반응형
국내에서 금전적 이득을 목적으로 사용자 컴퓨터에 정상적인 경로를 통해서 설치하는 것처럼 위장한 배포 방식 중 유명한 것이 이전부터 언급하고 있는 T-Solution Package 배포 방식입니다.
최근의 경우에도 꾸준하게 국내 블로그를 중심으로 다양한 프로그램으로 위장하여 설치시 각종 애드웨어(Adware)를 함께 설치하는 행위가 확인이 되고 있으며, 수십종 이상의 변종이 존재하고 있는 것으로 보입니다.
이번에 살펴볼 사례는 던파게임핵으로 위장한 방식으로 이전과 동일한 배포 방식이지만, 설치되는 프로그램이 새로운 내용으로 구성되어 있어서 정리해 보겠습니다.
분석에 앞서 해당 애드웨어에 포함된 프로그램 제작사 입장에서 억울할지는 모르겠지만, 실제로 이들 업체가 외부에서 이런 문제에 대해 거론하거나 진단하지 않는 이상 자신들에게 금전적 이득이 될 경우에는 금지하지 않다가 문제가 될 경우에는 문제를 제기한 업체 또는 개인을 명예훼손 등으로 시비를 부를 때가 있습니다. 하지만 엄밀히 말하여 이들 업체는 파트너 계약을 통해 제작사 사이트 이외에 다양한 유포 경로를 통해 프로그램이 최종 사용자 컴퓨터에 설치되기를 바라는 영업 방식을 고수하기에 일종의 인과응보일 수 있다는 점도 분명히 알아야 할 것입니다.
참고로 분석 내용에서는 알려진 특정 프로그램의 경우에는 일부 이름을 모자이크 처리하였음을 밝힙니다.
프로그램 폴더(Program Files) 내 생성 폴더, 파일 정보
Windows 폴더 내 생성 폴더, 파일 정보
해당 프로그램을 설치하면 게임핵 이외에 총 6개(설치 시점에 따라 변경될 수 있습니다.)의 프로그램이 설치되는 것을 확인할 수 있습니다.
사용자에게는 초기 설치 화면에서 [%Program Files%\game] 폴더에 프로그램을 설치한다고 안내를 하고 있지만, 실제로는 그 외에 다수의 프로그램을 특정 서버에서 다운로드하는 방식으로 구성하므로 사용자는 어떤 프로그램들이 설치되는지 인지하지 못합니다.
[프로그램 다운로드 서버 정보]
[beoen_ver2] : M****PC / *Protect / SmartTools / nscps_v2 다운로드
Http: Request, GET /act/exelistall.asp
URI: /act/exelistall.asp?uncode=2
ProtocolVersion: HTTP/1.1
Host: www.sara***.com
[nscpsdown.exe] : nscps_v2.exe 다운로드
Http: Request, GET /newact/exefileall.asp
URI: /newact/exefileall.asp
ProtocolVersion: HTTP/1.1
Host: www.nscps.**.kr
[nscps_v2.exe]
Http: Request, GET /NewAct/ExeName.asp
URI: /NewAct/ExeName.asp?uncode=2
ProtocolVersion: HTTP/1.1
Host: www.nscps.**.kr
[SetupSmartTools_memo.exe]
Http: Request, GET /app/ver.php
URI: /app/ver.php?project=smart_tools&pid=*protect
ProtocolVersion: HTTP/1.1
Host: app2.with***.co.kr
[outcall.exe]
Http: Request, GET /nemo/jmesssys.exe
URI: /nemo/jmesssys.exe
ProtocolVersion: HTTP/1.1
Host: file.last***.co.kr
[beoen_ver2] : M****PC / *Protect / SmartTools / nscps_v2 다운로드
Http: Request, GET /act/exelistall.asp
URI: /act/exelistall.asp?uncode=2
ProtocolVersion: HTTP/1.1
Host: www.sara***.com
[nscpsdown.exe] : nscps_v2.exe 다운로드
Http: Request, GET /newact/exefileall.asp
URI: /newact/exefileall.asp
ProtocolVersion: HTTP/1.1
Host: www.nscps.**.kr
[nscps_v2.exe]
Http: Request, GET /NewAct/ExeName.asp
URI: /NewAct/ExeName.asp?uncode=2
ProtocolVersion: HTTP/1.1
Host: www.nscps.**.kr
[SetupSmartTools_memo.exe]
Http: Request, GET /app/ver.php
URI: /app/ver.php?project=smart_tools&pid=*protect
ProtocolVersion: HTTP/1.1
Host: app2.with***.co.kr
[outcall.exe]
Http: Request, GET /nemo/jmesssys.exe
URI: /nemo/jmesssys.exe
ProtocolVersion: HTTP/1.1
Host: file.last***.co.kr
이렇게 설치되는 프로그램들 중에서 국내에서 제작된 악성코드 치료 프로그램 M****PC 제품은 설치 과정에서 바로 실행이 되어 자동으로 악성코드 검사를 진행하도록 구성되어 있습니다.
