imgs.micnike.com)로 DNS 쿼리를 보내어 서버에 80포트로 접속을 시도 하고 있으며, IP는 주기적으로 변경이 되고 있습니다.






 제거 방법

1. 악성파일이 어떤 프로세스에 로드 되어 있는지 확인한다.


    


2. PID를 확인 후 작업관리자에서 해당 프로세스를 죽인다. (PID확인은 보기 --> 열선택 --> PID(프로세스식별자) 를 체크하면 된다.)

   

3. 악성파일 위치로 이동하여 해당 악성파일을 제거 한다.


4. 레지스트리를 실행하여 WMIHelper로 검색 후 등록된 모든 키를 제거한다.

















악성코드 유포 시 기본적인 스크립트 형태가 아닌 Space 와 TAP 키를 이용하여 소스코드의 내용을 은폐하는 악성코드가 등장했습니다. 1월경 발견됐는데 전 언제 샘플을 구하나 했는데 드뎌 구했습니다~ㅋ 그럼 해당 악성코드에 대해서 한 번 살펴 보도록 하겠습니다.

해당 기법은 2008년 빌리 호프만이 Blackhat 보안 컨퍼런스에서 발표한 적이 있으며 그 당시에는 단순히 아이디어였으나 그것을 현실화한 코드가 발견되었다는 사실에 주목할 필요가 있습니다.

당시 발표 자료는 아래 링크에서 다운받으실 수 있습니다.
http://www.blackhat.com/presentations/bh-usa-08/Hoffman/Hoffman-BH2008-CircumventingJavaScript.ppt




 위 자료를 살펴보면 특정 문자열의 이진코드값을 Space와 TAB 키를 이용하여 내용을 표시하도록 하여 스크립트 내용을 감추도록 하는 방법입니다.




그럼 코드를 살펴 보겠습니다.
실제 유포사이트의 js 파일내에 스크립트가 삽입되어 있으며 박스 부분이 실제 악성스크립트 입니다. 줄 바꿈을 안해놔서 찾기가 힘들었습니다.






보기 쉽게 줄바꿈을 하자 중간 부분에 빈 공간이 보입니다. 바로 저 부분이 Dehydrate a String 을 이용한 부분입니다.






공백 표시를 해보니 TAB 키와 Space 키 흔적이 보이네요..






아래 코드를 살펴보면 while문과 for문을 돌려서 유니코드 값을 tmp 에 저장하고 있으며, fromCharCode 함수를 이용하여 유니코드를 문자열로 반환하도록 하고 있습니다.

while(s.charAt(curr) != '\n') {
        var tmp = 0;
        for (var i=6; i>=0 ; i-- ){
            if (s.charAt(curr) == ' '){
                tmp = tmp | (Math.pow(2,i));
            }
            curr++;
        }
        r.push(String.fromCharCode(tmp));
}

document.write로 tmp 값을 확인 해 보니 iframe 태그를 이용하여 특정 사이트의 페이지를 호출하도록 되어 있습니다.




URL 인코딩으로 되어 있는 부분을 다시 디코딩 해보았습니다. 특정 사이트의 index.html을 호출하도록 되어 있네요.. 아직 유포중이라 모자이크 처리 했습니다.




추가 분석은 나중에 하고 어쨌든 새로운 공격 방법을 볼 수 있어서 좋네요~













 최근 발견 된 악성파일 감염 시 외부 서버로 접속을 시도하는 백도어 역할을 하며 연결이 되면 외부에서 원격 조정이 가능한 형태의 악성파일입니다.

해당 악성파일은 프린터 관련 프로세스인 sploosv.exe에 로드되어 외부로 접근을 시도하며, 추가로 plugin 폴더가 생성되어 특정 행위 시 해당 폴더에 플러그인이 설치가 됩니다.

토탈 바이러스 검사 결과 모든 백신에서 탐지가 되지 않는 것으로 보아 악성파일이 활개를 치지 않을까 추정됩니다.




 악성파일 정보

 파일명 : common.conf
 파일크기 : 25MB




 생성파일 정보

 C:\Program Files\common Files
 C:\Program Files\common Files\common.conf
 C:\Program Files\common Files\plugin
 C:\Program Files\common Files\plugin\plugin_FileExplorer_C.dll
 C:\Program Files\common Files\plugin\plugin_Process_C.dll
 C:\Program Files\common Files\plugin\plugin_Register_C.dll
 C:\Program Files\common Files\plugin\plugin_ScreenCapture_C.dll




 설치위치 정보

 C:\Program Files\common Files\




 감염증상

 sploovs.exe 프로세스에 로드되어 주기적으로 외부로 접근을 시도하며, 연결이 되면 외부에서 원격조정이 가능한 상태가 됩니다. 또한 tcpmon.dll 파일을 감염시켜 프린터가 되지 않는 현상이 발생합니다.




