최적화 프로그램 CCleaner 악성코드 두 번째 페이로드 발견

꿈을꾸는 파랑새

일단 해당 부분은 최신 버전을 사용하는 사람은 적용되지 않는 부분이라고 먼저 지난 2017년 9월 21일에 시스코의 Talos Group에서는 새로운 보고서를 발표했습니다. 해당 CCleaner 해킹은 처음 생각했던 것보다 더 정교하게 구성이 돼 있다고 합니다. 해당 보안 연구원들의 말에 의하면 기본적으로 도메인을 기반으로 분석하던 중에 두 번째 페이로드를 발견을 했다고 합니다. 일단 해당 CCleaner 문제는 CCleaner 5.33에 영향을 받으면 해당 CCleaner 5.33을 웹사이트에서 다운로드 하거나 CCleaner를 자동업데이트를 사용을 하여 설치한 사용자 자신이 사용하는 컴퓨터에 감염됩니다. 먼저 확인 방법은  HKLM\SOFTWARE\Piriform\Agomo에 있는 레지스트리 키의 존재 여부를 확인하는 것이 좋은 방법입니다. 그리고 이번에 발견된 두 번째 페이로드가 있는 것이 특정 도메인을 공격 대상에 포함돼 있다는 것입니다.
도메인 목록들은 다음과 같습니다.
singtel.corp.root
htcgroup.corp
samsung-breda
samsung
samsung.sepm
samsung.sk
jp.sony.com
am.sony.com
gg.gauselmann.com
vmware.com

ger.corp.intel.com
amr.corp.intel.com
ntdev.corp.microsoft.com
cisco.com
uk.pri.o2.com
vf-es.internal.vodafone.com
linksys
apo.epson.net
msi.com.tw
infoview2u.dvrdns.org
dfw01.corp.akamai.com
hq.gmail.com
dlink.com
test.com

가장 좋은 방법은 일단 백업파일이 있으며 악성코드가 감염되기 전으로 복원하는 방법입니다. 그리고 설치 관리자는 GeeSetup_x86.dll 파일이 담당합니다. 먼저 사용자가 설치하게 되면 기본적으로 먼저 사용자의 컴퓨터 운영체제 즉 윈도우 운영체제가 32비트 인지 아니면 64비트인지 검사를 합니다. 그리고 나서 해당 버전에 맞는 악성코드를 실행하고 설치를 합니다.
보면 세계적인 브랜드 들이 들어가 져 있는 것을 확인할 수가 있습니다.
HKLM\Software\Microsoft\Windows NT\CurrentVersion\WbemPerf\001
HKLM\Software\Microsoft\Windows NT\CurrentVersion\WbemPerf\002
HKLM\Software\Microsoft\Windows NT\CurrentVersion\WbemPerf\003
HKLM\Software\Microsoft\Windows NT\CurrentVersion\WbemPerf\004
HKLM\Software\Microsoft\Windows NT\CurrentVersion\WbemPerf\HBP
GeeSetup_x86.dll(Hash: dc9b5e8aa6ec86db8af0a7aa897ca61db3e5f3d2e0942e319074db1aaccfdc83)
EFACli64.dll (128aca58be325174f0220bd7ca6030e4e206b4378796e82da460055733bb6f4f )
TSMSISrv.dll (07fb252d2e853a9b1b32f30ede411f2efbb9f01e4a7782db5eacf3f55cf34902)
DLL in Registry: (f0d1f88c59a005312faad902528d60acbf9cd5a7b36093db8ca811f763e1292a)
두번쨰 Payload:(dc9b5e8aa6ec86db8af0a7aa897ca61db3e5f3d2e0942e319074db1aaccfdc83)
일단 CCleaner 5.33 버전이 설치돼 있으면 앞서 이야기한 것처럼 백업한 파일에서 백업을 파일로 덮어씌우거나 또는 CCleaner 5.33 버전이 아닌 최신 버전을 업데이트를 하고 나서 regedit를 실행을 하고 나서 해당 레지스터리를 찾아서 지워주면 될 것입니다. 그리고 백신프로그램을 이용해서 한번 검색을 해보는 것도 좋은 방법이 될 것입니다.

이 글을 공유합시다

facebook twitter googleplus kakaostory naver

본문과 관련 있는 내용으로 댓글을 남겨주시면 감사하겠습니다.

  1. Favicon of https://jongamk.tistory.com 핑구야 날자 2017.09.25 07:18 신고

    찾을 수 있는 방법이 생겨 다행이네요

    • Favicon of https://wezard4u.tistory.com Sakai 2017.09.26 19:10 신고

      기본적으로 최신 업데이트로 유지를 하고 의심스러우면 백신프로그램을 한번 돌려주는것도 좋은 방법이 아닐까 생각이 됩니다.