국내에서 제작되어진 검색도우미 프로그램으로 주소창에 검색어를 입력시 해당 페이지로 이동하도록 하는 QuickDomainSearch 프로그램에 대하여 살펴보겠습니다.


 생성파일 정보

C:\Program Files\QuickDomainSearch
C:\Program Files\QuickDomainSearch\001.dat
C:\Program Files\QuickDomainSearch\002.dat
C:\Program Files\QuickDomainSearch\ar.dat
C:\Program Files\QuickDomainSearch\QuickDomainSearch.exe



 레지스트리 정보

"HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"
C:\Program Files\QuickDomainSearch\QuickDomainSearch.exe


재부팅 시 자동실행 되도록 동작하고 있습니다. 해당 프로그램이 설치가 되면 QuickDomainSearch.exe 파일이 프로세스에 상주하고 있습니다.






사용자가 인터넷 주소창에 특정 키워드를 입력 시 해당 키워드와 관련 된 광고 url으로 접속 후 해당 페이지로 리다이렉션 하는 동작을 합니다. 이러한 방식은 광고 계시자에게 커미션이 발생하는 구조로 되어 있으며 대부분 온라인 광고들이 이러한 수익구조로 되어있습니다.





 제거방법

프로그램 사용을 원치 않으시면 제어판 -> 프로그램 추가/제거 에서 해당 프로그램을 삭제하시면 됩니다. 설치된 프로그램명은 QuickAddressSearch 로 되어 있습니다.









국내 온라인 게임 계정 탈취 목적인 VSLay.dll 악성파일에 대하여 살펴보겠습니다. 해당 악성코드는 변조된 사이트를 통해서 감염된 것으로 추정되며 아마도 Adobe Flash Player 취약점을 이용했을 가능성이 높지 않을까 싶네요..저는 샘플만 가지고 있어 정확한 감염 경로는 확인하지 못했습니다.

카스퍼스키 보안제품에서는 Rootkit.Win32.Agent.bnhw 진단명으로 탐지하고 있습니다.

동적분석을 위해 iexplorer.exe 프로세스에 dll을 삽입한 후 동작여부를 확인 해 보았습니다.
VSLay.dll 이 로드되면서 여러가지 파일들이 생성되며 국내 보안제품인 V3Lite, 알약, 네이버백신, 바이러스체이서 등이 설치되어 있는지 확인 하는 것으로 보아 정상적인 사용을 방해 하는 것으로 추정됩니다.


저는 카스퍼스키 제품을 사용중인데 악성코드에 감염이 되면 실시간 감시를 방해하고 있는 것을 확인할 수 있습니다.



 생성파일 정보

C:\Windows\midisappe.dll
C:\Windows\image.jpg
C:\Windows\ver.dat
C:\Windows\wallball.dat
C:\Windows\windowswalls.bmp - 숨김파일

C:\Windows\tasks\midisappe.dat - 루트킷
C:\Windows\tasks\nrfsny.dat - 루트킷
C:\Windows\tasks\ahnsvr.dat - 루트킷

C:\Windows\system32\midisappe.dll
C:\Windows\system32\drivers\ahnsvr.sys - 루트킷
C:\Windows\system32\drivers\ntfsny.sys - 루트킷


 레지스트리 정보

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ahnsvr]


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ntgsny]



midisappe.dll 파일은 explorer.exe 및 iexplorer.exe 외 다수의 프로세스에 로드 되어 있으며 정상적인 midimap.dll(Microsoft MIDI Mapper) 파일인 것처럼 위장하고 있습니다.



iexplorer.exe 를 감시하여 사용자가 넥슨, 피망, 한게임, 엔씨소프트, 넷마블등 국내 온라인 게임 사이트 접속 시 해커의 서버로 사용자의 계정을 탈취하고 있습니다. IP추적 결과 해커서버의 위치는 홍콩으로 확인 됩니다.





 악성파일 제거 방법

루트킷은 커널단에서 실행이 되기 때문에 탐색기에서 보여지지 않기 때문에 설치된 악성파일들을 제거하기 위해서는 루트킷 툴을 이용하여야 합니다. 프리웨어 툴인 GMER 을 다운받아 실행하시면 됩니다.

▶ GMER 다운받기

해당 툴을 실행하면 자동으로 스캔을 시작하며 루트킷이 발견되면 전체 스캔을 하라는 알림창이 뜨는데 시간이 오래걸리므로 무시하시고 [Services, Files] 항목만 체크하여 스캔을 합니다. 스캔이 완료되면 해당 항목을 클릭하여 삭제하시면 됩니다. 나머지 파일은 해당 위치에서 삭제하시면 되고 숨김파일이 있으므로 폴더옵션에서 [숨김파일 및 폴더 표시]에 체크하여야 합니다. 악성파일 제거 후 바이러스 검사를 꼭 하시기 바랍니다.


