금일 국전에 볼일이 있어서 들렀다가 집에 와서 PC를 켜니까 뭔가 CPU랑 SDD가 요상하게 돌고 있더군요.
CPU와 메모리의 점유율이 90~95%를 계속 왔다 갔다 하는 상황이 발견되어 급히 실행중인 프로세스와 인접 프로세스들을 전부 점검해본결과 여러가지의 악성코드와 Malware들이 충돌을 일으키며 PC에 부하를 주고있는 부분을 확인했습니다.
알약을 돌려서 검사를 해봤으나 검사결과 바이러스가 검출되지 않았습니다.
혹시나 싶어서 알약을 제거한뒤 V3를 설치하여 검사를 진행했으나 역시나 검사결과 바이러스가 검출되지 않았습니다.
이전에도 이와 비슷한 경우를 발견한적이 있어서 바로 샘플을 뽑아 알툴즈와 AhnLab에 제보를 했었습니다.
이번에는 마지막으로 Avast를 이용하여 검사를 진행해봤습니다.
Avast로 검사를 해본 결과 2개의 결과물을 발견하게 되었습니다.
바로 해당 경로로 들어가 샘플을 확보하고 어딘가에 또 숨어있을 바이러스를 찾아 하드내부를 일일히 폴더 하나하나 다 뒤져보았습니다.
확인 결과 Avast로 발견된 2개를 제외하고 의심스러운 파일 5개를 발견했습니다.
이렇게 발견된 7개의 바이러스 및 악성코드들이 어떤 효과를 가지고 있는지, 격리된 가상머신에서 해당 7개의 파일들을 실행해봤습니다.
1. Google Chrome의 확장프로그램 취약점을 이용한 광고표출 애드온 1개
AllDeeaalAppP라는 이름을 가진 해당 악성코드는 사용자가 특정 사이트를 접속 시 보이지 않는 Chrome을 하나 열고 확장프로그램 관리자에 접속하여 해당 애드온 스크립트를 실행하여 사용자의 동의없이 실행하도록 만들어진 악성코드였습니다.
해당 악성코드가 Google Chrome에 설치되었을 경우 사용자는 사이트 이동을 할때마다 화면에 광고를 띄우고 광고가 나오는 부분의 프레임을 제외한 나머지 부분의 프레임을 건들지 못하게 비활성화 시켜버립니다.
이 경우 광고창에서 X표시를 누르면 사라지나 일정 확률로 다른 사이트로 강제 이동되버립니다.
해결방법 : Google Chrome을 실행한뒤 주소창에 chrome://extensions/ 를 입력한뒤 AllDeeaalAppP를 찾아 지워주면 됩니다.
지운 후에는 윈도우의 검색을 이용하여 AllDeeaalAppP를 검색하여 나온 잔재들을 삭제해주시면 됩니다.
*일부 PC에서는 삭제할려고 하면 Google Chrome이 강제 종료되거나 삭제가 되지 않는 경우가 있습니다.*
*이 경우에는 chrome://extensions/ 의 우측 상단에 [개발자 모드]라는 체크 박스가 있습니다.*
*해당 체크 박스를 체크한뒤에 삭제를 시도하시면 정상적으로 삭제됩니다.*
2. Google Chrome 및 Internet Explorer, Mozilla FireFox의 js취약점을 이용하여 사용자의 동의없이 애드온 설치 2개
1개는 최근 해외 포럼에서 발견된 js스크립트로서 이름은 CutThePRicE라고 합니다.
해당 악성코드도 AllDeeaalAppP와 마찬가지로 설치가 되면 광고가 노출됩니다.
광고 노출과 더불어 고의적으로 사이트를 불러오는 속도를 느리게 만들며 광고창을 강제로 오버랩시켜 버립니다.
더불어 CutThePRicE는 설치되는 경로가 계속 바뀌는 것을 확인하게 되었습니다.
그렇기에 매번 설치위치를 확인해줘야 합니다만….약 10회가량 설치하고 지우고를 반복하다보니 설치할때마다 위치가 바뀌지만 중복되는 위치에 설치됨을 확인했습니다.
나머지 1개의 악성코드는 TotalRecipeSearch라는 이름을 가진 광고 형태의 스크립트입니다.
CutThePRicE에서 [고의적으로 사이트를 불러오는 속도를 느리게 만든다.]부분을 뺀 단순 광고형 스크립트입니다.
해결방법 : Google Chrome 및 Internet Explorer, Mozilla FireFox를 프로세스단위까지 종료를 한뒤 아래의 폴더를 확인 후 삭제한다.
1. C:\ProgramData\
2. C:\Program Files\ -- 64비트 유저는 C:\Program Files (x86)\ 도 같이 확인바랍니다.
3. C:\Users\사용자명\AppData\ 내부의 Local, LocalLow, Roaming 폴더들을 확인바랍니다.
4. 사용중인 브라우저의 설치폴더 내부
*CutThePRicE 추가 설명*
위의 경로들 중 한군데에 영어나 영어+숫자로 무작위 입력된 폴더가 하나 있습니다.
그 폴더를 열어보면 background.html파일과 content.js, lsdb.js, manifest.json파일과 더불어 영어+숫자를 무작위로 대입한 js파일이 하나 더 있습니다.
발견되었다면 해당 폴더째로 삭제해주시면 됩니다.
3. 효과를 모르지만 다른 바이러스와 충돌하여 PC 과부하를 일으키는 악성 프로그램 3개
정확한 명칭을 모르지만 프로그램에 명시된 이름은 다음과 같습니다.
Frothy Kill.exe
Sad Shoal.exe
3130153822461107897b.exe
정확한 효과를 모르겠지만 3가지 다 어셈블리를 통해 만들어졌으며 3개중 2개만 실행되고 있어도 메모리에 과부하가 걸려 PC의 속도가 느려짐을 느낄 수 있었습니다.
3가지 전부 실행 할 경우 심할경우에는 블루스크린이 뜨며 블루스크린이 뜨지 않을경우에는 PC가 저사양인데 억지로 고사양 게임을 실행한듯한 현상을 일으킵니다.
위의 3가지는 전부 설치되는 위치가 제각각이기에 작업관리자에서 명령줄 참고를 활성화 시켜서 일일히 추적하는 수밖에 없습니다.
4. 어디서 숨어들어온지 모를 코드 1개
ini파일을 이용하여 정체모를 코드를 적어놓은 파일 4개가 따로 따로 흩어져 있었습니다.
첫번째 파일을 발견한곳은 %systemroot% 입니다.
숫자로 된 폴더가 있길래 의심스러워서 내부를 보니 영어+숫자 조합의 ini파일이 하나 있었습니다.
메모장으로 열람을 해보니 이상한 코드들이 적혀 있었으며 유심히 보던중 반복되는 구절이 있음을 확인하였고 확인결과 해당 반복구절이 폴더명과 동일함을 확인했으며 혹시나 싶어 폴더명과 ini파일명을 ini파일의 정체불명의 코드에 검색을 해보니 둘다 코드 내부에 반복되고 있음을 확인.
폴더명과 ini파일명 사이에 존재하는 코드를 윈도우 검색을 이용하여 검색해보니 %systemroot%\Resources\영어+숫자조합의 폴더에 똑같이 ini파일로 존재함을 확인했습니다.
처음과 마찬가지로 계속 코드에 대입하여 찾아봤으나 처음에 말한 4개를 제외하고 나오질 않았습니다.
우선 해당 7개의 프로그램 및 악성코드들은 전부 감지를 하지 못한 백신의 고객센터를 통해 샘플과 같이 제보된 상태입니다.
