본문 바로가기

벌새::Analysis

국내 악성코드 : City Supporter

반응형
국내에서 제작된 광고 프로그램은 다양한 유포 경로를 이용하고 있으며, 대표적인 방식 중의 하나는 하나의 광고 프로그램이 설치되는 과정에서 사용자 몰래 추가적인 광고 프로그램이 설치되는 형태가 아닌가 싶습니다.

이번에 살펴볼 City Supporter 검색 도우미 프로그램의 경우에도 설치 과정에서 다수의 광고 프로그램이 연결되어 설치되는 복잡한 구조를 가지고 있기에 살펴보도록 하겠습니다.

해당 City Supporter 프로그램의 설치 파일(MD5 : 5b1c5f2547628a212d403abd3f62cc9b)에 대하여 안철수연구소(AhnLab) V3 보안 제품에서는 Win-PUP/Helper.MiniSearch.325592 (VirusTotal : 16/43) 진단명으로 유해 가능 프로그램으로 진단되고 있으므로 참고하시기 바랍니다.
[생성 폴더 / 파일 등록 정보 : City Supporter 프로그램]

C:\Program Files\websupporter
C:\Program Files\websupporter\category.dat
C:\Program Files\websupporter\domainmatch.dat
C:\Program Files\websupporter\except.dat
C:\Program Files\websupporter\keywordTab.dll :: BHO 등록 파일
C:\Program Files\websupporter\KeywordTab.exe
C:\Program Files\websupporter\mainsite.dat
C:\Program Files\websupporter\version.txt
C:\Program Files\websupporter\websurt.exe :: 시작 프로그램 등록 파일
C:\Program Files\websupporter\websurtm.dll :: BHO 등록 파일
C:\Program Files\websupporter\wsDownFileInfo.o
C:\Program Files\websupporter\wsguide.o
C:\Program Files\websupporter\wsquery.o
C:\WINDOWS\system32\winpopsetup.exe
C:\WINDOWS\system32\wsconfig.o

[생성 레지스트리 등록 정보]

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{804AE78C-2DD5-461B-A54B-DCDBDD66B061}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{98D68C3C-CF16-4CA8-BBDB-11E0EDB62E36}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{BFF6582B-F558-4964-B4C7-10BFBA9B8790}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E67AB13C-A9A4-4E47-8763-91979760CBF0}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\websurtm.City Supporter
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\websurtm.WebSupporter
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\{804AE78C-2DD5-461B-A54B-DCDBDD66B061}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{98D68C3C-CF16-4CA8-BBDB-11E0EDB62E36}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{BFF6582B-F558-4964-B4C7-10BFBA9B8790}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - websupporter = "C:\Program Files\websupporter\webSurt.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\websupporter
HKEY_LOCAL_MACHINE\SOFTWARE\WebSupporter
HKEY_LOCAL_MACHINE\SOFTWARE\webSupportLoader
City Supporter 프로그램은 [C:\Program Files\websupporter] 폴더에 파일을 생성하며, Windows 시작시 websurt.exe 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.

 

City Supporter 프로그램의 기본은 기존의 키워드탭(KeywordTab) 프로그램과 동일하게 인터넷 검색시 새 창을 실행하여 웹 브라우저 상단에 멀티탭 방식의 광고바와 다수의 광고 사이트가 노출되는 것을 확인할 수 있습니다.

 

또한 추가적으로 웹 브라우저 좌측 사이드바에 "City Supporter"라는 스폰서 링크 광고가 노출되는 것을 확인할 수 있습니다.

 

  • h**p://u1.websuprt.co.kr/***Sidebar/***Supporter/winpopsetup.exe (MD5 : 64a6fb48ced01eca493684de3b279dfa)

문제는 설치 과정에서 사용자 몰래 winpopsetup.exe 파일을 추가적으로 다운로드하여 [C:\WINDOWS\system32\winpopsetup.exe] 폴더에 생성하여, 추가적으로 다운로드하여 "WinSearchTop 버전 1.0.0.16", "팝스아이(또는 popsi v1.0.0.1)" 2개의 프로그램을 몰래 설치하는 동작을 확인할 수 있습니다.

