국내에서 제작되어진 검색 도우미 CloverPlus의 변종에 대하여 알아보도록 하겠습니다.


일반적인 검색도우미와 다르게 감염 시 백그라운드로 인터넷 익스플로어를 구동하여

관련된 특정 키워드를 호출하여 금전적인 이득을 취하는 방식입니다.


카스퍼스키 보안 제품에서는 not-a-virus:AdWare.Win32.KSG.zu 으로 진단하고 있습니다.



 

 악성파일 정보





 

 생성파일 정보


C:\Documents and Settings\Administrator\바탕 화면\옥션.url

 C:\Documents and Settings\Administrator\Favorites\연결\옥션.url

 C:\Documents and Settings\Administrator\Favorites\옥션 - 앞으로의 인터넷 쇼핑, 옥션.url
 C:\Documents and Settings\Administrator\바탕 화면\11번가.url

 C:\Documents and Settings\Administrator\Favorites\연결\11번가.url

 C:\Documents and Settings\Administrator\Favorites\11번가 - 고객감동 No.1, 11번가.url
 C:\Documents and Settings\Administrator\바탕 화면\G마켓

 C:\Documents and Settings\Administrator\Favorites\연결\G마켓.url

 C:\Documents and Settings\Administrator\Favorites\G마켓 - 놀라움을 쇼핑하다, G마켓.url



사용자의 바탕화면 및 즐겨찾기 위치에 인터넷 쇼핑몰의 바로가기가 생성되며 각 파일의 속성을 살펴보면

직접 해당 쇼핑몰로 연결되지 않고 광고 링크를 통하여 접속이 되도록 설정이 되어 있습니다.



http://click.clickstory.co.kr/?vanilla=WEJoS1FXTzY3RE1VaERGYTN0cUZXYndLZXhlMzk3RWxhZkV4V1BBZktXd2pmSUNZ&turl=http://www.11st.co.kr
 http://click.clickstory.co.kr/?vanilla=dXhlVGFCUDhKMTlXbkE4VzN0cUZXYndLZXhlMzk3RWxsVkZ5RmFlQkpRUWpmSUNZ&turl=http://www.gmarket.co.kr
 http://click.clickstory.co.kr/?vanilla=QTFLTGZxOTEvSjNFaXNKZzN0cUZXYndLZXhlMzk3RWxEMUkwSktyOG9GNE9GNzF4&turl=http://www.auction.co.kr



해당 악성코드는 백그라운드로 인터넷 익스플로러 프로세스를 실행시켜 임의로 생성한 URL을 호출하게 되어

있으며, 호출 된 페이지에 스크립트가 삽입되어 있어 광고 링크를 호출하게 됩니다. 호출 된 페이지 소스엔

다른 광고성 스크립트가 삽입되어 있어 요청 할 때마다 연쇄적으로 호출을 하도록 되어 있습니다.






악성코드가 이용하는 광고 링크입니다.





해당 샘플은 일반 검색도우미와 같이 시스템에 설치가 되거나 BHO가 등록되는 등의 행위은 없었지만,

실제 감염 시에는 일반적인 감염 증상과 동일할 것으로 생각됩니다.















국내에서 제작되어져 포털사이트에서 특정 키워드를 검색 시 상단에 광고 툴 바가 생성되며 특정 쇼핑몰 접속 시 광고주 사이트가 새창으로 노출되는 onBar 프로그램에 대하여 살펴보겠습니다.


카스퍼스키 보안제품에서는 Trojan-Downloader.Win32.Adload.cg
ik
명으로 진단하고 있습니다.



생성파일 정보

C:\Program Files\onBar\onbar.zip - 압축파일
C:\Program Files\onBar\onbar.dll - 메모리 상주 / BHO 등록
C:\Program Files\onBar\onuninstall.exe - 프로그램 삭제
C:\Program Files\onBar\onupdate.exe - 시작프로그램 등록



레지스트리 정보

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
="C:\Program Files\onBar\onupdate.exe"

시작프로그램으로 등록이 되어 자동 실행시 버전 확인 후 실행 되도록 하고 있습니다.





onbar.dll 파일이 메모리에 상주하고 있으며, BHO로 등록되어 있는 것을 확인 할 수 있습니다. 





onbar.dll 파일이 메모리에 상주하고 있으며, BHO로 등록되어 있는 것을 확인 할 수 있습니다. 사용자가 인터넷 익스플로러를 실행하여 특정 포털사이트 접속 시 상단 광고 바가 생성되어 다양한 광고를 노출시킵니다.