 해결방법

 sploovs.exe 프로세스를 죽인 후 생성된 파일을 삭제 합니다. 또한 tcpmon.dll 파일을 원본파일과 교체한 후 프린터 드라이버를 재설치 하셔야 합니다.






특정 사이트에 접속 시 배너 광고를 통한 감염이 이루어지고 있으며, 감염 시 온라인 게임 계정 및 문화상품권 사이트 계정이 유출됩니다. 카스퍼스키 보안 제품에서는 Trojan.Scrip.Iframer 으로 진단하고 있습니다.
 


[악성코드분석] ws2help.dll 시스템파일 변조를 통한 계정유출 악성코드 (2011.11.19)




위와 같이 배너 광고에 악성스크립트가 삽입되어 있는 것을 확인 할 수 있으며, 해당 스크립트를 디코딩하면 공격자 사이트의 yg.html 에 접속하여 악성파일을 설치하도록 되어 있습니다. 감염 형태는 Adobe Flash Player 취약점을 이용하고 있으며 알약, V3 등 국내 보안 제품을 무력화하여 악성파일을 설치합니다.
 



위의 URL을 직접 호출 할 경우 보안 제품이 있어도 감염이 되는군요..ㅡㅡㅋ



 URL 정보

hxxp://66.xxx.xx.218/yg/yg.html
  └ hxxp://119.xxx.xxx.24/yg/t.html
         └ hxxp://119.xxx.xxx.24/yg/done.swf
  └ hxxp://119.xxx.xxx.24/yg/g.html
  └ hxxp://119.xxx.xxx.24/yg/j.html
  └ hxxp://119.xxx.xxx.24/yg/e.html
         └ hxxp://119.xxx.xxx.24/yg/body.swf
최종파일 : _.exe


 생성파일 정보

C:\WINDOWS\system32\ws2help.dll - 악성파일
C:\WINDOWS\system32\ws2help.dll.(영문+숫자1자리랜덤).tmp - 원본파일
C:\WINDOWS\system32\ws2helpxp.dll - 원본파일




윈도우 시스템 파일인 ws2help.dll 원본을 ws2helpxp.dll 로 백업을 하고 있으며, 최초 감염 시 ws2help.dll.4e.tmp 파일이 임시로 원본파일을 대신하고 있습니다.




또한, 해당 프로세스가 종료된 후 재 실행 되면 ws2helpxp.dll 파일이 원본 파일을 대신하고 있으며, 악성파일인 ws2help.dll 은 iexplorer.exe 프로세스에 삽입되어 계정유출 행위를 하고 있습니다.










 계정유출 관련 사이트

1. 온라인게임
- 한게임
- 피망
- 넥슨
- 엔씨소프트
- 엔도어즈
- 와이디온라인 : 엔돌핀
- 블리자드
- 넷마블

2. 그 외 사이트
- 해피머니








제거 방법

악성코드 제거 방법은 가장 간단하게 전용백신을 통하여 제거를 할 수 있습니다. 안철수연구소 및 하우리에서 전용백신을 제공하고 있으니 해당 프로그램을 다운받아 감염여부를 검사하시면 됩니다. 검사 후 재부팅을 해야 정상적으로 제거가 되며 C:\Windows\system32 폴더 안의 ws2helpxp.dll , ws2help.dll.(영문+숫자1자리랜덤).tmp 파일을 삭제 하시면 됩니다.

안철수연구소 전용백신
하우리 전용백신










국내에서 제작되어져 포털사이트에서 특정 키워드를 검색 시 상단에 광고 툴 바가 생성되며 특정 쇼핑몰 접속 시 광고주 사이트가 새창으로 노출되는 onBar 프로그램에 대하여 살펴보겠습니다.


카스퍼스키 보안제품에서는 Trojan-Downloader.Win32.Adload.cg
ik
명으로 진단하고 있습니다.



