2013년 7월 19일경부터 국내에서 제작된 악성 프로그램을 통해 사용자 몰래 설치가 이루어지고 있는 광고 기능이 추가된 유해 사이트 차단 기능을 가진 "인터넷프로(System Int Professional)" 프로그램에 대해 살펴보도록 하겠습니다.
우선 유포 방식을 살펴보면 2011년 전후부터 다양한 프로그램 설치 과정에서 추가적인 수익성 프로그램을 사용자 몰래 설치할 목적으로 제작된 악성코드와 깊은 연관성이 있습니다.
▷ 무료 문자 보내요(Boneyo) 프로그램을 이용한 악성코드 유포 (2011.5.17)
▷ 제휴(스폰서) 프로그램 : 컴오프(Comoff) 1.0 (2012.5.16)
▷ 용(龍)TV를 이용한 악성코드 유포 주의 (2012.6.28)
▷ 국내 악성코드 : FavorIcon (2013.5.6)
현재 블로그에서 소개한 대표적인 유사 배포 사례에 대한 정보를 확인하시기 바라며, 이번 유포는 최근까지도 지속적으로 배포가 이루어지고 있는 FavorIcon을 통한 경우가 아닌가 추정됩니다.
예를 들어 FavorIcon 프로그램을 통해 설치된 드랍퍼(Dropper) 기능을 가진 다양한 악성 파일 중 "인터넷프로(System Int Professional)" 프로그램 설치에 직접적으로 영향을 미친 악성 파일(MD5 : bdbe51ad7ab388c537edb07b82a3d182)은 2013년 6월 27일경 유포가 이루어진 것으로 보이며, AhnLab V3 보안 제품에서는 Win-Adware/KorAd.187116 (VT : 26/46) 진단명으로 진단되고 있습니다.
C:\Program Files\hfikexsfrue
C:\Program Files\hfikexsfrue\hfikexsfrue.dll
- MD5 : aa1cb009e25c6c9cab21d1c4bc9e09c4
- AhnLab V3 : Trojan/Win32.KorAd (VT : 4/46)
[생성 레지스트리 등록 정보]
HKEY_LOCAL_MACHINE\SOFTWARE\hfikexsfrue
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\hfikexsfrue
설치된 악성코드는 "hfikexsfrue" 서비스 항목을 등록하여 시스템 시작시마다 "%SystemRoot%\System32\svchost.exe -k netsvcs" 명령어를 통해 특정 업데이트 서버와 통신을 시도합니다.
이를 통해 특정 배포 시점(2013년 7월 19일경)에서 사용자 몰래 추가적인 악성 파일(interpro3.exe)을 다운로드하는 동작을 확인할 수 있으며, 해당 파일(MD5 : 5648112c96b1a16957765d5740af192d)에 대하여 AhnLab V3 보안 제품에서는 Downloader/Win32.Genome (VT : 17/46) 진단명으로 진단되고 있습니다.(※ 해당 파일은 이 글에서 중점적으로 살펴볼 "인터넷프로(System Int Professional)" 프로그램 설치 목적으로 제작되었습니다.)
추가적으로 "hfikexsfrue.exe" 악성 파일과 동일한 기능을 가진 변종 드랍퍼(Dropper) 파일(ymlhkoqru.exe)을 함께 다운로드하여 사용자 PC에 언제든지 원하는 프로그램을 지속적으로 설치할 수 있도록 준비하고 있습니다.
참고로 ymlhkoqru.exe 파일(MD5 : 2dc8c103098456f4fbfd9f531d2b1104)에 대하여 AhnLab V3 보안 제품에서는 Adware/Win32.KorAd (VT : 17/46) 진단명으로 진단되고 있습니다.
C:\Program Files\ymlhkoqru
C:\Program Files\ymlhkoqru\ymlhkoqru.dll
- MD5 : 8bc5ba4b041efe890481c46a9872153d
- AhnLab V3 : Trojan/Win32.KorAd (VT : 2/46)
[생성 레지스트리 등록 정보]
HKEY_LOCAL_MACHINE\SOFTWARE\ymlhkoqru
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\ymlhkoqru
해당 악성코드 역시 "ymlhkoqru" 서비스 항목을 등록하여 시스템 시작시 "%SystemRoot%\System32\svchost.exe -k netsvcs" 명령어를 이용하여 업데이트 서버를 체크하며, 만약 추가된 수익성 프로그램 및 드랍퍼(Dropper) 파일이 존재할 경우 사용자 몰래 다운로드하는 기능을 가지고 있습니다.(※ 현재 테스트 시점에서는 추가적인 다운로드가 존재하지 않습니다.)
다시 "hfikexsfrue" 서비스를 통해 사용자 몰래 다운로드된 "interpro3.exe" 악성 파일을 통해 "인터넷프로(System Int Professional)" 프로그램이 설치되는 과정을 자세하게 살펴보도록 하겠습니다.