진단되는 내용을 보시면 상당히 악의적으로 허위 진단을 하고 있는 것을 확인할 수 있으며, 사용자가 검사 중에 중지를 하지 못하게 구성되어 있습니다.
이외에 설치되는 프로그램 중에는 윈도우 시작시 자동 실행되는 개인정보 보안 솔루션 *Protect 프로그램이 있지만, 사용자가 어떤 경로로 설치가 되는지 확인하기 어렵게 하기 위해서인지 설치되는 첫 단계에서는 실행되지 않고, 윈도우 재부팅 후에 동작을 하도록 구성되어 있는 것이 특징입니다.(현재 해당 프로그램은 국내 보안업체 nProtect에서 업체와 유사한 도메인 등으로 방해를 하며, 진단에 있어서도 허위 정보 등이 있어서 악성코드로 진단하고 있습니다.)
[시작 프로그램 등록 정보]
HKEY_CURRENT_USER\software\Microsoft\Windows\CurrentVersion\Run
- M****PC = C:\Program Files\M****PC\M****PCLaunch.exe
- smart_tools = "C:\Program Files\Smart Tools\SmartToolsU.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- beoen_ver2 = C:\Program Files\beoen_ver2\beoen_ver2.exe
- *protectu = C:\Program Files\*Protect\*protup.exe
- nscps_v2 = C:\WINDOWS\nscps_v2.exe
HKEY_CURRENT_USER\software\Microsoft\Windows\CurrentVersion\Run
- M****PC = C:\Program Files\M****PC\M****PCLaunch.exe
- smart_tools = "C:\Program Files\Smart Tools\SmartToolsU.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- beoen_ver2 = C:\Program Files\beoen_ver2\beoen_ver2.exe
- *protectu = C:\Program Files\*Protect\*protup.exe
- nscps_v2 = C:\WINDOWS\nscps_v2.exe
이들 프로그램은 윈도우 시작시 자동으로 실행되도록 시작 프로그램에 5개 항목이 등록되어 있는 것을 확인할 수 있습니다.
1. beoen_ver2
beoen_ver2 프로그램은 윈도우 시작시 beoen_ver2.exe 파일을 시작 프로그램으로 등록하여 해당 프로그램에 등록된 프로그램 중에서 사용자 또는 보안 프로그램에 의해 삭제가 된 경우를 체크하여 특정 서버에 접속하여 다운로드를 하도록 구성되어 있습니다.
일부 사용자의 경우 프로그램을 삭제하였는데, 재부팅 후에 다시 설치가 되는 현상이 발생하는 경우에는 위와 같은 프로그램이 삭제된 프로그램을 확인하고 다시 설치하는 행위로 인한 문제입니다.
보안제품에서는 이런 프로그램을 함께 삭제를 해야 하지만, 다양한 변종과 미흡한 샘플 신고로 인해 제대로 대응이 어려운 것으로 보입니다.
