본문 바로가기

조치 가이드

쉿! 묻지마 Active X 설치는 금물...

1. D***CafeOn.dll 프롤로그

  2010 4월 초에 D사의 BGM Player로 위장하여 키로거(Keylogger)를 설치하는 악성 Active X가 발견된 이후로 최근에는 D사의 CafeOn으로 위장하여 키로거(Keylogger)를 다운로드하는 악성 Active X가 유포되었고 앞으로도 사회공학기법(Social Engineering)기법을 사용한 이런 유형의 악성코드 유포가 증가될 것으로 보이므로 사용자들의 각별한 주의가 필요하다.



2. D***CafeOn.dll 상세분석

  (1) File Description분석

    사용자가 무심코 악성 Active X를 클릭하여 설치할 경우 %WINDIR%\Downloaded Program Files\D***CafeOn.dll  파일이 생성 되는데, 여기서 한가지 문제는 %WINDIR%\Downloaded Program Files\D***CafeOn.dll의 등록정보를 보면 알 수가 있다.


보통 악성코드는 File Description이 없는 경우가 대부분이고 있다 하더라도 Microsoft사의 등록정보를 그대로 이용하는 경우가 많지만 D***CafeOn.dll File Description뿐만 아니라 완벽하지 않지만 디지털 서명정보도 가지고 있었다. 이렇게 되면 해당 파일을 자세히 보지 않는 이상 일반 사용자들은 정상파일로 생각하기 쉽다.

 

   

[그림 1] D사의 디지털 서명을 위장한 다운로더

  (2) Internet Explorer에 BHO(Browser Helper Object)로 등록 및 실행

    BHO로 등록된 D***CafeOn.dll는 오직 Internet Explorer가 실행될 경우에만 로딩되어 동작한다. 다시 말해 Internet Explorer가 실행되지 않으면 D***CafeOn.dll도 실행되지 않는다는 의미이다.

 

             HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\

                           Browser Helper Objects\{5027798C-9CE5-4F62-9197-410A111EAA14}

                                        Client.DaumCafeOn.1 = s 'DaumCafeOn Class'

                                        CLSID = s '{5027798C-9CE5-4F62-9197-410A111EAA14}'

                                        Client.DaumCafeOn = s 'DaumCafeOn Class'

                                        CLSID = s '{5027798C-9CE5-4F62-9197-410A111EAA14}'

                                        CurVer = s 'Client.DaumCafeOn.1'

                                        NoRemove CLSID

                                        ForceRemove {5027798C-9CE5-4F62-9197-410A111EAA14} = s 'DaumCafeOn Class'

                                        ProgID = s 'Client.DaumCafeOn.1'

                                        VersionIndependentProgID = s 'Client.DaumCafeOn'

                                        ForceRemove 'Programmable'

                                        InprocServer32 = s '%MODULE%'

                                        val ThreadingModel = s 'Apartment'

                                        'TypeLib' = s '{300F6E9A-AAFA-48DD-81C3-CA59A20295CB}'

 

  (3) 키로거(Keylogger)다운로드

    D***CafeOn.dll는 특정 사이트로부터 키로거(Keylogger)를 다운로드하기 전에 감염된 PC의 인터넷 연결상태를 체크하기 위해서 도메인 google.co.kr에 대해서 DNS쿼리를 전송하여 IP를 얻어온다. 만약 IP획득에 성공했다면 인터넷 연결은 가능한 것으로 판단하고 특정 사이트로부터 키로거(Keylogger)를 다운로드한다.

 

  * 다운로드 주소: http://update.******.com/******/proc.asp

 

  위 주소에는 키로거(Keylogger)를 다운로드할 수 있는 URL이 저장되어 있는 텍스트 파일이다.

[그림 2] D***CafeOn.dll이 추가로 다운로드하는 악성코드(키로거)

  (4) 감염된 PC의 정보유출
    D***CafeOn.dll는 감염된 PC Mac Address와 자신이 파일 다운로드했던 URL ID값을 조합하여 [그림 3]에 보여진 주소 전송한다.

 

  PC의 정보전송 주소: http://218.***.16.***/update/proc.asp?mode=report&pid=15&macaddr=[감염PC Mac 주소]


3. D***CafeOn.dll 치료방법

  분석문서 작성 시점에 수집된 파일은 V3에서 진단 및 치료가 가능하므로 최신 엔진으로 업데이트 후 수동검사 실시 및 치료를 수행한다.

                                                                                                                                    By AhnMaru