다운로드된 interpro3.exe 파일이 실행되면 "C:\Users\(사용자 계정)\AppData\Roaming\temp\interpro2.exe" 파일을 생성하며, 해당 파일(MD5 : c8c2c65c1bc11ee5e2aad30c99075c77)에 대하여 Kaspersky 보안 제품에서는 Trojan-Downloader.Win32.Genome.easu (VT : 14/45) 진단명으로 진단되고 있습니다.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
- interpro3 = "C:\Users\(사용자 계정)\AppData\Roaming\temp\interpro2.exe"
생성된 interpro2.exe 파일은 시스템 재시작시 1회 자동 실행되도록 시작 프로그램(RunOnce)에 자신을 등록하도록 구성되어 있습니다.
이를 통해 Windows 시작시 자동 실행된 interpro2.exe 파일은 "C:\Users\(사용자 계정)\AppData\Roaming\temp\interpro1.exe" 파일을 생성 및 실행하여 다음과 같은 추가적인 다운로드를 시도한 후 자가 삭제 처리됩니다.
참고로 interpro1.exe 파일(MD5 : 10d5528cdd7724016b4ef8a6e74223de)에 대하여 Kaspersky 보안 제품에서는 Trojan-Downloader.Win32.Genome.easu (VT : 12/46) 진단명으로 진단되고 있습니다.
- h**p://inter*******fessional.net/install-program/Install-313001.exe (MD5 : 277ce29e71b9f42b6e21090bc83b3ea8) - BitDefender : Gen:Variant.Graftor.Elzob.15668 (VT : 16/46)
1차적으로 다운로드된 "인터넷프로(System Int Professional)" 프로그램 설치 파일(Install-313001.exe)은 자동 실행되어 추가적인 다운로드를 진행합니다.
- h**p://inter*******fessional.net/setup-program/InternetProSetup.exe (MD5 : 854824df8a65b1a85e9c20facb750f28) - avast! : Win32:Adware-gen [Adw] (VT : 14/46)
추가 다운로드된 InternetProSetup.exe 파일은 "C:\Program Files\SysIntPro\InternetProSetup.exe" 파일로 생성되어 사용자 몰래 다음과 같은 "인터넷프로(System Int Professional)" 프로그램을 최종적으로 설치하게 됩니다.
C:\Program Files\SysIntPro
C:\Program Files\SysIntPro\category.dt
C:\Program Files\SysIntPro\data-at.dat
C:\Program Files\SysIntPro\data-gm.dat
C:\Program Files\SysIntPro\file-prsync.dat
C:\Program Files\SysIntPro\InternetProSetup.exe
C:\Program Files\SysIntPro\nhopen.dll
C:\Program Files\SysIntPro\prsyncb.dll
C:\Program Files\SysIntPro\prsynce.exe :: 메모리 상주 프로세스
C:\Program Files\SysIntPro\prsynch.exe
C:\Program Files\SysIntPro\prsyncm.exe :: 인터넷프로 프로그램 실행 파일
C:\Program Files\SysIntPro\prsyncn.exe :: 메모리 상주 프로세스
C:\Program Files\SysIntPro\prsynco.exe :: 예약 작업(prsynco) 등록 파일, 메모리 상주 프로세스
C:\Program Files\SysIntPro\prsyncp.exe
C:\Program Files\SysIntPro\prsyncs.exe :: 서비스(System Internet Professional) 등록 파일, 메모리 상주 프로세스
C:\Program Files\SysIntPro\prsynct.dll
C:\Program Files\SysIntPro\prsyncu.exe :: 프로그램 삭제 파일
C:\Users\(사용자 계정)\AppData\Local\Temp\LastTimeCK.dat
C:\Users\(사용자 계정)\AppData\Roaming\temp\Install-313001.exe
C:\Windows\System32\Tasks\prsynco
C:\Program Files\SysIntPro\InternetProSetup.exe
- MD5 : 854824df8a65b1a85e9c20facb750f28
- avast! : Win32:Adware-gen [Adw] (VT : 14/46)
C:\Program Files\SysIntPro\nhopen.dll
- MD5 : 99db86bd85d039e212edc650cbeea034
- nProtect : Adware/W32.KrAdword.1404416.B (VT : 15/45)
C:\Program Files\SysIntPro\prsyncn.exe
- MD5 : 4970dbb929ee6d1148fb31514efe01f6
- AhnLab V3 : PUP/Win32.WiniSafer (VT : 23/46)
C:\Program Files\SysIntPro\prsynco.exe
- MD5 : cfc2b46878d538b3f986daac342f7972
- avast! : Win32:Adware-gen [Adw] (VT : 22/46)
유해 사이트 차단 기능과 광고 기능을 가진 "인터넷프로(System Int Professional)" 프로그램은 "C:\Program Files\SysIntPro" 폴더에 파일을 생성하며, 다음과 같은 2가지 방식을 통해 시스템 시작시 자동 실행되도록 구성되어 있습니다.