 







지난 번 디스크매니아와 알약코리아 사이트에 대하여 포스팅 하였는데 혹시나 하고 다시 들어가보니 다른 사이트로 리다이렉션 하더군요..ㅡㅡㅋ 새로운 이름으로 서버를 추가했습니다.

사이트를 검색 해보니 기존 파일공유 사이트인 쿡파일과 이름이 비슷합니다.. 아무래도 계속 이름을 바꾸어 서비스할 것 같다는 생각이 문득 드네요.. 아니면 알약에서 뭐라고 했나..ㅋ
어쨌든 기록용으로 남겨봅니다.

자세한 내용은 아래 링크를 클릭하셔서 보시면 됩니다.

[정보] 디스크매니아, 알약코리아에서 제공하는 프로그램 설치 시 주의할 점


해당 사이트는 알약코리아 사이트 대신 파일쿡이란 이름으로 바뀌었으며 알약코리아 접속 시 리다이렉션 됩니다. 사이트를 보면 로그만 바뀌고 전부 전 사이트와 동일합니다.










국내에서 만들어진 악성코드 치료 프로그램인 비즈백신 (BizVaccine)에 대하여 살펴보겠습니다. 테스트 프로그램은 비즈백신 사이트에서 배포하는 파일이 아닌 제휴업체에서 배포하는 프로그램으로 작성하였습니다.



- 제휴사에서 배포중인 설치 파일 (top는 제휴사 ID로 추정됨, 정상파일시 ID는 bizvaccine임)



해당파일은 카스퍼스키 보안제품에서 Trojan.Win32.FakeAV.emgs 진단명으로 진단하고 있습니다.


정상적인 설치 파일과는 다르게 설치 과정이 사용자에게 보여지지 않는 것으로 보아 다른 프로그램 설치 시 제휴 프로그램으로 설치가 될 것으로 예상이 됩니다.



  URL 정보

hxxp://www.bizvaccine.co.kr/APP/pf_ck.php?v1=top (제휴사이름으로 추정)
hxxp://www.bizvaccine.co.kr/etc/yak_app.htm  - (이용약관페이지)
hxxp://www.bizvaccine.co.kr/dbk.php
hxxp://www.bizvaccine.co.kr/mbk.php?v1=top&v2=(사용자 MAC Address)
hxxp://www.bizvaccine.co.kr/value.php?strMode=setup&strID=top&strPC=(사용자 MAC Address)|&strSite=bizvaccine.co.kr

upstat.bizvaccine.co.kr/APP/ck_setup.php?m=(사용자 MAC Address)&d=bizvaccine.co.kr&a=top

 - 업데이트 다운로드 파일
hxxp://update.bizvaccine.co.kr/version/version
hxxp://update.bizvaccine.co.kr/version/bina/bizvaccineu.exe
hxxp://update.bizvaccine.co.kr/version/bina/bizvaccine.exe
hxxp://update.bizvaccine.co.kr/version/bina/bizvaccined.dll
hxxp://update.bizvaccine.co.kr/version/bina/uninst_bizvaccine.exe
hxxp://update.bizvaccine.co.kr/version/bina/bizvaccinestart.exe
hxxp://update.bizvaccine.co.kr/version/bina/EGutil.dll




  생성파일 / 폴더

C:\Program Files\bizvaccine
C:\Program Files\bizvaccine\bizvaccine.exe (프로그램실행파일)
C:\Program Files\bizvaccine\bizvaccined.dll
C:\Program Files\bizvaccine\bizvaccinestart.exe (프로세스 상주 파일)
C:\Program Files\bizvaccine\bizvaccineu.exe (업데이트파일)
C:\Program Files\bizvaccine\EGutil.dll
C:\Program Files\bizvaccine\uninst_bizvaccine.exe (프로그램삭제파일)
C:\Documents and Settings\All Users\시작 메뉴\프로그램\bizvaccine
C:\Documents and Settings\All Users\시작 메뉴\프로그램\bizvaccine\bizvaccine.lnk



  생성레지스트리

[HKCU\Software\Microsoft\Internet Explorer]
"bizvaccine_top"=1

[HKLM\SOFTWARE\bizvaccine] 
"code1"=top

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"bizvaccine main"="C:\Program Files\bizvaccine\bizvaccineu.exe /8L"
"bizvaccinestart.exe"="C:\Program Files\bizvaccine\bizvaccinestart.exe"

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\bizvaccine]
"UninstallString"=C:\Program Files\bizvaccine\uninst_bizvaccine.exe




제휴사에서 배포하는 프로그램은 설치여부를 사용자가 인지하지 못하도록 하기위해 설치 후 실행되지 않고 재부팅 후에 실행되도록 동작합니다. 프로그램 옵션에 윈도우 시작시 실행되도록 체크가 되어 있으며 정상적인 파일은 기본적으로 체크가 해제 되어 있습니다.

