오늘은 지난 시간 안랩 V3 Lite 무료 백신에 추가된 새로운 광고 프로그램 SmartBridge 광고 프로그램이라는 글을 적은 적이 있었습니다. 오늘은 해당 안랩 V3 Lite 무료 백신에 추가된 새로운 광고 프로그램 SmartBridge 광고 프로그램 차단을 하는 방법에 대해 알아보겠습니다. 해당 프로그램은 V3 라이트 버전은 안랩에서 제공을 하는 무료 버전 백신 프로그램으로서 대한민국 제19-21대 국회의원이시기도 안철수 의원님이 만든 최초의 순수 국산 안티바이러스 소프트웨어이기도 합니다.
안랩(AhnLab) 공식 사이트에서 제공하는 AhnLab V3 Lite 무료 백신을 설치할 때 추가적인 안내 메시지 없이 다음과 같은 광고 프로그램을 설치하면 계속 사용을 하신 분들은 갑자기 컴퓨터 부팅과 함께 나타나는 것을 볼 수가 있습니다.
기본적인 위치는 다음과 같습니다.
C:\Program Files\AhnLab\V3Lite40\sb
물론 삭제하는 방법은 지난 시간에 글을 적은 것처럼 C:\Program Files\AhnLab\V3Lite40\sb 에 있는 파일을 제거하면 되지만 문제는 V3 라이트 버전을 업데이트 할 때마다 해당 프로그램은 설치된다는 것입니다.
물론 무료 백신 프로그램이다 보니 그럴 수가 있겠다고 생각을 할 수가 있습니다. 다만, 이런 것이 불편하신 분들은 레지스터리 편집기를 이용하는 방법이 있습니다.
[소프트웨어 팁/보안 및 분석] - 안랩 V3 Lite 무료 백신에 추가된 새로운 광고 프로그램 SmartBridge 광고 프로그램
먼저 Image File Execution Options이라는 부분을 알고 가야 합니다.
Image File Execution Options이라는 것은 IFEO(이미지 파일 실행 옵션)는 추적 플래그 옵션에 대해 적절한 레지스트리 값을 설정하여 프로세스를 시작할 때 자동으로 디버깅을 켜는 데 자주 사용을 하며 프로세스 로드 시 추적 플래그 레지스트리 항목을 읽어서 값이 0이 아니면 비트가 PEB의 적절한 DWORD에 OR 처리합니다.
즉 앞서 이야기한 것처럼 디버깅을 위해서 사용을 하는 것입니다. 오늘은 악성코드 제작자들이 Image File Execution Options를 악용하는데 이것을 오늘은 좋게 사용을 하는 방법입니다.
해당 방법은 Image File Execution Options Injection 방법을 역발상을 해서 사용을 하는 것이죠. 즉 윈도우 응용프로그램이 실행되는 과정이 사용자들은 실제 응용프로그램을 실행한다고 생각하지 프로그램이 실행 전 레지스트리의 HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image file execution options 키를 확인하고 하위키 값에 실행하려는 이미지가 존재하면 Debugger 값을 참조하여 해당 값에 연결된 이미지를 먼저 실행하게 구성이 돼 있고 이렇게 프로세스를 실행시키는 CreateProcess가 image file execution options를 먼저 참조하기 때문입니다.
예를 들면 이렇게 작동을 하는 것이죠!
Image File Execution Options\?????.exe]
"Debugger"="cmd.exe"
이라고 하면 Image File Execution Options 값에 ?????.exe 하위키를 생성하고 Debugger 값을 cmd.exe로 설정하게 되면 사용자는 ??????.exe를 실행시키지만 실제로는 cmd.exe가 실행되게 되는 구조입니다. 악성코드가 해당 부분을 이용하면 공격자가 파일 실행을 가로채서 다른 프로세스가 실행되도록 할 수 있고 해당 기능은 공격자가 지속성을 설정하기 위해 남용할 수 있습니다.
그러면 우리들의 목적은 항상 건전하고 아름답고 좋은 목적을 가져야 하기 때문에 해당 부분을 이용하면 다음과 같이 구성을 할 수가 있습니다.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SmartBridge.exe
"Debugger"="rundll32.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SmartBridgeStarter.exe
"Debugger"="rundll32.exe"
이런 식으로 될 것입니다. 그러면 각각 레지스터리 에서 해당 부분을 만들면 될 것입니다. 그러면 제가 생성한 레지스터리 파일들의 해쉬값들은 다음과 같습니다.
파일명:SmartBridge.reg
사이즈:364 B
CRC32:1f9bda3f
MD5:380665a747a0d214b1662a17393d148e
SHA-1:c74eec782589e7774eb83ee5ea365a077f9caf92
SHA-256:d03f844bc000033f740d8024ac37fb3ff21819812cd00234ac581685af035145
SHA-512: 9fcacea3227e87cebe013ae9da4bc8d5ff6df0af27510a0052d8a37efe75d7932052ac01db178b432223001bf5e9879608ed083dcdfe5db1bf77b1db3bc7d516
파일명:SmartBridgeStarter.reg
사이즈:380 B
CRC32:b01633c5
MD5:d9aeb754ed8084e5809626c41e8cef9c
SHA-1:d85514871e1487dbbbad2b367adc79f0840079b3
SHA-256:f33fffdb7d6ad89171ae58770bf95cc4eab6033282a19485972ba44405453cb0
SHA-512: 7a5da65604baf234b6c7cd31622691371dc30a625f5726dda21c35a855311331c5cde053ff2d0406ddde8a993d4345bc97d686fcb60a34c8e4591a65fe47246d
입니다. 물론 이런 광고 들을 보고 싶지 않을 때 V3 365 클리닉,V3 Internet Security 9.0이나 가격이 부담된다고 하면 9,900원 하는 V3 365 클리닉 Solo 같은 유료 제품을 사용하는 것이 가장 좋은 방법일 것입니다.
일단 해당 부분은 개인의 선택이며 앞서 소개해 드린 방법을 사용하면 되겠지만, 더 많은 추가 보안 기능을 원하신다고 하면 해당 유료 제품도 나쁘지 않을 것입니다. 저는 참고로 노턴 인터넷 시큐리티 사용자입니다.
'소프트웨어 팁 > 보안 및 분석' 카테고리의 다른 글
틱톡,인스타 그램,페이스북 인앱 브라우저를 통해 삽입되는 자바스트립트 명령 보는 방법-InAppBrowser (0) | 2022.08.22 |
---|---|
한미 연합 훈련 킬 체인 웨비나 일정으로 위장한 악성코드-1.doc (0) | 2022.08.19 |
윈도우 0x800f0922 에러 UEFI BIOS 업데이트 해결 가능 (0) | 2022.08.18 |
악성코드 VBA 매크로 비밀번호 푸는 방법 (0) | 2022.08.17 |
북한 해커 조직 Kimsuky(김수키)에서 만든 워드 악성코드-자문 요청서.doc(2022.07.26) (11) | 2022.08.12 |
윈도우 10 KB5016616 및 KB5016623 보안 업데이트 (4) | 2022.08.11 |
QR 코드 스캐너로 위장 하고 있는 스마트폰 악성코드-QRScanner(2022.8.8) (2) | 2022.08.11 |
아마존 재팬 피싱 사이트-q.pfaerez(.)cn (6) | 2022.08.10 |