특정 키워드 검색 시 새창으로 광고 사이트가 추가적으로 팝업되고 있습니다.







제거 방법

[제어판] -> [프로그램 추가/제거] 에서 onBar 를 삭제하시면 됩니다.









 


국내에서 제작되어져 대형 포털 사이트에서 쇼핑 관련 키워드 검색 시 광고성 행위를 통하여 수익을 발생시키는 프로그램인 truepod 에 대하여 살펴보겠습니다.



 악성파일 정보
 

해당 파일은 카스퍼스키 보안제품에서 Trojan-Downloader.Win32.Agent.tmsd 명으로 진단하고 있습니다.

 
 생성파일 정보

C:\Documents and Settings\(사용자계정)\바탕 화면\truepods.exe - 시작프로그램 등록
C:\Documents and Settings\(사용자계정)\바탕 화면\truepod.dll - 메모리 상주 및 BHO 등록



 레지스트리 정보

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
truepodv3="C:\Documents and Settings\(사용자계정)\바탕 화면\truepods.exe"
..(생략)





사용자가 웹브라우져를 실행하면 turepod.dll 이 iexplorer.exe 프로세스에 로드되면서 사용자가 특정키워드를 검색 시 광고성 행위를 수행합니다.










사용자가 옥션 키워드를 검색 후 클릭 시 위 이미지 처럼 광고성 행위를 수행 후에 옥션 페이지로 리다이렉트 하고 있습니다.



또한 인터넷 익스플로러 추가기능 관리에 BHO로 등록이 되어 있습니다.







 제거방법

해당 프로그램은 설치 형태가 아니기 때문에 직접 파일을 찾아 제거해야하는 번거러움이 있습니다. 프로세스가 사용중이기 때문에 삭제가 되지 않기 때문에 안전모드로 부팅하여 삭제하는 방법이 있으나 재부팅이 귀찮으신 분들은 아래 방법으로 제거하시면 됩니다.

1. CMD 창을 띄워 truepod.dll 을 사용하는 프로세스를 확인합니다.




2. Windows 작업관리자에서 해당 프로세스의 PID값을 확인하여 동일한 PID값을 가진 프로세스를 종료합니다. 작업관리자에서 PID를 확인하는 방법은 [보기] --> [열선택] --> [PID(프로세스 식별자)] 란을 체크하여야합니다.





3. 해당 프로세스 종료 후 악성프로그램을 제거합니다.






※ 만약 explorer.exe 프로세스에 truepod.dll 이 로드가 되어 종료하였다면 당황하지 마시고 cmd 창에 explorer.exe 를 입력하시면 정상적으로 화면이 복구됩니다.








 




국내에서 제작되어져 포털사이트에서 특정 키워드를 검색 시 광고주의 사이트가 새창으로 노출되는 스폰서매치 프로그램에 대하여 살펴보겠습니다. 스폰서 프로그램으로 설치가 되어 사용자가 설치 여부를 인지하지 못하는 경우가 많습니다.



 생성파일 정보

C:\Program Files\sponsormatch\sponsormatch.exe - 시작프로그램 등록 / 메모리 상주
C:\Program Files\sponsormatch\sponsormatch_uninstall.exe - 프로그램 삭제



 레지스트리 정보

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
sponsormatch="C:\Program Files\sponsormatch\sponsormatch.exe"


시작프로그램으로 등록이 되어 자동 실행되도록 하고 있으며 sponsorma
tch.exe 파일이 메모리에 상주하여 사용자가 포털사이트 등에서 특정키워드를 입력 시 광고주의 사이트를 노출시킵니다.