 





또한 시작 프로그램으로 등록이 된 PC는 윈도우 재부팅 시 악성코드 검사가 이루어집니다. 사용자가 환경설정에서 [윈도우 부팅시 실행] 체크를 해제 하기 전까지 매 부팅시마다 검사가 이루어져 사용자에게 불편을 주고 있습니다.




검사 후 악성코드가 발견이 되면 치료를 위한 결제창이 띄워지며 결제 시 악성코드를 치료하도록 되어 있습니다. 결제 후 사용자의 별도 해지 요청이 없을 시 자동 연장되기 때문에 사용자의 주의가 필요합니다.





  프로그램 삭제 방법
해당 프로그램을 사용하길 원치 않으신 분들은 [제어판] --> [프로그램추가/제거] 에서 해당 목록을 삭제하시면 됩니다.













 
국내에서 제작되어졌으며 특정 사이트 접속 시 Internet Explorer 웹 브라우저 상단에 검색바(bar)가 생성되는 검색도우미 FineTop 프로그램에 대하여 살펴 보겠습니다.




 생성파일 정보

C:\Program Files\FineTop
C:\Program Files\FineTop\1
C:\Program Files\FineTop\FineTop.dll - BHO 등록
C:\Program Files\FineTop\FineTop.exe - 시작 프로그램 및 메모리 상주
C:\Program Files\FineTop\Uninstall.exe - 프로그램 삭제



 레지스트리 등록 정보
 
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
FineTop="C:\Program Files\FineTop\FineTop.exe"

 
 
 

 
프로그램이 설치가 되면 실행파일인 FineTop.exe 프로세스란 이름으로 상주하며 레지스트리에 등록되어 시작시 자동 실행되며 업데이트를 체크하고 있습니다.







사용자가 Internet Explorer 실행 시 FineTop.dll 이 로드되어 동작하며 특정 키워드 검색 시 웹 브라우저 상단에 검색바가 나타납니다.









[웹 브라우저 -> 도구 -> 추가기능관리] 에서 FineTop.dll 이 BHO 형식으로 로드되어 있는 것을 확인할 수 있습니다.






 제거방법

해당 프로그램을 사용하기 원치 않으시는 분들은 [제어판 --> 프로그램 추가/제거] 에서 FineTop 항목을 제거하시면 됩니다.







대부분의 악성코드 제작자들은 자기가 만든 코드들이 오래동안 사용되어져 많은 사용자들에게 감염이 되도록 하는게 목적입니다. 만약 코드를 누구나 알아보기 쉽게 만들었다면 금방 차단되어지고 말겠죠.. 그래서 악성코드 제작자들은 최대한 분석이 어렵도록 하기위해 여러가지 방식의 인코딩을 하게 되는겁니다.

난독화 된 코드를 분석하는 방법도 여러가지가 있지만 필자는 간단하게 <textarea>태그를 이용하여 확인 해보는 방법을 알려드리겠습니다.
사실 저도 잊어먹지 않기 위해서 포스팅하는 것도 있구요.. ^^




우선 테스트를 위해 준비한 코드를 한 번 보겠습니다.
우측에 스크롤바를 한 번 보시죠.. 스크롤 압박이 장난 아닙니다.







맨 아래 코드입니다. 보시는 것처럼 위의 iframe_str 변수를 받아서 출력하도록 되어 있습니다. 지저분한 코드를 좀 깔끔(?)하게 만들었습니다. 자~ 여기서 document.write 대신 alert 을 이용하여 해당 코드를 확인할 수 있습니다.
 




alert 를 이용하여 코드를 확인 시 스크롤 압박으로 인해 밑의 화면이 짤렸습니다.
                           






즉, 코드가 길 경우에는 alert 로 확인이 어려운 부분이 있습니다. 그래서 <textarea> 태그를 사용하게 되면 아무리 긴 코드라도 쉽게 확인 할 수가 있습니다. 다시<textarea> 태그를 사용하여 코드를 바꿔보았습니다.

