IFinst27.exe 의 정체 바이러스

IFinst27.exe  짜증나.. ㅡ.ㅡ;

IFinst27.exe 의 정체 바이러스

IFinst27.exe ??? 분석

 

* 파일 정보 :

IFinst27.exe 65,536 (65KB)

 

이 파일이 nprotect 및 기타 안티바이러스 프로그램에 애드웨어로 검색이 되었다.

Adware/Rogueware.PCBaksa.B (피시박사? 한국에서 제작된 듯?)

 

이 파일에 대한 정보를 검색해 보았으나 정확히 아는 사람이 없었다. 이 파일은 우리나라 뿐만 아니라 해외에 사람들도 마찬가지로 궁금해하는 파일이었다. 직접적인 영향을 주는 파일은 아니지만, 확실한 점은 이 파일을 이용해서 악성 바이러스 및 애드웨어가 이 파일을 이용한다는 점은 분명하다. 원래 윈도우 시스템에는 사용되지 않는 파일로 삭제해도 무방하다.

 

IFinst27.exe 이 파일은 직접적인 관련성은 없으나 특정 프로그램을 설치 삭제하는 관련된 파일이다. 이에 대한 검색해보니 Install Factory(인스톨팩토리) 프로그램 및 기타 애드웨어, 인터넷익스플로어 툴바 설치 및 광고성 프로그램 설치 시에도 사용이 되는 것 같다.

 

* 설치 경로 추적 :

IFinst27.exe 이 파일의 설치된 경로를 추적해보기로 하였다.

파일의 생성 수정 날짜로 내 컴퓨터에서 검색해 보았다. 동일한 시간대에 발견된 파일과 그때 했던 인터넷 서핑 작업 기록들을 살펴보았다. 추적하면서 몇 가지 사실을 발견했다.

 

웹서핑을 하면서 특정 웹사이트에서 ActiveX(액티브엑스) 컨트롤을 설치했던 시간과 IFinst27.exe 프로그램이 생성된 시기가 동일하다는 점이었다. 그 설치된 액티브엑스는 아래와 같다.

HSDNConfig.ocx : 이 엑티브엑스 컨트롤은 효성CDN 에서 제작되었다고 나와있으며, 그 당시 그 회사 관련된 우회한 홈페이지를 검색한 적이 있었는데 그때 설치된 것 같다.

아마도 이 액티브엑스를 통해서 IFinst27.exe 와 p3xsvr.exe 모듈, p3xfer.dll, p3xferAX.dll 등이 설치된 것으로 보여진다. p3x 관련 프로그램들은 각종 게임 설치 시에도 설치되는 프로그램으로 알고 있다. 오디션, 다크에덴 게임 등에서 사용되는 것으로 검색이 된다.

 

또 한, IFinst27.exe 는 트로젠(Trojan) 바이러스 설치 시에도 사용되는 것으로 보여진다. 그리고 인터넷브라우저에 광고툴바 설치하는 ActiveX 컨트롤 설치 시에도 이용되는 것으로 보여진다. 이를 보면 이 파일은 프로그램의 설치 시 관련된 작용을 하는 파일인 것을 알 수 있다.

IFinst27.exe 파일이 바이러스는 아니라고 할지라도 특정 프로그램(바이러스)이 이 파일을 이용하여 악성코드를 설치할 수 있다는 것을 의미한다. 즉, 이는 곧 IFinst27.exe 가 직접적인 바이러스는 아니라하더라도 취약점이 있는 코드가 숨어 있다는 것을 의미하므로 되도록이면 삭제하는 것이 바람직하다.

 

 

* 정황 분석 :

그 당시 휴대폰으로 익명의 사람으로부터 문자메세지가 왔고 특정 웹페이지 주소가 적혀있었고, 의아해서 해당 웹페이지에 접속한 적이 있었다. 효성CDN 홈페이지 서버 상에 있는 비공식 웹페이지로 우회한 주소로 접속이 된 적이 있었다. 아마도 효성CDN 서버에 파일을 올릴 수 있다는 것은, 효성CDN 홈페이지를 관리하고 있는 사람 중의 한명이 아닐까 추정이 된다. 그 사람이 왜 나에게 이런 문자메세지를 보낸 것이며 어떤 이유로 이 홈페이지에 접속을 유도한 것일까? 나는 그 당시 이상하게 생각은 했으나 그냥 넘어갔는데 오늘 검색해보니 악의적인 의도가 있다는 것을 알 수 있었다.

최근 내 컴퓨터에 비정상적인 일들이 발생하였고 특정 게임 사이트의 비밀번호가 유출된 것을 짐작해볼 때 어느정도 관련성이 있다고 생각이 되었다.

 

이상!

 

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\New Windows\Allow

 {
 P3Xfer_ActiveX.P3XferAX.1 = s 'P3XferAX Class'
 {
  CLSID = s '{4DC4111E-BEEB-4599-9EA5-CBC2F8EB6917}'
 }
 P3Xfer_ActiveX.P3XferAX = s 'P3XferAX Class'
 {
  CLSID = s '{4DC4111E-BEEB-4599-9EA5-CBC2F8EB6917}'
  CurVer = s 'P3Xfer_ActiveX.P3XferAX.1'
 }
 NoRemove CLSID
 {
  NoRemove 'Component Categories'
  {
   '{7DD95801-9882-11CF-9FA9-00AA006C42C4}' = s '0'
   {
    '800' = s 'Safe for scripting'
   }
   '{7DD95802-9882-11CF-9FA9-00AA006C42C4}' = s '0'
   {
    '800' = s 'Safe for initializing'
   }
  }
  ForceRemove {4DC4111E-BEEB-4599-9EA5-CBC2F8EB6917} = s 'P3XferAX Class'
  {
   'Implemented Categories'
   {
    '{7DD95801-9882-11CF-9FA9-00AA006C42C4}'
   }
   'Implemented Categories'
   {
    '{7DD95802-9882-11CF-9FA9-00AA006C42C4}'
   }

   ProgID = s 'P3Xfer_ActiveX.P3XferAX.1'
   VersionIndependentProgID = s 'P3Xfer_ActiveX.P3XferAX'
   ForceRemove 'Programmable'
   InprocServer32 = s '%MODULE%'
   {
    val ThreadingModel = s 'Apartment'
   }
   ForceRemove 'Control'
   ForceRemove 'Insertable'
   ForceRemove 'ToolboxBitmap32' = s '%MODULE%, 101'
   'MiscStatus' = s '0'
   {
       '1' = s '131473'
   }
   'TypeLib' = s '{C87CA1F8-9D91-403A-87C1-EC479EF17ABE}'
   'Version' = s '1.0'
  }
 }
}