인터넷 검색시 추가적인 광고창을 생성하며, 시스템 시작시 "Software Update" 창을 생성하여 다수의 수익성 프로그램의 설치를 유도하는 검색 도우미 HipPop 프로그램에 대해 살펴보도록 하겠습니다.
우선 해당 프로그램의 배포 방식을 살펴보면 블로그 또는 인터넷 게시판을 통해 진격의 거인 애니메이션을 볼 수 있는 것처럼 홍보하여 토렌트(Torrent) 파일인 것처럼 다운로드를 유도하는 것으로 추정됩니다.
참고로 확인된 배포 파일([Zero-Raws]+Shingeki+01~09+(MBS+1280x720)_torrent.exe / MD5 : b646233b634593d4e80699021c589d1d)에 대하여 AhnLab V3 보안 제품에서는 PUP/Win32.MulDown (VT : 9/47) 진단명으로 진단되고 있습니다.
다운로드된 파일을 사용자가 실행하면 위와 같은 다운로드 창이 생성되며, 우측 하단에는 사용자가 쉽게 확인할 수 없는 색깔과 크기로 10여개의 수익성 프로그램들이 등록되어 있습니다.
이 상태에서 사용자 몰래 등록된 수익성 프로그램의 체크 박스를 해제하지 않은 상태에서 설치를 진행하면 백그라운드 방식으로 원치 않는 프로그램들이 자동으로 설치되며, 일부 프로그램에 대해서는 보안 제품에서 진단되는 등 시스템에 문제를 유발할 수 있습니다.
그렇다면 과연 정상적으로 사용자가 원하는 진격의 거인 트렌트 파일을 제공해주는지 확인해보면, 다운로드 창을 통해 특정 자료실 서버로부터 zip 압축 포맷 형태로 파일 다운로드를 통해 "C:\Users\(사용자 계정)\Documents\[Zero-Raws]+Shingeki+01~09+(MBS+1280x720)_torrent" 파일을 생성합니다.
하지만 생성된 파일은 확장자가 없는 형태이며 사용자가 토렌트 파일로 생각하여 .torrent 확장자를 추가하여도 열 수 없습니다.(※ 실제 확장자명은 .zip 압축 파일이며 해당 파일을 열어보면 토렌트 시드가 포함되어 있습니다.)
이처럼 이런 형태로 배포되는 방식은 사용자에게 유용한 정보가 아닌 수익성 프로그램을 사용자의 부주의한 동의를 얻어 몰래 설치할 목적이라고 볼 수 있습니다.
이 글에서는 등록된 다수의 수익성 프로그램 중 "hippop" 프로그램에 대해서 살펴보도록 하겠습니다.
다운로드 창을 통해 파일 다운로드를 진행하면 특정 서버로부터 HipPop 프로그램의 설치 파일(MD5 : c0b0e50232a3eb93be0cfa91f2100e8c)을 다운로드하여 "C:\Users\(사용자 계정)\AppData\Local\Temp\HipPop_install_H_HIPPOP01.exe" 파일로 생성한 후 백그라운드 방식으로 프로그램 설치가 진행됩니다.
C:\Users\(사용자 계정)\AppData\Local\Temp\HipPop_install_H_HIPPOP01.exe
C:\Users\(사용자 계정)\AppData\Roaming\HipPop
C:\Users\(사용자 계정)\AppData\Roaming\HipPop\HipPop_E.exe :: 메모리 상주 프로세스
C:\Users\(사용자 계정)\AppData\Roaming\HipPop\HipPop_R.exe
C:\Users\(사용자 계정)\AppData\Roaming\HipPop\HipPop_S.exe :: 서비스(HipPop_Service) 등록 파일 / 메모리 상주 프로세스
C:\Users\(사용자 계정)\AppData\Roaming\HipPop\HipPop_U.exe
C:\Users\(사용자 계정)\AppData\Roaming\HipPop\hippop.dat
C:\Users\(사용자 계정)\AppData\Roaming\HipPop\NTVBSvc.tlb
C:\Users\(사용자 계정)\AppData\Roaming\HipPop\uninst.exe :: 프로그램 삭제 파일
C:\Windows\System32\Base64.dll
C:\Windows\System32\MSINET.OCX
C:\Windows\System32\VB6KO.DLL
C:\Users\(사용자 계정)\AppData\Local\Temp\HipPop_install_H_HIPPOP01.exe
- MD5 : c0b0e50232a3eb93be0cfa91f2100e8c
- MSE : Trojan:Win32/Sisproc (VT : 29/47)
C:\Users\(사용자 계정)\AppData\Roaming\HipPop\HipPop_S.exe
- MD5 : 66b1293836aca75d4f5a0db19da5dba6
- AhnLab V3 : Worm/Win32.VBNA (VT : 24/45)
C:\Users\(사용자 계정)\AppData\Roaming\HipPop\HipPop_U.exe
- MD5 : f05ab64f2cd191c3791cc07f3a5f9098
- AhnLab V3 : Worm/Win32.VBNA (VT : 24/47)
해당 프로그램은 "C:\Users\(사용자 계정)\AppData\Roaming\HipPop" 폴더에 주요 파일을 생성하며, 시스템 시작시 다음과 같은 동작을 하도록 구성되어 있습니다.