사용 예시)
document.write ("<textarea rows=20 cols=100>" + (변수값) + "</textarea>");



                     
위의 코드를 실행 시 아래와 같이 쉽게 코드를 확인할 수가 있습니다. 코드길이에 따라서 alert 이나 <textarea> 태그를 적절히 사용하면 되겠습니다.






프리웨어 무료 자료실 사이트인 디스크매니아와 알약코리아에 대하여 살펴보도록 하겠습니다.

여기서 제공하는 자료를 다운받아 설치 시 해당사이트와 제휴하는 프로그램들이
사용자가 원치 않게 설치될 수 있어 설치 시 사용자의 주의가 필요합니다.


우선 위 두 사이트를 비교해보면 도메인과 로고이미지만 다르고 메인 페이지는 같은 동일 서버로 확인이 됩니다.



해당 설치 프로그램을 다운받아 보겠습니다. 테스트를 위해 아무거나 다운 받아봅니다.



정상적인 설치파일 처럼 보입니다.
해당 파일을 실행해보면 정상적인 실행파일이 아닌 다운로드 매니저 파일임을 알 수 있습니다.



여기서 사용자들이 주의 하셔야 할 부분인데 바로 전송시작을 클릭 할 경우 오른쪽 하단의 제휴 프로그램들이
사용자의 동의 없이 설치가 될 수 있으며 시작 페이지가 변경이 됩니다.


설치되는 검색도우미들은 다음과 같습니다.

- 이지온 검색도우미
- 쇼핑도우미 위즈서치
- 검색도우미 WallTab
- 야후 시작페이지 설정



:: 복구 방법 ::

사용자 실수로 해당 프로그램들이 설치가 되었다면
[제어판 --> 프로그램 추가/제거] 에서 확인 후 삭제하시면 됩니다.





시작페이지 변경은
[인터넷 익스플로러 --> 도구 --> 인터넷옵션] 에서 변경할 주소를 입력 후 확인을 클릭하시면 됩니다.
















이 번 포스트는 유니코드를 사용하여 사용자의 눈속임을 통한 악성파일 실행을 유도하는
공격방법에 대하여 살펴보겠습니다.

유니코드를 이용한 공격은 2005년경 부터 사용되어져 왔으며 최근 이메일 피싱에 자주 사용이
되어 많이 알려진 것 같습니다.

유니코드란 한 마디로 표현하면 "모든 문자를 표현하는 문자셋" 입니다.
각 나라마다 고유의 필요한 문자들이 있는데 컴퓨터는 이러한 것들을 표현하지 못합니다.

그렇기 때문에 참조할 것이 필요한데 바로 "참조" 할 것이 문자셋이라 생각 하시면 됩니다.
그래서 컴퓨터마다 Character map 이란 문자표가 있는 것이지요.




피싱에 사용되어진 유니코드는 U+202E (Right-To-Left-Override) 으로 확장자를 다른 형태로
보이도록 하여 사용자의 눈속임을 통한 악성코드 파일실행이 목적이 되겠습니다.


http://www.fileformat.info/info/unicode/char/202e/index.htm


악성코드 실행파일이 예전엔 대부분 EXE 형태의 확장자로 유포가 되다보니 지금은 사용자들의 눈에
익숙해져 쉽게 실행하지 않게 되죠.. 그래서 악성코드 제작자들도 다양한 방식으로 실행을 유도 하도록
고심한 흔적이 역력합니다.



대부분 이메일을 통하여 악성파일이 유포되고 있으며 .ZIP 형태의 압축파일을 첨부하여 다운로드
하도록 하고 있습니다. 또한 이와 같은 Invoice 내용의 피싱공격이 다수 보고 되고 있습니다.





해당 압축파일을 확인해보면 확장자가 .DOC (MS워드문서파일) 처럼 보이지만 실제로는
.EXE 형태의 실행파일로 되어 있으며 사용자가 문서파일로 착각하도록 하여 실행을 유도하고 있습니다.





파일의 속성을 확인하면 .DOC 문서파일이 아닌 응용프로그램(.exe)으로 확인이 됩니다.
아이콘도 실제 문서파일과 동일하게 바꾸어 사용자가 쉽게 알아차리지 못하도록 하고 있습니다.






해당 파일을 콘솔에서 확인 해보면 실제 .doc 파일이 아닌 cod.exe로 표시가 되는 것을
확인할 수 있습니다.

즉, 윈도우NT 이 후의 버전에서는 유니코드를 사용하여 문자를 표시하기 때문에 확장자를
정상적으로 보여주지 못하는 것입니다.




그럼 어느 부분에 유니코드가 사용되었는지 Hex Editor로 살펴보겠습니다.



_Coll 문자열 다음에 알 수 없는 문자값 E2 80 AE 값이 들어가 있네요.

