본문 바로가기

벌새::Analysis

국내 애드웨어 : NS-Solution Package

반응형
국내 블로그 등을 중심으로 인터넷 사용자들이 많이 찾는 소프트웨어 또는 간단한 게임 관련 설치 파일로 위장하여 각종 악성코드 치료 프로그램, 광고 프로그램 등을 함께 설치되는 형태로 배포되던 T-Solution Package의 새로운 변종 NS-Solution Package가 유포되는 것을 확인하였습니다.

이번 NS-Solution Package의 이용약관에서는 이전의 T-Solution Package에 표시된 이용약관 내용 중 배포자의 네이버(Naver) 이메일로 추정되는 부분이 삭제되었으며, 2009년 11월 1일에 새롭게 변경한 내용을 담고 있습니다.

하지만 2가지 Package 모두 배포자는 이전과 동일한 배포 서버들을 이용하는 것으로 보아 또 다른 배포자는 아닌 것으로 추정됩니다.

해당 이용약관에서 제시하는 다양한 제휴 프로그램의 경우 인터넷 사용자가 설치하는 시점에 따라 다양한 형태의 프로그램들이 설치될 수 있으므로 위에서 제시한 이용약관은 포괄적인 의미만을 가지고 있으므로 사실상 법적 효력도 없으리라 생각됩니다.

생성 폴더, 파일 정보

테스트 과정에서는 총 3가지의 프로그램이 설치되는 것을 확인할 수 있었으며, 주된 목적은 악성코드 치료 프로그램 M****PC를 통해 유료 결제를 유도하는 것으로 보입니다.

해당 악성코드 치료 프로그램이 NS-Solution Package 방식으로 설치된 경우 사용자가 악성코드 치료 프로그램만을 삭제하여도 매번 윈도우 시작시마다 추가적으로 설치된 ompn_ver4 프로그램에 의하여 재설치되는 방식으로 삭제를 방해하도록 되어 있으므로 반드시 제휴 프로그램으로 설치된 모든 프로그램을 삭제하지 않으면 컴퓨터 사용에 방해를 받을 수 있습니다.

전체적인 NS-Solution Package의 설치는 인터넷 검색을 통해 특정 배포 블로그에 접속하여 게임 관련 설치 파일을 다운로드하여 설치를 시도할 경우, [%Program Files%\game] 폴더에 게임을 설치한다는 안내만 나오도록 한 상태에서 사용자 몰래 다른 폴더에 다수의 프로그램을 설치하는 방식으로 진행이 되도록 구성되어 있습니다.

[프로그램 다운로드 서버 정보]

[ompn_ver4.exe]
Http: Request, GET /act/exelistall.asp
URI: /act/exelistall.asp?uncode=4
ProtocolVersion: HTTP/1.1
Host:  www.***pack.pe.kr

[M****PCUp.exe]
Http: Request, GET /app/update/update_app.html
URI: /app/update/update_app.html
ProtocolVersion: HTTP/1.1
Host:  m****pc.pe.kr

[insatll_sc_ver4.exe]
Http: Request, GET /act/exelistall.asp
URI: /act/exelistall.asp?uncode=4
ProtocolVersion: HTTP/1.1
Host:  www.***pack.pe.kr

[outcall.exe]
Http: Request, GET /nemo/ftosmc.exe
URI: /nemo/ftosmc.exe
ProtocolVersion: HTTP/1.1
Host:  file.last***.co.kr

악성코드 치료 프로그램 M****PC 허위 진단 모습

이렇게 설치된 악성코드 치료 프로그램은 정상적인 컴퓨터 환경에서 검사를 시도하며 존재하지 않는 파일과 레지스트리 정보를 이용하여 허위 진단을 하도록 구성되어 있으며, 사용자가 검사 중에 중지를 하지 못하도록 구성되어 있습니다.

특히 엄청난 악의적인 오진을 하지만 국내 보안업체에서 안티 스파이웨어(Anti-Spyware) 진단 정책에 발목이 잡혀 가짜 백신으로 진단하지 않는 부분을 교묘하게 이용하여 돈벌이를 하고 있는게 현실입니다.

[시작 프로그램 등록 정보]

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - M****PC = C:\Program Files\M****PC\M****PCLaunch.exe

HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\Run
 - ompn_ver4 = C:\Program Files\ompn_ver4\ompn_ver4.exe

NS-Solution Package를 설치하는 시점에 따라 정보는 달라지겠지만, 위에서 제시하는 시작 프로그램 등록 정보를 통해 자동으로 실행되도록 구성하여 설치된 프로그램의 삭제를 방해하는 등의 동작을 하고 있습니다.

1. ompn_ver4


ompn_ver4 프로그램은 윈도우 시작시 ompn_ver4.exe 파일을 시작 프로그램으로 등록하여 자동 실행되며, 특정 서버와 접속을 하여 악의적인 동작을 하도록 구성되어 있습니다.

만약 함께 설치된 제휴 프로그램이 사용자에 의해 삭제되는 경우(일반적으로 보안제품의 진단 정책을 우회하기 위해 모든 프로그램은 대체적으로 제어판을 통한 삭제 또는 삭제 파일 제공) 삭제된 프로그램을 다시 설치하도록 하여 일반 사용자 입장에서는 다시 설치된 프로그램만을 의심하지만 실제로는 위와 같은 프로그램을 통해 재설치를 할 수 있으므로 반드시 이런 프로그램을 추가로 삭제를 하셔야 합니다.

2. ftosmc.exe

해당 파일은 윈도우 시스템 폴더 내의 [%systemroot%\system32\com\ftosmc.exe] 위치에 존재하며, 삭제를 지원하지 않는 형태로 설치가 이루어지고 있습니다.

해외 유명 보안제품 AntiVir에서는 Trojan.Spy.Gen 진단명으로 진단을 하고 있으며, T-Solution Package에서는 다른 파일명으로 동일한 위치에 설치하는 행위가 있었으며, 연결 서버가 국내 악성코드 유포 서버인 Lastlog인 점을 감안하며 사용자 키워드를 감시하여 광고 노출 등의 행위를 할 것으로 추정됩니다.


기본적으로 프로그램의 삭제는 제어판의 [M****PC 1.0 / ompn_ver4] 삭제 항목을 이용하여 삭제를 하실 수 있지만, 사용자가 인지하지 못하는 과정에서 설치되는 다수의 프로그램들이 존재할 수 있으므로 어려움이 예상됩니다.

위와 같은 프로그램들이 설치되지 않도록 하기 위해서는 블로그 등 신뢰할 수 없는 다운로드 경로는 이용하지 않도록 해야 할 것이며, 자신이 설치하는 프로그램에 대해 인지하여 제어판의 삭제 항목을 보고 분별할 수 있도록 하는 것도 필요합니다.

특히 국내 보안업체에서는 법적인 문제로 가짜 백신과 각종 애드웨어 진단에 인색할 수 있다는 점도 고려해야 할 것으로 보입니다. 하지만 이런 파일을 배포하는 경로와 파일을 국내 보안업체에 신고를 하시면 악성코드로 진단할 수 있으므로 샘플 신고를 통해 문제를 해결할 수도 있습니다.

728x90
반응형