"HipPop_Service" 서비스 항목을 등록하여 시스템 시작시 [C:\Users\(사용자 계정)\AppData\Roaming\HipPop\HipPop_S.exe HIPPOP01] 파일을 자동 실행하도록 구성되어 있으며, 자동 실행된 서비스 파일(HipPop_S.exe)은 HipPop_U.exe 파일을 통한 업데이트 체크 및 추가적으로 "C:\Users\(사용자 계정)\AppData\Roaming\HipPop\HipPop_E.exe" 파일을 로딩합니다.
이 과정에서 HipPop_U.exe 파일을 통해 특정 광고 서버로부터 업데이트 정보를 체크하여 사용자 몰래 추가적인 파일(agupdate.exe / MD5 : 4bd9b7e58765579d5a337f1d12a2c267)을 다운로드하는 동작을 확인하여 다음과 같은 폴더(파일)를 생성 및 실행합니다.
- C:\Users\(사용자 계정)\AppData\Roaming\HipPop\UpdateTemp
- C:\Users\(사용자 계정)\AppData\Roaming\HipPop\agupdate.exe
실행된 agupdate.exe 파일은 "Software Update" 창을 생성하여 추가적으로 등록된 또 다른 수익성 프로그램의 설치를 유도하는 부분을 확인할 수 있습니다.
특히 사용자가 우측 상단의 "닫기(X)" 버튼을 클릭하거나 체크 박스를 해제한 상태에서 "확인" 버튼을 클릭할 경우 혼란을 유발하는 문구를 통해 "Yes" 버튼을 클릭하도록 유도하여 수익성 프로그램의 설치를 유도하므로 주의하시기 바랍니다.
(1) 검색 도우미 : AddendumLin (2013.6.21)
- h**p://update.addendum***.com/IN/install_addp3.exe (MD5 : 4bd9b7e58765579d5a337f1d12a2c267)
(2) 개인정보 보안 솔루션 : 보안클럽(BoanClub) (2013.4.6)
- h**p://update.bo**cl**.co.kr/setup/installR_part01_boanclub.exe (MD5 : d1df23ba090077c15d282d676e1d4d51) - avast! : Win32:FakeAV-CFI [Trj] (VT : 26/47)
(3) PC 최적화 프로그램 : 클린앱(CleanApp) (2013.4.6)
- h**p://update.clean***.kr/setup/installR_part01_cleanapp.exe (MD5 : 9ad75698d18814fa0873c71a29af9aa4) - avast! : Win32:FakeAV-CFI [Trj] (VT : 18/47)
위와 같은 업데이트 기능을 통해 수익성 프로그램의 설치 유도 행위 이외에, HipPop 검색 도우미 프로그램의 광고 기능에 대해 살펴보도록 하겠습니다.
업데이트 기능을 통한 파일 다운로드 이외에 추가적으로 광고 서버로부터 광고 구성값을 체크하는 동작을 확인할 수 있습니다.
이를 통해 HipPop 프로그램이 설치된 환경에서 인터넷 검색을 시도할 경우 추가적인 광고창 생성 동작을 확인할 수 있습니다.
해당 광고창은 기존의 윙고 툴바(WingGo Toolbar) 광고 서버에서 사용자 검색 키워드 값을 참조하여 광고 정보를 받아오는 것으로 확인됩니다.
해당 광고 동작은 서비스로 자동 실행된 HipPop_S.exe 프로세스가 로딩한 HipPop_E.exe 프로세스를 통해 이루어집니다.
그러므로 광고 동작 중지 및 프로그램 삭제시에는 "명령 프롬프트" 메뉴를 "관리자 권한으로 실행"하여 [sc stop "HipPop_Service"] 명령어를 입력 및 실행하여 서비스를 중지한 후, Windows 작업 관리자를 실행하여 HipPop_E.exe 프로세스를 찾아 수동으로 종료하시기 바랍니다.
프로그램 삭제는 제어판에 등록된 "HipPop" 삭제 항목을 이용하여 삭제할 수 있으며, 프로그램 삭제 후에는 추가적으로 "C:\Users\(사용자 계정)\AppData\Roaming\HipPop" 폴더를 찾아 수동으로 삭제하시기 바랍니다.
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Base64Lib.Base64
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{28656ABB-8E12-11D2-950F-000000000000}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{28656ABA-8E12-11D2-950F-000000000000}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{3A8BB631-588F-4994-B5CE-5AA6BD0FAFE3}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{28656AB9-8E12-11D2-950F-000000000000}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\AppMainExe.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
HipPop
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\HipPop_Service
위와 같은 프로그램 배포 방식과 이를 통해 사용자가 제대로 인지하지 못하는 과정에서 설치된 수익성 프로그램들 중에는 또 다른 수익성 프로그램 설치를 목적으로 사용자의 실수를 유발하게 하므로 매우 주의하시기 바랍니다.