해당 유니코드가 삽입되면 글자를 오른쪽에서 왼쪽으로 입력할 수가 있어 .exe .src 등
실행파일 확장자를 문서파일등 공격자가 원하는 확장자로 쉽게 변경을 할 수 있습니다.

대부분 글씨를 쓸 때 왼쪽에서 부터 시작하지만 오른쪽에서 부터 시작하는 나라도 있기 때문에
이러한 유니코드가 사용되어지고 있습니다.

저도 가끔 해킹 관련 동영상을 볼 때 메모장에다 오른쪽에서 부터 쓰는 것을 본 적이 있는거 같네요.
어쨌든 위의 방식을 사용하면 어떠한 확장자로도 다 표현할 수 있기 때문에 사용자의 각별한주의가 필요합니다.



참고로 약간의 팁을 드리자면 저도 테스트 하면서 알게 되었는데 이러한 형태의 악성코드가
대부분 .zip 파일 형태로 배포가 되고 있으며 특정 압축 프로그램에서는 문자열 오류로 인하여
압축이 풀리지 않는 것을 확인 하였습니다. (zip 압축파일 형태에만 해당됩니다.)

 - 테스트 프로그램

1. 알집     --> 압축해제 됨
2. 반디집  --> 압축해제 됨
3. 7zip     --> 압축해제 됨
4. 빵집   --> 압축해제 되지않음
5. 윈도우 압축(zip)폴더 --> 압축해제 되지않음

  ※ 단, 7z 으로 압축이 되어있을 경우는 빵집 프로그램에서도
     압축해제가 되기 때문에 잘 살펴 보시길 바랍니다.

어떠한 파일이든 압축을 풀기 전 바.이.러.스. 검사를 꼭! 하시기 바랍니다.








최근에 Adobe Flash Player 취약점 (CVE-2011-2110)을 이용한 악성코드가 유포되고 있습니다.
해당 취약점은 10.3.181.23 버전 이하 사용 시 감염이 이루어 집니다.

배포중인 사이트는 축구관련 사이트로 제로보드xe를 이용하여 제작한 웹페이지며
제로보드의 취약점을 이용하여 웹사이트 변조 후 악성스크립트를 업로드 한 것으로 확인됩니다.
메인페이지 접속 시 악성코드에 감염이 되며 현재에도 해당 취약점을 이용한 악성코드가 유포중입니다.

 - 악성코드 유포경로

  hxxp://www.******mania.com/xe/modules/addon/tpl/js/tpl.js
      └ hxxp://markopc**.com/files/out.htm
              └ hxxp://markopc**.com/files/main.swf

      └ hxxp://www.delp**.co.kr/files/analytics.html
              └ hxxp://js.users.51***.la/5359042.js
                       └ hxxp://www.51***.la/?5359042


위의 내용을 살표보면 해당 사이트의 tpl.js 스크립트 내부에 악성 iframe 을 추가하여 "out.htm" 파일에 포함된
"main.swf?info=" 를 호출하며 CVE-2011-2110 취약점을 이용하여 Flash Player 버전이 10.3.181.23 이하일 경우
감염이 이루어 집니다.



호출된 플래시 파일을 통해 특정 웹 사이트에서 파일을 다운로드 하도록 설정되어 있습니다.


해당 파일이 실행이 되면 윈도우 임시폴더에 svchost.exe 파일을 생성하고 cmd.exe 명령을 이용하여
_Taskkill_Name_.bat 파일을 실행하여 explorer.exe 프로세스를 죽이고 다시 생성하여 cmd.exe 프로세스의
자식 프로세스로 등록합니다. 해당 작업이 끝나면 _Delete_Me_.bat 를 실행하여 생성파일과 자신을 삭제합니다.






또, 윈도우 시스템 관련 파일인 xpsp2res.dll 을 Windows 디렉토리에 생성을 하여 explorer.exe 프로세스에
삽입이 됩니다.


 - 생성파일
  1. C:\Windows\xpsp2res.dll




위의 파일이 악성파일이며 아래의 정상적인 파일과 중복되어 사용되고 있습니다.

정상적인 파일의 위치는 c:\Windows\system32\ 디렉토리 안에 있으나
악성파일은 c:\Windows\ 디렉토리에 생성이 됩니다.





xpsp2res.dll 의 내용을 살펴보면 특정 사이트로 컴퓨터이름과 사용자계정 그리고 IP를 전달합니다.




해당 취약점은 보안제품인 카스퍼스케에서는 Exploit.SWF.CVE-2011-2110.a 진단명으로 진단하고 있습니다.