[추가 다운로드 프로그램]

C:\Program Files\indoit
C:\Program Files\indoit\WinSearchTop
C:\Program Files\indoit\WinSearchTop\1.0.0.16
C:\Program Files\indoit\WinSearchTop\1.0.0.16\AXBHO.dll :: BHO 등록 파일
C:\Program Files\indoit\WinSearchTop\1.0.0.16\SetupUtil.dll
C:\Program Files\indoit\WinSearchTop\unins000.dat
C:\Program Files\indoit\WinSearchTop\unins000.exe :: WinSearchTop 버전 1.0.0.16(19) 프로그램 삭제 파일

C:\Documents and Settings\(사용자 계정)\시작 메뉴\프로그램\popsi
C:\Program Files\popsi
C:\Program Files\popsi\check.ini
C:\Program Files\popsi\check.php
C:\Program Files\popsi\Install.ini
C:\Program Files\popsi\ipop.dat
C:\Program Files\popsi\local_version.ini
C:\Program Files\popsi\msvcr71d.dll
C:\Program Files\popsi\patch.exe
C:\Program Files\popsi\popsi.exe :: 시작 프로그램 등록 파일 / 메모리 상주 프로세스
C:\Program Files\popsi\unins000.dat
C:\Program Files\popsi\unins000.exe :: 팝스아이 프로그램 삭제 파일
C:\Program Files\popsi\uninst.exe :: popsi v1.0.0.1 프로그램 삭제 파일

[생성 레지스트리 등록 정보]

HKEY_CURRENT_USER\Software\Indoit
HKEY_CURRENT_USER\Software\Indoit\popsi
HKEY_CURRENT_USER\Software\Indoit\WinSearchTop
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AXBHO.CTopBar
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AXBHO.CTopBar.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AXBHO.IEWrap
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AXBHO.IEWrap.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\AXBHO.DLL
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\{235FBE53-69D8-427F-97E5-97329CCF55E6}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{23C7E613-D0B3-422D-884C-2B6173435214}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E67AB13C-A9A4-4E47-8763-91979760CBF0}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{142FADF6-78C5-4A44-83FB-E2F74EC69494}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{3C7565E5-FDEF-4B47-AD65-FB84D4DF9C62}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{42E23178-3886-4F34-8158-82EA0064C48C}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{48DEEE01-758D-4E28-B452-49C6E955EAFF}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{C4AC7E22-5A6A-46D0-881C-9DDAF226E8CE}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\popsi.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{23C7E613-D0B3-422D-884C-2B6173435214}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - iPop = C:\Program Files\popsi\popsi.exe
 - popsi = C:\Program Files\popsi\popsi.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{B8FA5D6C-9EB8-4B33-BB5D-D098796DAE5E}_is1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\팝스아이_is1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\popsi
HKEY_LOCAL_MACHINE\SOFTWARE\indoit

추가 설치된 프로그램을 살펴보면, [C:\Program Files\indoit\WinSearchTop] 폴더에 "WinSearchTop 버전 1.0.0.16" 검색 도우미 프로그램이 설치되며, [C:\Program Files\popsi] 폴더에 "팝스아이(또는 popsi v1.0.0.1)" 프로그램이 설치되는 것을 확인할 수 있습니다.

 

WinSearchTop 검색 도우미 프로그램은 기존에 살펴본 버전과 비교하여 버전별로 폴더 이름이 달라지는 것으로 보이며 광고 동작은 기존의 분석글을 참고하시기 바랍니다.

또 하나의 프로그램인 팝스아이(popsi v1.0.0.1) 프로그램은 시스템 시작시마다 시작 프로그램으로 등록된 popsi.exe 파일을 통해 광고 동작이 아닌 다음과 같은 광고 목록 업데이트 기능을 포함하고 있습니다.