생성파일 정보

C:\Program Files\onBar\onbar.zip - 압축파일
C:\Program Files\onBar\onbar.dll - 메모리 상주 / BHO 등록
C:\Program Files\onBar\onuninstall.exe - 프로그램 삭제
C:\Program Files\onBar\onupdate.exe - 시작프로그램 등록



레지스트리 정보

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
="C:\Program Files\onBar\onupdate.exe"

시작프로그램으로 등록이 되어 자동 실행시 버전 확인 후 실행 되도록 하고 있습니다.





onbar.dll 파일이 메모리에 상주하고 있으며, BHO로 등록되어 있는 것을 확인 할 수 있습니다. 





onbar.dll 파일이 메모리에 상주하고 있으며, BHO로 등록되어 있는 것을 확인 할 수 있습니다. 사용자가 인터넷 익스플로러를 실행하여 특정 포털사이트 접속 시 상단 광고 바가 생성되어 다양한 광고를 노출시킵니다.







특정 키워드 검색 시 새창으로 광고 사이트가 추가적으로 팝업되고 있습니다.







제거 방법

[제어판] -> [프로그램 추가/제거] 에서 onBar 를 삭제하시면 됩니다.












19일 카스퍼스키 제품에서 Trojan.Scrip.Iframer 이라는 진단명으로 다수의 컴퓨터에서 감염이 발생되어 확인한 결과 네이버 접속 시 특정 광고를 통하여 감염이 이루어지는 것을 확인하였습니다.

해당 광고가 노출되면 아래와 같은 악성스크립트가 실행이 되어집니다.






AdobeFlashPlayer 취약점을 통하여 감염이 되며 최종 AGS.gif 파일을 다운로드 하여 악성파일을 생성하게 됩니다. AGS.gif 파일은 이미지 파일로 위장하고 있습니다.






 URL 정보
 
hxxp://wap.hell***op.info/a18/my.html?cdkey
   └ hxxp://wap.hell***op.info/a18/new.html?劤壙젬꺄1119
          └ hxxp://wap.hell***op.info/a18/Birthday.swf
   └ hxxp://wap.hell***op.info/a18/fun.htm?莖폭渡괩1119
          └ hxxp://121.78.***.175/Ags/AGS.gif - 최종파일
hxxp://wap.hell***op.info/a18/e.avi


 생성파일 정보

C:\WINDOWS\system32\ws2help.dll - 악성파일
C:\WINDOWS\system32\ws2help.dll.(영문+숫자3자리랜덤).tmp
C:\WINDOWS\system32\ws2helpXP.dll - 원본파일



감염이 되면 원본파일인 ws2help.dll 파일을 다른 이름으로 변경하며 자신이 원본파일인 것처럼 위장하고 있습니다. 또한 iexplorer.exe 프로세스에 로드되어 온라인게임 사이트 및 문화상품권 사이트의 계정을 유출합니다.






iexplorer.exe 에 ws2helpXP.dll 도 같이 로드되어 있으며 아마도 원래의 ws2help.dll 역할을 ws2helpXP.dll 이 처리를 하고 있는 것으로 생각됩니다.




 계정유출 관련 사이트

1. 온라인게임
   - 한게임 : 테라
   - 피망 : 레이시티, 피파온라인
   - 넥슨 : 던파, 엘소드, 바람의나라, 메이플스토리
   - 엔씨소프트 : 리니지
   - 게임하이 : 데카론
   - 블리자드 : 와우
   - 넷마블

2. 그 외 사이트
   - 해피머니
   - 컬쳐랜드





위의 사이트에 로그인을 시도하면 특정 사이트로 계정이 유출되는 것을 확인 할 수 있습니다.





 제거 방법

악성코드 제거 방법은 가장 간단하게 전용백신을 통하여 제거를 할 수 있습니다. 안철수연구소 및 하우리에서 전용백신을 제공하고 있으니 해당 프로그램을 다운받아 감염여부를 검사하시면 됩니다.

안철수연구소 전용백신
하우리 전용백신

 


국내에서 제작되어져 대형 포털 사이트에서 쇼핑 관련 키워드 검색 시 광고성 행위를 통하여 수익을 발생시키는 프로그램인 truepod 에 대하여 살펴보겠습니다.



 악성파일 정보
 

해당 파일은 카스퍼스키 보안제품에서 Trojan-Downloader.Win32.Agent.tmsd 명으로 진단하고 있습니다.