- 복구방법
  1. 관련 프로세스를 종료 (cmd.exe  explorer.exe)를 종료
  2. c:\Windows\xpsp2res.dll 파일 삭제 후 재부팅


해당 취약점을 악용한 사례가 지속적으로 발생하고 있으며 감염을 예방하기 위해서는 해당 취약점을 보완한
최신 버전으로 업데이트
하는 것이 중요합니다.

Adobe Flash Player 최신버전 업데이트









국내에서 제작되어진 검색도우미 프로그램으로 인터넷 검색 시 좌측 사이드에 광고바가 생성되는
검색 도우미 GuideOn 에 대하여 살펴보도록 하겠습니다.


 [실행 파일명]



해당 파일은 카스퍼스키 보안제품에서 Trojan-Downloader.Win32.Adload.apfh 진단명으로 진단하고 있습니다.



해당 파일 구조를 확인하기 위해 PEID로 보니 UPX 로 패킹이 되어 있었습니다.






파일 내부를 살펴보니 해당 파일은 설치파일을 다운로드 후 자신은 삭제가 되도록 하여
사용자가 설치여부를 확인할 수 없도록 동작을 하고 있습니다.

다음은 파일내용의 일부입니다.



시스템루트에 DelUS.bat 배치 파일를 생성하여 실행 후 삭제되도록 하며
마지막으로 자신을 삭제하도록 동작합니다.


또, 아래와 같이 해당 서버에 접속하여 GuideOn_GO45.exe 를 다운받아 사용자 PC에 설치가 됩니다.





다운받은 GuideOn_GO45.exe 파일은 실제 사이드바를 설치하는 실행파일입니다.


 [생성 파일]
  C:\Program Files\GuideOn\elist.ini                 사이드바 생성 리스트 키워드
  C:\Program Files\GuideOn\GuideOn.dll           BHO등록 파일
  C:\Program Files\GuideOn\GuideOn.exe         시작프로그램 및 메모리상주
  C:\Program Files\GuideOn\uninstall.exe



인터넷 익스플로러 실행 시 GuideOn.dll 파일을 로드하여 감시하는 사이트에 접속하게 되면 사이드바를
보여지도록 합니다.




프로세스 정보를 보면 GuideOn.exe 가 메모리에 상주하여 사용자가 인터넷 익스플로러를 실행 시
iexplorer.exe에 GuideOn.dll 이 삽입되어 BHO 방식으로 동작을 합니다.





감시하는 사이트 접속 시 사이드바가 생성됩니다.






 [사이드바 생성하는 사이트 리스트]

  auction
  gmarket
  interpark
  dnshop
  cjmall
  gseshop
  shinsegae
  lotte
  hmall
  lotteimall
  samsungmall
  zeromarket
  nseshop
  yeoin
  ddm
  mple
  gsestore
  danawa
  enuri
  lotteshopping

약 20개 정도 사이트에 대하여 감시하고 있으며, 대부분 쇼핑몰 사이트로 사용자가 키워드를 클릭하게 되면
광고업체에 금전적인 수익이 발생할 것으로 예상됩니다.





시작 시 자동실행 되도록 레지스트리에 등록되어 집니다.




해당 프로그램은 [프로그램 추가/제거]에서 삭제가 가능합니다.














국내에서 제작된 검색키워드광고 프로그램으로 특정 키워드 입력 시 플래시 팝업광고와 해당 업체 홈페이지를 띄워
광고주로부터 수익을 내는 방식의 프로그램이며 해당 프로그램에 대해 한 번 살펴보도록 하겠습니다.



어떠한 경로로 실행이 되는지 알 수는 없으나 해당 파일이 실행된 후 
자신은 삭제가 되도록 하여 사용자가 설치여부를 확인할 수 없도록 합니다.





카스퍼스키 보안제품에서는 HEUR:Trojan.Win32.Generic 진단명으로 진단하고 있습니다.



dktemp.exe 프로세스를 띄워 업데이트 파일과 DirectKeyword2.exe 파일을 다운받으며 DirectKeyword2.exe
프로세스를 메모리에 상주시켜 검색엔진을 주기적으로 확인하여 특정 키워드 입력 시 광고와 해당 업체 홈페이지를
생성하도록 하는 역할을 합니다.








해당 프로그램은 [C:\Documents and Settings\(사용자 계정)\Application Data\DirectKeyword2]
폴더에 파일을 생성하며, 윈도우 시작시 DirectKeyword2.exe 파일을 시작 프로그램으로 등록하여 자동 실행되도록
구성되어 있습니다.