 

  • h**p://www.fun**.co.kr/ipop2/patch.ini
  • h**p://www.fun**.co.kr/ipop2/patch.exe
  • h**p://113.**.170.***/patch.htm
  • h**p://www.fun**.co.kr/ipop/update.dat

이 시점에서 또 다른 문제가 발생하는데 사용자가 3개의 프로그램이 설치된 환경에서 Internet Explorer 웹 브라우저를 실행할 경우 추가적인 다운로드가 발생한다는 점입니다.

 

  • h**p://winsearch****.***-search.com/wstop.update.exe (MD5 : f0d5fb0f772a765de570a22689de1c0a)

wstop.update.exe 파일을 추가적으로 다운로드하여 [C:\Documents and Settings\(사용자 계정)\My Documents\wstop.update.exe] 파일을 생성한 후, 다음과 같은 추가적인 프로그램을 생성합니다.

 

[생성 폴더 / 파일 등록 정보]

C:\Documents and Settings\(사용자 계정)\Application Data\ewopeqwh
C:\Documents and Settings\(사용자 계정)\Application Data\ewopeqwh\barosearchinstall.exe
C:\Documents and Settings\(사용자 계정)\Favorites\11번가.url
C:\Documents and Settings\(사용자 계정)\Favorites\AK몰.url
C:\Documents and Settings\(사용자 계정)\Favorites\GS SHOP.url
C:\Documents and Settings\(사용자 계정)\Favorites\G마켓.url
C:\Documents and Settings\(사용자 계정)\Favorites\농수산홈쇼핑 NS이숍.url
C:\Documents and Settings\(사용자 계정)\Favorites\디앤샵.url
C:\Documents and Settings\(사용자 계정)\Favorites\롯데아이몰.url
C:\Documents and Settings\(사용자 계정)\Favorites\신세계몰.url
C:\Documents and Settings\(사용자 계정)\Favorites\옥션.url
C:\Documents and Settings\(사용자 계정)\Favorites\이마트.url
C:\Documents and Settings\(사용자 계정)\Favorites\패션플러스.url
C:\Documents and Settings\(사용자 계정)\Favorites\플레이어.url
C:\Documents and Settings\(사용자 계정)\Favorites\하프클럽.url
C:\Documents and Settings\(사용자 계정)\My Documents\wstop.update.exe
C:\Documents and Settings\(사용자 계정)\바탕 화면\11번가.url
C:\Documents and Settings\(사용자 계정)\바탕 화면\G마켓.url
C:\Documents and Settings\(사용자 계정)\바탕 화면\옥션.url
C:\Program Files\barosearch
C:\Program Files\barosearch\11st.ico
C:\Program Files\barosearch\auction.ico
C:\Program Files\barosearch\barosearch.exe :: 시작 프로그램 등록 파일 / 메모리 상주 프로세스
C:\Program Files\barosearch\cjmall.ico
C:\Program Files\barosearch\cybermall.ico
C:\Program Files\barosearch\dnshop.ico
C:\Program Files\barosearch\emart.ico
C:\Program Files\barosearch\faple.ico
C:\Program Files\barosearch\gmarket.ico
C:\Program Files\barosearch\gseshop.ico
C:\Program Files\barosearch\halfclub.ico
C:\Program Files\barosearch\lotteimall.ico
C:\Program Files\barosearch\nseshop.ico
C:\Program Files\barosearch\player.ico
C:\Program Files\barosearch\samsungmall.ico
C:\Program Files\barosearch\Thumbs.db

C:\Program Files\indoit\WinSearchTop\1.0.0.19
C:\Program Files\indoit\WinSearchTop\1.0.0.19\AXBHO.dll :: BHO 등록 파일
C:\Program Files\indoit\WinSearchTop\1.0.0.19\dat
C:\Program Files\indoit\WinSearchTop\1.0.0.19\SetupUtil.dll
C:\Program Files\indoit\WinSearchTop\1.0.0.19\WinSearchMon.exe :: 시작 프로그램 등록 파일 / 메모리 상주 프로세스