 URL 정보

hxxp://api.sponsorkeyword.co.kr/api_search.php?k_encoding=
%EC%BB%B4%ED%93%A8%ED%84%B0&s_engine=search.naver.com&pid=p001

hxxp://api.sponsorkeyword.co.kr/forwarding.php?keycode=141473&sub_idx=&aff_code=p001&ip=x.x.x.x&service_type=
4&linkurl=http%3A%2F%2Fpcshop.dan***.com%2FStandardPC%2Fmain%2FserviceId%2Fsponsorkeyword%26_C_%3D37%26logger_kw%3Dsponsorkeyword226

hxxp://api.sponsorkeyword.co.kr/api_urlclose.php?pid=p001&ip=x.x.x.x&mac_addr=맥주소&domain=www.dan***.com&k_encoding=&fullurl=http://www.dan
***.comcar/?sponsorLink=GNBSponsor%26_C_=37%26logger_kw=sponsorkeyword177

광고주의 사이트를 노출시킴으로 광고대행업체에게 사용자 IP와 MAC 주소를 전송하는 것을 확인 할 수 있습니다.






특정 키워드 검색 시 광고주 홈페이지를 노출시키고 있으며 "자동차" 검색어를 입력 시 자동차 키워드에 해당되는 페이지를 노출시키는 것을 확인 할 수 있습니다. 사용자가 인터넷 사용 시 광고주 홈페이지 노출로 인하여 정상적인 인터넷 사용에 불편을 주고 있습니다.




 제거 방법

[제어판] -> [프로그램 추가/제거] 에서 sponsormatch 를 삭제하시면 됩니다.










 




국내에서 제작되어진 검색도우미 프로그램으로 국내 포털사이트 및 쇼핑사이트에서 특정 검색어를 입력시 해당 웹사이트 팝업창을 띄우는 adm-mgr 프로그램에 대하여 살펴보겠습니다.


 생성파일 정보

C:\Program Files\Addendum
C:\Program Files\Addendum\admmgr.exe  - 메모리 상주
C:\Program Files\Addendum\admrup.exe  - 시작프로그램
C:\Program Files\Addendum\iesb_nm.dll
C:\Program Files\Addendum\iesm_nm.dll  - BHO 등록
C:\Program Files\Addendum\uninstall.exe  - 프로그램 삭제



 레지스트리 정보

"HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"
C:\Program Files\Addendum\admrup.exe


재부팅 시 자동실행 되도록 동작하고 있습니다. 해당 프로그램이 설치가 되면 admmgr.exe 파일이 메모리에 상주하고 있습니다.




admmgr.exe 프로세스는 iexplorer.exe 프로세스를 감지하고 있으며 사용자가 웹 브라우저를 시작 시 iexplorer.exe 프로세스에 iesm_nm.dll 을 로드하여 BHO 등록을 하도록 동작합니다.





웹 브라우저 추가기능 관리 확인 시 iesm_nm.dll 이 등록되어 있으며 브라우저 확장 형식으로 옥션 바로가기가 등록이 되어 웹 브라우저 도구모음에 옥션이 등록되어 있는 것을 확인할 수 있습니다.






사용자가 인터넷 검색창에 특정 키워드를 입력 시 관련 사이트를 새창으로 사용자에게 보여주기 전 광고와 관련된 url을 먼저 수행한 후 해당 사이트로 리다이렉션 하는 동작을 합니다. 이러한 방식은 광고 클릭 시 발생하는 수익의 일부를 광고 계시자에게 주는 형태로 되어 있으며 대부분 온라인 광고들이 이러한 수익구조로 되어있습니다. 







 제거방법

프로그램 사용을 원치 않으시면 제어판 -> 프로그램 추가/제거 에서 해당 프로그램을 삭제하시면 됩니다. 설치된 프로그램명은 Addendum - NM 로 되어 있습니다.









 
국내에서 제작되어졌으며 특정 사이트 접속 시 Internet Explorer 웹 브라우저 상단에 검색바(bar)가 생성되는 검색도우미 FineTop 프로그램에 대하여 살펴 보겠습니다.