[생성파일 / 폴더]

  - C:\Docum...\(사용자 계정)\Applic...\DirectKeyword2
  - C:\Docum...\(사용자 계정)\Applic...\DirectKeyword2\dktemp.exe (프로그램 다운로드)
  - C:\Docum...\(사용자 계정)\Local ...\Tempo...\Cont...\(랜덤폴더명)\DirectKeyword2_1107130.zip (업데이트 파일 및 사용자 정보 전송)
  - C:\Docum...\(사용자 계정)\Applic...\DirectKeyword2\Directkeyword2.exe (메모리 상주 프로그램)
  - C:\Docum...\(사용자 계정)\Local ...\Temporary Int...\Content.IE5\(랜덤폴더명)\install2.htm
  - C:\Docum...\(사용자 계정)\Local ...\Temp...\Cont...\(랜덤폴더명)\SetActiveCount_new.htm

 




자동시작을 위해 레지스트리에 DirectKeyword2.exe 파일이 등록 되어 있는 것을 확인할 수 있습니다.

[레지스트리 등록 정보]

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
 - DirectKeyword2 "C:\Documents and Settings\Administrator\Application Data\DirectKeyword2\DirectKeyword2.exe"

[HKCU\Software\GOMSEK.COM\DirectKeyword2]
 - Owner "admin"
 - Version "1107130"





해당 프로그램은 다른 검색 도우미와 다르게 툴바 및 사이드바 형식이 아니기 때문에 인터넷창을 띄워도
사용자는 아무런 변화를 느낄 수가 없으나 해당 키워드가 입력이 되면 플래시 팝업창 또는 업체 사이트를 생성해
사용자의 불편을 주고 있습니다.








[검색엔진 정보]
 
  paran.com             google.co.kr              google.com                
  daum.net               naver.com                 nate.com      
  empas.com           kr.yahoo.com             hanafos.com   
  freechal.com         dreamwiz.com           msn.com
  korea.com            auction.co.kr



해당 방식이 타 검색도우미와 비교하였을 때 나쁘지 않는 방식이긴하나 대부분의 검색도우미가 그렇듯
사용자의 동의를 구하지 않고 설치가 되는것이 문제여서 이러한 부분이 사용자기 느끼기에 컴퓨터가
이상해졌다.. 바이러스에 걸린것 같다..라고 생각할 수 밖에 없을 것 같습니다.
또한 팝업 띄우는 웹페이지가 악성코드에 감염이 되어 있으면 원치않게 감염이 될 수 있어
추가 피해가 발생할 수 있는 여지가 있습니다.
해당 업체에서는 이러한 부분도 신경을 써야 하지 않을까 생각이 됩니다.



사용을 원치않으시는 분은 [제어판 -> 프로그램 추가/제거]에서 해당 프로그램을 삭제할 수 있습니다.










해당 악성코드는 정상적인 js파일인 것처럼 위장하여 홈페이지에 삽입이 되어 있습니다.




해킹 된 사이트에 접속하게 되면 ajax.js 스크립트가 실행되면서 xdfile.com/ad.html을 호출하여
추가 악성코드를 다운로드 하게 되는 방식이며 해당 url 접속이 더이상 확인이 불가능 하여 분석을
진행할 수 없었습니다.

 악성코드 유포경로
  - h**p://momo****.com/js/ajax.js
  - h**p://xdfile.com/ad.html



카스퍼스키 보안제품에서는 HEUR:Trojan.Script.Iframer 진단명으로 진단되고 있습니다.


해당 js 파일의 내용을 확인해보니 별다른 난독화 없이 단순 인코딩 되어 해당 유포지를 쉽게 확인 할 수 있습니다.





디코딩 결과 iframe를 이용하여 악성코드를 다운로드 하도록 되어 있으며 확인결과 접속이 되지 않았습니다.




이러한 유형의 공격 확인결과 악성코드 주소만 변경되어 사용하고 있는 것으로 확인 되어집니다.







정상적인 시스템 파일의 이름만 바뀌어 사용되는 악성코드가 발견되었으며,
이전에 포스팅 하였으나 이름 정보가 변경되어 기록용으로 포스팅 한다.

이와 유사한 악성코드로는 imm32.dll, ws2help.dll 등이 있다.
모두 온라인 게임 계정 탈취를 목적으로 하는 악성코드 이며, 대부분 유명 게임들이 여기에 속해 있다.