2. *Protect & Smart Tools
개인정보 보안 솔루션 *Protect 제품의 경우 제작사 사이트에서 설치시에도 추가적으로 Smart Tools 프로그램이 함께 설치가 되고 있습니다. 하지만 해당 프로그램의 다운로드 서버 경로는 동일 업체의 2개의 도메인 서버에서 따로 다운로드가 이루어지고 있는 것으로 보입니다.
프로그램 삭제시에는 *Protect는 제어판의 삭제 항목이 존재하지만, Smart Tools 프로그램은 존재하지 않으므로 해당 프로그램이 설치된 폴더 내의 Uninstall.exe 파일을 수동으로 실행하여 삭제하실 수 있습니다.
3. jmesssys.exe
[%systemroot%\system32\com\jmesssys.exe] 위치에 존재하는 해당 파일은 outcall.exe 파일이 특정 서버에서 Payload하여 설치를 하고 자신은 스스로 삭제를 하고 있습니다.
최종 다운로드된 파일은 국내에서 악성코드 유포 서버로 유명한 lastlog에서 다운로드가 이루어지고 있으며, 해외 보안제품 AntiVir에서 TR/Spy.Gen 진단명으로 진단을 하는 악성코드입니다.
개인적인 분석 능력의 한계로 정확한 기능은 확인할 수 없지만, 다운로드 경로로 추정해보면 Smart Tools 프로그램과 연동되어 있는 것이 아닌가 생각됩니다.
해당 파일의 경우 단독으로 존재하므로 반드시 수동으로 삭제하시기 바랍니다.
4. nscps_v2
해당 프로그램은 설치 초기 nscpsdown.exe(설치 후 삭제) 파일이 nscps_v2.exe 파일을 불러와 설치가 이루어지는 형태로 프로그램 폴더가 아닌 Windows 폴더 내에 위치하고 있어서 사용자가 확인하기 어렵게 구성되어 있습니다.
nscpskwlist.dll 파일 String 정보
해당 프로그램의 [%systemroot%\nscpskwlist.dll] 파일은 사용자가 인터넷을 통하여 특정 쇼핑 사이트에 접속하여 구매 행위를 할 경우 익명의 타인에게 금전적 이득을 제공하도록 구성되어 있습니다.
nscpsstlist.dll 파일 String 정보
[%systemroot%\nscpsstlist.dll] 파일 정보에서도 국내 유명 포털 사이트 등을 통해 사용자가 특정 검색을 할 경우 추천 사이트 등을 제공할 수 있으며, 각종 광고가 출력될 수 있으리라 보여집니다.
해당 프로그램들의 삭제는 제어판에서 총 6개 중 4개의 프로그램에 대한 삭제 항목을 찾을 수 있지만, 나머지 프로그램 또는 파일은 수동으로 삭제를 해야 하도록 구성되어 있습니다.
또한 일부 프로그램은 이름 자체로 어떤 프로그램인지 사용자가 인지하기 매우 어렵게 구성되어 있으므로 이런 분석을 목적으로 하지 않는 이상 프로그램 발견과 삭제에 매우 어려움을 겪을 것으로 보입니다.
근본적으로 블로그와 같은 비정상적인 경로를 통한 파일 다운로드 행위는 위험할 수 있으며, 프로그램 설치시 추가로 설치되는 항목이 존재한지 이용약관을 제대로 확인하는 습관을 가지는 것이 좋으며, 만약 원치않는 프로그램이 설치된 경우에는 국내 신뢰할 수 있는 보안제품을 통해 정밀 검사를 하시고, 진단되지 않는 부분에 대해서는 업체에 문의하여 의심스러운 파일을 추출할 수 있도록 지원하는 것이 좋습니다.
금전적으로 자신들에게 유리한 경우에는 정상적인 프로그램인 척하면서 영업 행위를 하는 프로그램 업체들이나 금전적 목적으로 사용자들에게 원치 않는 프로그램을 설치하도록 배포하는 유포자나 하나의 끈으로 연결되어 있기에 이런 행위는 꾸준히 반복된다고 생각합니다.
728x90
반응형