 생성파일 정보

C:\Program Files\FineTop
C:\Program Files\FineTop\1
C:\Program Files\FineTop\FineTop.dll - BHO 등록
C:\Program Files\FineTop\FineTop.exe - 시작 프로그램 및 메모리 상주
C:\Program Files\FineTop\Uninstall.exe - 프로그램 삭제



 레지스트리 등록 정보
 
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
FineTop="C:\Program Files\FineTop\FineTop.exe"

 
 
 

 
프로그램이 설치가 되면 실행파일인 FineTop.exe 프로세스란 이름으로 상주하며 레지스트리에 등록되어 시작시 자동 실행되며 업데이트를 체크하고 있습니다.







사용자가 Internet Explorer 실행 시 FineTop.dll 이 로드되어 동작하며 특정 키워드 검색 시 웹 브라우저 상단에 검색바가 나타납니다.









[웹 브라우저 -> 도구 -> 추가기능관리] 에서 FineTop.dll 이 BHO 형식으로 로드되어 있는 것을 확인할 수 있습니다.






 제거방법

해당 프로그램을 사용하기 원치 않으시는 분들은 [제어판 --> 프로그램 추가/제거] 에서 FineTop 항목을 제거하시면 됩니다.








국내에서 제작되어진 검색도우미 프로그램으로 인터넷 검색 시 좌측 사이드에 광고바가 생성되는
검색 도우미 GuideOn 에 대하여 살펴보도록 하겠습니다.


 [실행 파일명]



해당 파일은 카스퍼스키 보안제품에서 Trojan-Downloader.Win32.Adload.apfh 진단명으로 진단하고 있습니다.



해당 파일 구조를 확인하기 위해 PEID로 보니 UPX 로 패킹이 되어 있었습니다.






파일 내부를 살펴보니 해당 파일은 설치파일을 다운로드 후 자신은 삭제가 되도록 하여
사용자가 설치여부를 확인할 수 없도록 동작을 하고 있습니다.

다음은 파일내용의 일부입니다.



시스템루트에 DelUS.bat 배치 파일를 생성하여 실행 후 삭제되도록 하며
마지막으로 자신을 삭제하도록 동작합니다.


또, 아래와 같이 해당 서버에 접속하여 GuideOn_GO45.exe 를 다운받아 사용자 PC에 설치가 됩니다.





다운받은 GuideOn_GO45.exe 파일은 실제 사이드바를 설치하는 실행파일입니다.


 [생성 파일]
  C:\Program Files\GuideOn\elist.ini                 사이드바 생성 리스트 키워드
  C:\Program Files\GuideOn\GuideOn.dll           BHO등록 파일
  C:\Program Files\GuideOn\GuideOn.exe         시작프로그램 및 메모리상주
  C:\Program Files\GuideOn\uninstall.exe



인터넷 익스플로러 실행 시 GuideOn.dll 파일을 로드하여 감시하는 사이트에 접속하게 되면 사이드바를
보여지도록 합니다.




프로세스 정보를 보면 GuideOn.exe 가 메모리에 상주하여 사용자가 인터넷 익스플로러를 실행 시
iexplorer.exe에 GuideOn.dll 이 삽입되어 BHO 방식으로 동작을 합니다.





감시하는 사이트 접속 시 사이드바가 생성됩니다.






 [사이드바 생성하는 사이트 리스트]

  auction
  gmarket
  interpark
  dnshop
  cjmall
  gseshop
  shinsegae
  lotte
  hmall
  lotteimall
  samsungmall
  zeromarket
  nseshop
  yeoin
  ddm
  mple
  gsestore
  danawa
  enuri
  lotteshopping

약 20개 정도 사이트에 대하여 감시하고 있으며, 대부분 쇼핑몰 사이트로 사용자가 키워드를 클릭하게 되면
광고업체에 금전적인 수익이 발생할 것으로 예상됩니다.





시작 시 자동실행 되도록 레지스트리에 등록되어 집니다.




해당 프로그램은 [프로그램 추가/제거]에서 삭제가 가능합니다.