본문 바로가기

벌새::Analysis

국내 악성코드 : WinPnp 2.0

반응형
국내에서 제작되어 프로그램 설치시 사용자 몰래 추가적인 제휴(스폰서) 프로그램을 설치하는 "WinPnp 2.0" 프로그램에 대해 살펴보도록 하겠습니다.

해당 프로그램의 설치 파일(MD5 : 0c68ef19528cdc4bdd7db62decd000c5)에 대하여 안철수연구소(AhnLab) V3 보안 제품에서는 Downloader/Win32.Adload (VirusTotal : 25/43) 진단명으로 진단되고 있습니다.

현재 확인된 WinPnp 2.0 프로그램은 Windows Onestep System과 같은 광고 프로그램 등을 통해 유포가 이루어지고 있으므로 참고하시기 바랍니다.


[생성 폴더 / 파일 등록 정보 : WinPnp 2.0 프로그램]

C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\winpnp :: 숨김(H) 속성
C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\winpnp\evdat2.dmc
C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\winpnp\uninstall.exe :: 프로그램 삭제 파일
C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\winpnp\winpnp.dll :: BHO 등록 파일
C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\winpnp\winpnps.exe :: 시작 프로그램 등록 파일
C:\WINDOWS\system32\sircheckfile.dat

[생성 파일 진단 정보]

C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\winpnp\winpnps.exe
 - MD5 : 8c99d9e3eb8e1510d45fdf2b3614938d
 - AhnLab V3 : Trojan/Win32.HDC (VirusTotal : 13/43)

해당 프로그램은 사용자가 확인하기 어려운 숨김(H) 속성을 가진 [C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\winpnp] 폴더 내에 파일을 생성하며, Windows 시작시 winpnps.exe 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.

[추가 기능 관리 : 도구 모음 및 확장 프로그램]

이름 : O
유형 : 브라우저 도우미 개체
CLSID : {6F2BD1DC-B030-4656-8847-E75037CA9C13}
파일 : C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\winpnp\winpnp.dll

WinPnp 2.0 프로그램은 Internet Explorer 웹 브라우저 실행시 iexplore.exe 프로세스에 winpnp.dll 파일을 브라우저 도우미 개체(BHO)로 등록하여, 프로그램이 지정한 특정 사이트에 접속할 경우 광고 코드 추가를 통한 금전적 수익을 유발하고 있습니다.

그러므로 해당 동작을 중지하기 위해서는 웹 브라우저의 추가 기능 관리에 등록된 "O" 항목을 선택하여 [사용 안 함]으로 변경하시기 바랍니다.

[생성 레지스트리 등록 정보 : WinPnp 2.0 프로그램]

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - winpnpv3 = C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\winpnp\winpnps.exe
HKEY_CURRENT_USER\Software\winpnppp
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6F2BD1DC-B030-4656-8847-E75037CA9C13}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\winpnp.P
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\winpnp
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{6F2BD1DC-B030-4656-8847-E75037CA9C13}

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
winpnp

추가적으로 WinPnp 2.0 프로그램은 시스템 시작시 winpnps.exe 파일을 시작 프로그램으로 등록하여 자동 실행되는 과정에서 특정 업데이트 서버에 등록된 제휴(스폰서) 프로그램을 사용자 몰래 다운로드하여 설치하는 동작을 확인할 수 있습니다.

현재 테스트 시점에서는 인포케어(Info-Care) 개인정보 확인 프로그램을 다운로드하고 있으며, 해당 다운로드 파일 install_p1.exe(MD5 : ee38d3756b54274e0c485664f8b91724)에 대하여 avast! 보안 제품에서는 Win32:FakeAV-CFI [Trj] (VirusTotal : 13/43) 진단명으로 진단되고 있습니다.

다운로드된 파일은 [C:\WINDOWS\Temp\infoc1.exe] 위치에 자신을 생성하여 인포케어(Info-Care) 프로그램을 설치한 후 자가 삭제되도록 구성되어 있습니다.


[생성 폴더 / 파일 등록 정보 : 인포케어(Info-Care) 프로그램]

C:\Documents and Settings\(사용자 계정)\바탕 화면\인포케어.lnk
C:\Documents and Settings\(사용자 계정)\시작 메뉴\프로그램\info-care
C:\Documents and Settings\(사용자 계정)\시작 메뉴\프로그램\info-care\인포케어 uninstall.lnk
C:\Documents and Settings\(사용자 계정)\시작 메뉴\프로그램\info-care\인포케어.lnk
C:\Program Files\info-care
C:\Program Files\info-care\del.dat
C:\Program Files\info-care\info-care.exe :: 프로그램 실행 파일
C:\Program Files\info-care\info-carerun.exe :: 시작 프로그램 등록 파일
C:\Program Files\info-care\uninstall.exe :: 프로그램 삭제 파일

[생성 레지스트리 등록 정보 : 인포케어(Info-Care) 프로그램]

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - info-care = "C:\Program Files\info-care\info-carerun.exe"
HKEY_CURRENT_USER\Software\info-care
HKEY_CURRENT_USER\Software\winupp
HKEY_CURRENT_USER\Software\yinfoesave
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\info-care
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\info-care


인포케어(Info-Care) 프로그램은 Windows 시작시 info-carerun.exe 파일을 시작 프로그램으로 등록하여 자동 실행되며, 실행된 프로그램은 PC 사용 흔적 검사를 통한 유료 결제를 유도하고 있습니다.

특히 사용자가 유료 결제를 통한 치료를 하지 않을 경우, 시스템 트레이 알림 아이콘 상단에 주기적인 팝업창 생성을 통해 정상적인 PC 사용에 방해를 주고 있습니다.

인포케어(Info-Care) 프로그램 삭제를 위해서는 Windows 작업 관리자에서 info-care.exe 프로세스를 수동으로 종료하시기 바랍니다.

프로그램 삭제시에는 Internet Explorer 웹 브라우저를 종료한 상태에서 제어판의 [info-care uninstall], [WinPnp 2.0] 삭제 항목을 이용하여 삭제하실 수 있으며, 프로그램 삭제 후에는 추가적으로 다음의 폴더를 수동으로 삭제하시기 바랍니다.

  • C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\winpnp
  • C:\Program Files\info-care

해당 프로그램은 광고 프로그램이 또 다른 광고 프로그램을 사용자 몰래 설치하고, 설치된 광고 프로그램이 또 다른 제휴(스폰서) 프로그램을 사용자 동의 없이 설치되는 과정에서 사용자는 어떤 경로로 이들 프로그램이 설치되었는지 알기 매우 어렵습니다.

그러므로 사용자가 직접 설치한 프로그램 이외에는 불필요한 프로그램을 삭제하여 추가적인 프로그램이 몰래 설치되지 않도록 하시기 바랍니다.

728x90
반응형