C:\Program Files\robertkordrey
C:\Program Files\robertkordrey\robertkordrey.dll :: robertkordrey 서비스 등록 파일

[생성 레지스트리 등록 정보]

HKEY_CURRENT_USER\Software\barosearch
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\LowRegistry\Extensions\CmdMapping
 - {57D1CDEE-1880-484f-8361-55D7626D2679}
 - {664290A3-9ADB-4e0d-9762-EF088688AD41}
 - {D51609DD-8FD8-4eb1-9714-CA093C12A0B8}
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - BaroSearch = C:\Program Files\barosearch\barosearch.exe
 - WinSearchMon = C:\Program Files\indoit\winsearchtop\1.0.0.19\WinSearchMon.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{57D1CDEE-1880-484f-8361-55D7626D2679}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{664290A3-9ADB-4e0d-9762-EF088688AD41}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{D51609DD-8FD8-4eb1-9714-CA093C12A0B8}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\barosearch
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ROBERTKORDREY
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\robertkordrey
[생성 파일 진단 정보]

C:\Program Files\barosearch\barosearch.exe
 - MD5 : 395fe902fc4b488e317c446bdc16dd3a
 - AhnLab V3 : Win-PUP/Shortcut.BaroSearch.193680 (VirusTotal : 8/43)

C:\Program Files\robertkordrey\robertkordrey.dll
 - MD5 : bc846ed57454b1fd087594aa5b5f6724
 - AhnLab V3 : Adware/Win32.KorAd (VirusTotal : 14/43)

wstop.update.exe 파일은 우선 앞서 설치한 WinSearchTop 버전 1.0.0.16 프로그램을 업데이트하여 "WinSearchTop 버전 1.0.0.19" 버전으로 변경하며, [C:\Documents and Settings\(사용자 계정)\Application Data\ewopeqwh\barosearchinstall.exe] 파일을 생성하여 [C:\Program Files\barosearch] 폴더에 바탕 화면, 즐겨찾기, 명령 모음에 인터넷 쇼핑몰 바로가기 아이콘을 생성하는 "바로서치(BaroSearch)" 프로그램을 설치합니다.

 

바로서치(BaroSearch) 프로그램은 기존에 살펴본 내용을 참고하시기 바라며, 이번 역시 삭제 기능은 존재하지만 실제 삭제를 시도할 경우 명령 모음에 등록된 바로가기 아이콘 만을 삭제할 뿐 나머지 항목은 삭제를 지원하지 않고 있습니다.

업데이트된 "WinSearchTop 버전 1.0.0.19" 검색 도우미 프로그램의 동작은 기존의 WinSearchTop 프로그램과는 다르게 WinSearchMon.exe 파일을 메모리에 상주시켜 동작을 합니다.

 

실제 동작 모습을 살펴보면 사용자가 Internet Explorer 웹 브라우저를 실행하여 인터넷 검색을 시도할 경우 WinSearchMon.exe 프로세스의 자식으로 iexplore.exe 프로세스를 추가하여 특정 광고 코드가 포함된 인터넷 쇼핑몰을 생성하는 등의 동작을 통해 수익을 창출하고 있습니다.

 

[C:\Program Files\robertkordrey] 폴더에 추가적으로 생성된 robertkordrey.dll 파일의 기능은 살펴보면 "robertkordrey"라는 이름으로 서비스에 등록되어 시스템 시작시마다 자동으로 실행된 후 서비스 중지 상태를 유지합니다.

 

해당 서비스는 시스템 시작시 특정 서버와 연결하여 설치 카운터(Counter) 및 업데이트 체크를 통해 추가적으로 다음의 파일을 생성합니다.