 
 생성파일 정보

C:\Documents and Settings\(사용자계정)\바탕 화면\truepods.exe - 시작프로그램 등록
C:\Documents and Settings\(사용자계정)\바탕 화면\truepod.dll - 메모리 상주 및 BHO 등록



 레지스트리 정보

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
truepodv3="C:\Documents and Settings\(사용자계정)\바탕 화면\truepods.exe"
..(생략)





사용자가 웹브라우져를 실행하면 turepod.dll 이 iexplorer.exe 프로세스에 로드되면서 사용자가 특정키워드를 검색 시 광고성 행위를 수행합니다.










사용자가 옥션 키워드를 검색 후 클릭 시 위 이미지 처럼 광고성 행위를 수행 후에 옥션 페이지로 리다이렉트 하고 있습니다.



또한 인터넷 익스플로러 추가기능 관리에 BHO로 등록이 되어 있습니다.







 제거방법

해당 프로그램은 설치 형태가 아니기 때문에 직접 파일을 찾아 제거해야하는 번거러움이 있습니다. 프로세스가 사용중이기 때문에 삭제가 되지 않기 때문에 안전모드로 부팅하여 삭제하는 방법이 있으나 재부팅이 귀찮으신 분들은 아래 방법으로 제거하시면 됩니다.

1. CMD 창을 띄워 truepod.dll 을 사용하는 프로세스를 확인합니다.




2. Windows 작업관리자에서 해당 프로세스의 PID값을 확인하여 동일한 PID값을 가진 프로세스를 종료합니다. 작업관리자에서 PID를 확인하는 방법은 [보기] --> [열선택] --> [PID(프로세스 식별자)] 란을 체크하여야합니다.





3. 해당 프로세스 종료 후 악성프로그램을 제거합니다.






※ 만약 explorer.exe 프로세스에 truepod.dll 이 로드가 되어 종료하였다면 당황하지 마시고 cmd 창에 explorer.exe 를 입력하시면 정상적으로 화면이 복구됩니다.








 




국내에서 제작되어져 포털사이트에서 특정 키워드를 검색 시 광고주의 사이트가 새창으로 노출되는 스폰서매치 프로그램에 대하여 살펴보겠습니다. 스폰서 프로그램으로 설치가 되어 사용자가 설치 여부를 인지하지 못하는 경우가 많습니다.



 생성파일 정보

C:\Program Files\sponsormatch\sponsormatch.exe - 시작프로그램 등록 / 메모리 상주
C:\Program Files\sponsormatch\sponsormatch_uninstall.exe - 프로그램 삭제



 레지스트리 정보

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
sponsormatch="C:\Program Files\sponsormatch\sponsormatch.exe"


시작프로그램으로 등록이 되어 자동 실행되도록 하고 있으며 sponsorma
tch.exe 파일이 메모리에 상주하여 사용자가 포털사이트 등에서 특정키워드를 입력 시 광고주의 사이트를 노출시킵니다.





 URL 정보

hxxp://api.sponsorkeyword.co.kr/api_search.php?k_encoding=
%EC%BB%B4%ED%93%A8%ED%84%B0&s_engine=search.naver.com&pid=p001

hxxp://api.sponsorkeyword.co.kr/forwarding.php?keycode=141473&sub_idx=&aff_code=p001&ip=x.x.x.x&service_type=
4&linkurl=http%3A%2F%2Fpcshop.dan***.com%2FStandardPC%2Fmain%2FserviceId%2Fsponsorkeyword%26_C_%3D37%26logger_kw%3Dsponsorkeyword226

hxxp://api.sponsorkeyword.co.kr/api_urlclose.php?pid=p001&ip=x.x.x.x&mac_addr=맥주소&domain=www.dan***.com&k_encoding=&fullurl=http://www.dan
***.comcar/?sponsorLink=GNBSponsor%26_C_=37%26logger_kw=sponsorkeyword177

광고주의 사이트를 노출시킴으로 광고대행업체에게 사용자 IP와 MAC 주소를 전송하는 것을 확인 할 수 있습니다.






특정 키워드 검색 시 광고주 홈페이지를 노출시키고 있으며 "자동차" 검색어를 입력 시 자동차 키워드에 해당되는 페이지를 노출시키는 것을 확인 할 수 있습니다. 사용자가 인터넷 사용 시 광고주 홈페이지 노출로 인하여 정상적인 인터넷 사용에 불편을 주고 있습니다.




 제거 방법

[제어판] -> [프로그램 추가/제거] 에서 sponsormatch 를 삭제하시면 됩니다.