<정상파일정보>
  - 위치:  C:\WINDOWS\system32\
  - 파일명: lpk.dll --> lpk32.dll  (악성코드에 감염이 되면 정상적인 파일의 이름을 변경함)
  - 파일크기: 22KB

<악성파일정보>
  - 위치:  C:\WINDOWS\system32\
  - 파일명: lpk.dll (정상적인 파일인 것처럼 위장함)
  - 파일크기: 32MB


위에서 보는거와 같이 악성코드에 감염이 되면 정상적인 시스템 파일인 lpk.dll 을 lpk32.dll 로 변경하고,
자신은 정상적인 파일인 lpk.dll 로 생성이 되어 위장한다.



- 정상파일과 악성파일의 차이점을 확인 해보자




위의 그림을 확인 해보면 정상파일과 악성파일의 다른 점을 확인 할 수 있다.
정상파일은 Language Pack 로 되어 있으며 악성파일은 regsetup 로 되어 있다.


자신의 PC에 lpk32.dll 이 생성되어 있다면 일단 의심 해보자~!




- 해당 악성파일이 감시하는 프로세스는 다음과 같다
  PCOTP.exe
  lin.bin
  FF2Client.exe
  MapleStory.exe
  dnf.exe
  iexplore.exe
  mapleotp
  item
  dfotp


- 계정 탈취하는 온라인 게임
  FIFA
  피망
  메이플스토리
  메이플OTP
  던전앤파이트
  던파OTP



- 해당 사이트 접속 시 계정 정보는 해커의 서버로 전송되며 전송되는 서버는 다음과 같다
  http://www.krshop.info/xxyy/df/mail.asp
  http://www.krshop.info/xxyy/dfotp/mail.asp
  http://www.krshop.info/xxyy/pm/mail.asp
  http://www.krshop.info/xxyy/hg/mail.asp
  http://www.krshop.info/xxyy/mxd/mail.asp
  http://www.krshop.info/xxyy/t1/mail.asp
  http://www.krshop.info/xxyy/mxdotp/mail.asp




<치료하는 방법>
  1. lpk.dll 악성파일 이름을 다른 이름으로 변경한다.
  2. 컴퓨터를 재시작 한 후 변경한 악성파일을 삭제 한다.




 




올 초에 확인 된 악성코드인데 기록용으로 남기기 위해서 걍~ 포스트 한다.
해당 악성코드는 이미 예전에 Crypt2.dll 로 많이 알려져 있으며, 이름과 저장위치만 다르고 동작방식은 동일하다.

- 파일명은 TeUpdate.dll이며 레지스트리에 Ginadll로 등록되어 로컬로그인 및 터미널 원격접속 시
faxmode.inc 파일을 생성하여 사용자 계정정보를 탈취하는 키로그 형태의 공격으로 확인 되었음.

<파일위치>
  c:\Windows\system32



- 해당 악성파일이 Winlogon.exe 프로세스에 Inject 되어 있음





- Winlogon 레지스트리에 Ginadll로 등록이 되어 있음





<키로거 저장 위치>
  C:\WINDOWS\system32\spool\drivers\color\faxmode.inc


- faxmode.inc 내용






<제거 방법>
  1. 레지스트리 ginadll 검색하여 해당 내용 삭제
  2. 안전모드로 재부팅 후 C:\Windows\system32\teupdate.dll 파일 삭제
  3. faxmode.inc 파일은 맘대로 하시면 됨
 






url : www.su****.pe.kr

 

- 실행 결과

1. cps_down_v165.exe 실행

2. 원격서버로 다음과 같은 쿼리 요청

: /newact/exefileall.asp                                             => 악성코드 파일 리스트

: /newact/exename.asp?uncode=165                        => 파라메터 값에 해당되는 파일

: /DownLoad/c/ver165/cps_exe_v165_7.exe           => 다운받을 파일

 

3. 다운받은 파일 실행 (cps_exe_v165_7.exe)

 

4. 원격서버로 다음과 같은 쿼리 요청

: /NewAct/GetSiteFileTime.asp

: /download/keylist/sitelist.txt

: /NewAct/GetKeyFileTime.asp

: /download/keylist/keylistnew.txt

: /NewAct/GetUrlFileTime.asp

: /download/keylist/urllist.txt

: /download/c/ver165/uninstall_v165.exe

: /NewAct/UserConnectAll.asp?uncode=165&dsend=N&bsend=N

 

5. 레지스트리에 자동 시작 되도록 등록

 


 





















6. sun 폴더 생성 후 4개 파일 생성

: cps_exe_v165_7_bt.sun_

: cps_exe_v165_7_dc.sun_

: cps_exe_v165_7_kc.sun_

: cps_exe_v165_7_sc.sun_

 

7. 프로그램 등록

 

 

 

















8. 좀비 프로세스로 메모리 상주 (부모프로세스 제거 시 좀비프로세스가 됨)