Control Pannel format (.cpl) [1]

(search "CPL mdsn")

CPL은 Control Pannel 파일들 또는 윈도우즈에서 보여지는 제어판 아이콘들의 확장자

CPL확장자 포맷은 DLL과 동일한 형태를 갖고있으나, 아래와 같은 차이점을 갖는다.

1. .dll 대신에 .cpl이라는 확장자를 씀

2. Export 함수로 CPIApplet을 가짐

3. 한개 또는 그 이상의 CPL applets  호스팅

4. CPIApplet caller 가 보내는 특별한 메시지를 처리

.dll은 더블클릭으로 실행되지 않지만 .cpl은 더블클릭으로 Windows에서 로드되어 실행가능하다.

(실제적으로는 실행시 Loader가 먼저 실행되어 자동으로 이 dll 형태를 가지는 cpl을 로드함,  뒤에서 설명)

자자, MS 설명을 보면

http://support.microsoft.com/kb/149648

각 제어판 도구 Windows\ 시스템 폴더에.cpl 파일이 표시 됩니다. Windows\System 폴더에.cpl 파일 제어판을 시작할 때 자동으로 로드 됩니다. 참고 제어판 파일 Control.ini 파일의 [MMCPL] 섹션에서 항목을 사용 하 여 로드 경우가 됩니다. 

다음 표에서 Windows에 포함 된 모든.cpl 파일을 포함 하 여 가장 일반적인.cpl 파일을 보여 줍니다. 

File name      Purpose
-----------------------------------------------------------------------
Access.cpl     Accessibility properties
Appwiz.cpl     Add/Remove Programs properties
Desk.cpl       Display properties
FindFast.cpl   FindFast (included with Microsoft Office for Windows 95)
Inetcpl.cpl    Internet properties
Intl.cpl       Regional Settings properties
Joy.cpl        Joystick properties
Main.cpl       Mouse, Fonts, Keyboard, and Printers properties
Mlcfg32.cpl    Microsoft Exchange or Windows Messaging properties
Mmsys.cpl      Multimedia properties
Modem.cpl      Modem properties
Netcpl.cpl     Network properties
Odbccp32.cpl   Data Sources (32-bit ODBC, included w/ Microsoft Office)
Password.cpl   Password properties
Sticpl.cpl     Scanners and Cameras properties
Sysdm.cpl      System properties and Add New Hardware wizard
Themes.cpl     Desktop Themes 
TimeDate.cpl   Date/Time properties
Wgpocpl.cpl    Microsoft Mail Post Office
				

제어판에서 바탕 화면 아이콘을 끌어 제어판 도구 바로 가기를 만들 수 있습니다 또는 다른 위치 또는 수동으로 바로 가기를 만들어.cpl 파일의 경로를 지정 하 여.

위 cpl은 crtl+R (RUN)으로 바로 실행할 수 있습니다. 예를 들면 방화벽이나, 프로그램추가/제거

뭔가 와닿지 않으니.. 직접 보도록 한다..

제어판 화면..

이중에 하나를 끌어서 바탕화면에 놓고, 속성을 보면

해당 아이콘의 파일위치를 확인하면 위와같이 system32디렉토리 아래 .dll를 가진 원본파일을 볼 수 있다.. ..?

EAT(Export Address Table)를 확인해도 확실히 CPIApplet은 없음..

같은 디렉토리에서 firewall로 검색해도 예상했던 cpl은 없고 dll 만 두개 보임..

아래 있는 FirewallAPI.dll도 생각 했던 CPIApplet을 Export하고 있지 않았지만, EAT를 봤을 때, 

방화벽 기능들과 연관이 있는 함수들이 있는 것으로 보아 로드되어 사용될 것으로 보임..

그럼 우리가 찾는 cpl은 어디..

 여기있네요 !! 여기!! (환경이 win7 x64임.. C:\Windows\SysWOW64\)

       XP의 경우 C:\windows\system32

여기 CPIApplet을  찾았다..!!

음~ Export 함수로 CPIApplet가 달랑 하나만 있는 것으로 보아 이 cpl이 dll로서 어디에 로드되어 사용될 것같진 않은데..

아마 이 cpl이 독립 실행되어 아까 system32에서 봤던firewall관련 dll들을 로드할 듯~

이외에도 Third Party 에서도 이 제어판에 등록할 수 있는 것으로 보이는데.. ... 그렇게 하려고 cpl이라는 포맷을 따로 만들었을듯..?

위와 같이 윈도우즈가 아닌 타사에서도 등록한 것이 보임... 그중에 Flash Player만 살펴보면

아까와 같이 제어판에서 flash player의 바로가기를 생성하고 원본의 위치를 확인하면..!

flash player는 아이콘과 제어판파일이 같은 듯.

아무튼 sysWOW64디렉토리에서 해당 cpl파일을 확인할 수 있음. Export 함수로 CPIApplet를 가지고 있는 것도 확인! 끝.

참고 Ref. Trendmicro Research Paper : CPL malware 

(http://www.trendmicro.com/cloud-content/us/pdfs/security-intelligence/white-papers/wp-cpl-malware.pdf)