 





국내에서 제작되어져 악성파일을 실행 시 개인정보흔적을 제거하는 프로그램을 설치하며 사용자의 유료결제를 유도하는 SmartBoan 프로그램에 대하여 살펴보도록 하겠습니다.


실행파일 정보




 URL 정보

hxxp://update.zone****.co.kr/updater/popfile.exe
hxxp://momocell.com/log/install.php?mac=맥주소&code=000A



 생성파일 정보

C:\Documents and Settings\(사용자계정)\Application Data\popfile.exe - 시작프로그램 등록
C:\Documents and Settings\(사용자계정)\바탕 화면\00.bat - 설치 후 poploader.exe 파일 삭제



 레지스트리 정보

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
popfile="C:\Documents and Settings\Administrator\Application Data\popfile.exe"
[HKCU\Software\popFile]
version="1.00"


poploader.exe 실행 시 popfile.exe 파일을 다운로드하며 popfile.exe를 실행하여 사용자 PC의 Mac 주소와 코드정보를 momocell.com 사이트로 전달한 후 종료됩니다. 설치정보를 전달하여 배포자에게 금전적 수익이 발생될 것으로 추정됩니다. 또한 윈도우 재시작시에도 동일한 동작을 수행 후 종료됩니다.




추가적인 동작은 하지 않았으나 popfile.exe 파일을 살펴보면 원격서버로 부터 1021.exe 파일을 다운받아 자동 설치 되도록 하고 있습니다.





    추가 설치 프로그램 (1021.exe)



SmartBoan 이란 프로그램으로 컴퓨터의 사용흔적 및 사생활 보호를 목적으로 만들어진 프로그램입니다. 또한 삭제 시 결제를 유도하고 있으며 별도의 해지신청이 없을 경우 자동으로 연장되도록 하여 추가결제를 유도하고 있습니다.






생성파일 정보

C:\Program Files\SmartBoan\SmartBoan.exe
C:\Program Files\SmartBoan\SmartBoancfg.exe
C:\Program Files\SmartBoan\SmartBoanMon.exe
C:\Program Files\SmartBoan\uninst.exe



레지스트리 정보

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
SmartBoan="C:\Program Files\SmartBoan\SmartBoan.exe"

시작프로그램으로 등록되어 재부팅 시 자동 시작되며 자동검사하여 결제를 유도하고 있으며 프로그램 종료시에도 결제를 하도록 하여 사용자의 불편을 주고 있습니다.





사생활 보호랍시고 검사한 항목이 정말 가~~관 입니다. 브라우져 옵션에서 클릭 한 번이면 삭제되는 걸 가지고 유료 결제를 하라고 하네요..뭐 이런 개XXX 같은 프로그램이 다 있을까요..






 제거방법

SmartBoan 프로그램만 삭제하면 재부팅 시 popfile.exe 파일로 인하여 재설치가 되므로 전부 삭제를 하셔야 합니다.

1. popfile.exe 제거
C:\Documents and Settings\(사용자계정)\Application Data\ 폴더로 이동 후 popfile.exe 파일을 제거하시면 됩니다.


2. SmartBoan 제거
[제어판] -> [프로그램 추가/제거] 에서 SmartBoan 프로그램을 삭제하시면 됩니다.





 




국내에서 제작되었으며 인터넷 중독 예방을 목적으로 안전한 인터넷 사용을 위한 안전지대 프로그램에 대하여 살펴보겠습니다.

스폰서 프로그램으로 설치가 되어져 유해프로그램일 꺼라 생각하고 분석했는데 까보니 그렇게 유해하진 않더라구요.. 포스팅 할까 망설였는데 투자한 시간이 아까워 속성으로 포스팅 합니다 ㅋ

오리지날 프로그램이랑 스폰서 프로그램으로 설치되는 차이점은 시작프로그램으로 등록이 되나 안되나 그 차이 밖에 없습니다.


 생성파일 정보

C:\Program Files\STerra - 디렉토리 (속성:숨김)
C:\Program Files\STerra\SafeTerra.exe  - 메모리 상주
C:\Program Files\STerra\SafeTerraUpdate.exe  - 시작 프로그램
C:\Program Files\STerra\STUninstall.exe  - 삭제 프로그램
C:\Program Files\STerra\TerraInfo.STR



 레지스트리 생성정보

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
Safeterra="C:\Program Files\STerra\SafeTerraUpdate.exe"





해당 프로그램이 설치되면 SafeTerra.exe 가 메모리에 상주하고 있습니다.