 

  • C:\Documents and Settings\LocalService\Application Data\akf8dojd\akf8dojds.exe

해당 파일(MD5 : 865db985985a717c9a76df088c958c1c)에 대하여 BitDefender 보안 제품에서는 Gen:Variant.Graftor.6690 (VirusTotal : 15/34) 진단명으로 진단되고 있으므로 참고하시기 바랍니다.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
 - akf8dojd = "C:\Documents and Settings\LocalService\Application Data\akf8dojd\akf8dojds.exe"

생성된 akf8dojds.exe 파일은 RunOnce 시작 관련 레지스트리에 등록되어 시스템 시작시 동작할 수 있습니다.

 

해당 내용을 흐름도를 통해 간단히 요약해 보면, City Supporter 검색 도우미 프로그램으로 인하여 최종적으로 악성 파일을 포함하여 5종 프로그램이 추가된 것을 확인할 수 있습니다.

이로 인하여 사용자는 자신이 설치하지 않은 프로그램으로 인하여 인터넷을 이용하는 과정에서 웹 브라우저가 심하게 느리게 동작하거나, 원치 않는 추가적인 악성 프로그램의 계속적인 다운로드가 발생할 수 있습니다.

[추가 기능 관리 : 도구 모음 및 확장 프로그램]

이름 : WinSearchTop
게시자 : (주)인두잇
유형 : 브라우저 도우미 개체
CLSID : {23C7E613-D0B3-422D-884C-2B6173435214}
파일 : C:\Program Files\indoit\WinSearchTop\1.0.0.16\AXBHO.dll 또는 C:\Program Files\indoit\winsearchtop\1.0.0.19\AXBHO.dll

이름 : keywordtab
게시자 : (주)오피엔
유형 : 브라우저 도우미 개체
CLSID : {98D68C3C-CF16-4CA8-BBDB-11E0EDB62E36}
파일 : C:\Program Files\websupporter\keywordTab.dll

이름 : 웹서포터 Helper Object
게시자 : OPEN.co., ltd
유형 : 브라우저 도우미 개체
CLSID : {BFF6582B-F558-4964-B4C7-10BFBA9B8790}
파일 : C:\Program Files\websupporter\websurtm.dll

이름 : City Supporter
게시자 : OPEN.co., ltd
유형 : 탐색창
CLSID : {804AE78C-2DD5-461B-A54B-DCDBDD66B061}
파일 : C:\Program Files\websupporter\websurtm.dll

일반적으로 Internet Explorer 웹 브라우저를 통해 인터넷 검색 또는 웹 사이트를 방문할 경우 생성되는 다양한 광고는 추가 기능 관리에 등록된 브라우저 도우미 개체(BHO)를 통해 구현이 이루어지므로, 각 항목을 선택하여 [사용 안 함]으로 변경하시면 광고 동작을 중지할 수 있습니다.

프로그램 삭제시에는 Windows 작업 관리자를 실행하여 메모리에 상주하는 barosearch.exe, popsi.exe, WinSearchMon.exe 3개의 프로세스를 수동으로 종료하시기 바랍니다.

 

제어판을 통한 프로그램 삭제시에는 [City Supporter], [팝스아이 삭제], [BaroSearch], [popsi v1.0.0.1], [WinSearchTop 버전 1.0.0.19] 삭제 항목을 이용하여 삭제하실 수 있습니다.

 

참고로 [팝스아이 삭제]를 통해 프로그램을 삭제한 경우, [C:\Program Files\popsi] 폴더 자체가 삭제되므로, 동일한 삭제 기능을 가진 [popsi v1.0.0.1] 삭제 항목을 클릭할 경우 그림과 같은 제거 프로그램 오류창이 뜨므로 "예" 버튼을 클릭하여 삭제 항목을 제거하시기 바랍니다.

하지만 제어판을 통한 삭제 후에도 바로서치(BaroSearch)와 같이 삭제되지 않거나, 삭제 자체를 지원하지 않는 악성 프로그램(파일)이 존재하므로 해당 내용을 참고하여 수동으로 삭제를 하시기 바랍니다.

728x90
반응형