혹시 검색도우미랑 비슷하지 않을까 해서 쇼핑몰 사이트에 접속했더니 역시나 광고창이 하나 뜨더군요.. 근데 더 이상 안뜹니다. ㅡㅡㅋ 재부팅해도 안뜨는걸 보니 최초 설치 후에 한 번 띄우는 것 같네요..







그래서 그냥 프로그램이나 살펴보기로 했습니다. 아래는 메인화면입니다.




참고로 직접 실행하지 않는 이상 위 화면은 죽어도 못 봅니다. 그리고 스폰서로 설치가 되었다면 시작프로그램으로 등록이 되지않기 때문에 설치 폴더를 찾아야 하며 숨김으로 되어 있어 폴더옵션에서 보기항목을 설정해야합니다.

저는 무슨 꼼수가 있어서 폴더를 숨겨놨을꺼라고 생각했는데 프로그램을 살펴보니 숨겨놓지 않으면 안되는 이유가 있더라구요.. 자녀들의 컴퓨터 사용을 감시하기 위한 프로그램인데 잠김기능이 없어~!!! ㅡㅡㅋ 감시해놔도 프로그램 실행해서 끄면 끝이더군요 ㅋㅋ 그래서 잘 찾지 못하도록 숨겨놓지 않았나 생각해봅니다. 근데 오리지날은 시작프로그램으로 등록되기 때문에 쉽게 실행할 수가 있어요.. 차라리 스폰서 프로그램이 낫다는..ㅡㅡㅋ

어쨌건 유해사이트 차단 기능 / 프로그램 차단 기능 / 컴퓨터 사용 시간 설정 등등.. 여러가지 기능이 있습니다. 유해사이트 차단 기능을 잠깐 테스트 해봤는데 어설프긴 하지만 차단은 되는군요.. 차단페이지가 404 에러가 뜨는것 빼고 초보자가 사용하기에는 무난한 프로그램인거 같습니다.





 삭제방법

그래도 혹여나 몰래 설치가 되어 매우 기분이 안좋으신 분들은 [제어판] -> [프로그램 추가/제거] 에서 해당 프로그램을 삭제하시면 됩니다.









 




국내에서 제작되어진 검색도우미 프로그램으로 국내 포털사이트 및 쇼핑사이트에서 특정 검색어를 입력시 해당 웹사이트 팝업창을 띄우는 adm-mgr 프로그램에 대하여 살펴보겠습니다.


 생성파일 정보

C:\Program Files\Addendum
C:\Program Files\Addendum\admmgr.exe  - 메모리 상주
C:\Program Files\Addendum\admrup.exe  - 시작프로그램
C:\Program Files\Addendum\iesb_nm.dll
C:\Program Files\Addendum\iesm_nm.dll  - BHO 등록
C:\Program Files\Addendum\uninstall.exe  - 프로그램 삭제



 레지스트리 정보

"HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"
C:\Program Files\Addendum\admrup.exe


재부팅 시 자동실행 되도록 동작하고 있습니다. 해당 프로그램이 설치가 되면 admmgr.exe 파일이 메모리에 상주하고 있습니다.




admmgr.exe 프로세스는 iexplorer.exe 프로세스를 감지하고 있으며 사용자가 웹 브라우저를 시작 시 iexplorer.exe 프로세스에 iesm_nm.dll 을 로드하여 BHO 등록을 하도록 동작합니다.





웹 브라우저 추가기능 관리 확인 시 iesm_nm.dll 이 등록되어 있으며 브라우저 확장 형식으로 옥션 바로가기가 등록이 되어 웹 브라우저 도구모음에 옥션이 등록되어 있는 것을 확인할 수 있습니다.






사용자가 인터넷 검색창에 특정 키워드를 입력 시 관련 사이트를 새창으로 사용자에게 보여주기 전 광고와 관련된 url을 먼저 수행한 후 해당 사이트로 리다이렉션 하는 동작을 합니다. 이러한 방식은 광고 클릭 시 발생하는 수익의 일부를 광고 계시자에게 주는 형태로 되어 있으며 대부분 온라인 광고들이 이러한 수익구조로 되어있습니다. 







 제거방법

프로그램 사용을 원치 않으시면 제어판 -> 프로그램 추가/제거 에서 해당 프로그램을 삭제하시면 됩니다. 설치된 프로그램명은 Addendum - NM 로 되어 있습니다.