1. "System Internet Professional" 서비스
"System Internet Professional" 서비스 항목을 등록하여 시스템 시작시 "C:\Program Files\SysIntPro\prsyncs.exe" 파일을 자동 실행하도록 구성되어 있습니다.
자동 실행된 서비스 파일(prsyncs.exe)은 추가적으로 "C:\Program Files\SysIntPro\prsyncp.exe" 파일을 로딩하여 다음과 같은 기능을 수행합니다.
(1) 기존의 인터넷프로(System Int Professional) 프로그램 삭제 기능을 수행하던 파일 2개를 삭제합니다.
- C:\Program Files\SysIntPro\unins000.dat
- C:\Program Files\SysIntPro\unins000.exe
(2) 프로그램 버전 체크를 통한 업데이트 수행 및 이용약관 정보를 체크합니다.
- C:\Windows\System32\prsync-vdt.dat
- C:\Windows\System32\prsyncdata.html
(3) prsyncp.exe 파일은 ["C:\Program Files\SysIntPro\prsynce.exe" setup1] 파일을 로딩한 후 종료 처리됩니다.
(4) 실행된 prsynce.exe 파일은 다음의 2개의 프로세스를 추가로 로딩하여 자식 프로세스로 메모리에 상주시킵니다.
- C:\Program Files\SysIntPro\prsynco.exe
- "C:\Program Files\SysIntPro\prsyncn.exe" -i divinemedia dnas21
(5) 또한 prsynce.exe 파일은 "C:\Users\(사용자 계정)\AppData\Local\Temp\LastTimeCK.dat" 파일 생성을 통해 실행 카운터(Counter) 정보를 체크합니다.
2. "prsynco" 예약 작업
"인터넷프로(System Int Professional)" 프로그램은 Windows 로그인 과정에서 "prsynco" 값을 예약 작업에 등록하여 "C:\Program Files\SysIntPro\prsynco.exe" 파일을 자동 실행하도록 구성되어 있습니다.(※ 해당 파일은 유해 사이트 차단 기능이 아닌 오픈매치(OpenMatch) 광고 기능을 수행합니다.)
3. "인터넷프로(System Int Professional)" 유해 사이트 차단 기능
이렇게 사용자 몰래 설치된 "인터넷프로(System Int Professional)" 프로그램은 프로그램 목록에 등록되지 않는 문제로 사용자가 "C:\Program Files\SysIntPro\prsyncm.exe" 파일을 직접 찾아 실행하여 유해 사이트 차단 기능을 활성화한 경우에만 동작하도록 제작되어 있습니다.
4. "인터넷프로(System Int Professional)" 광고 기능
"인터넷프로(System Int Professional)" 유해 사이트 차단 프로그램에는 필수적으로 광고 기능이 추가되어 있습니다.
시스템 시작 후 프로세스 정보를 확인해보면 유해 사이트 차단 기능은 사용자가 수동으로 활성화하지 않는 이상 동작하지 않으며, 광고 기능을 수행하는 프로세스(prsyncn.exe, prsynco.exe)는 자동 실행되어 메모리에 상주하는 것을 확인할 수 있습니다.
▶ <2012년 관련 정보> 제휴(스폰서) 프로그램 : Windows NCast Provide Engine (2012.12.1) 외 7종
▷ "Windows InternetSafer" 유해 차단 프로그램에 포함된 intsfad.exe 광고 파일 (2013.2.3)
▷ 검색 도우미 : Windows Internet displaylink (2013.4.6)
▷ 검색 도우미 : IProtect (2013.4.8)
▷ 검색 도우미 : Microsoft AD WS (2013.5.26)
▷ "Internet Explorer ISafesvc" 유해 사이트 차단 프로그램을 이용한 광고 주의 (2013.6.8)
▷ 검색 도우미 : SubShop (2013.6.22)
광고 기능은 크게 인터넷 검색을 통해 웹 사이트 접속시 또는 종료시 광고창을 생성하는 오픈매치(OpenMatch) 광고(nhopen.dll + prsynco.exe)와 인터넷 검색시 자동으로 광고창을 생성하는 Windows NAP 광고(prsyncn.exe)가 포함되어 있습니다.(※ 일부 파일 정보는 부정확할 수 있습니다.)
이를 통해 사용자가 인터넷 검색을 시도할 경우 자동으로 광고창이 생성되는 동작을 확인할 수 있습니다.
해당 광고 생성 동작은 사용자가 입력한 검색 키워드 값을 광고 서버에 전송하여 제휴 코드가 추가된 광고창을 생성하는 방식으로 확인되고 있습니다.
또한 인터넷 검색을 통해 제시된 웹 사이트에 접속하는 과정에서도 추가적인 광고창이 생성되는 동작을 확인할 수 있으며, 웹 브라우저 탭(창)을 종료하는 시점에서 후팝업 창을 생성하는 등의 다양한 광고 기능이 이루어질 수 있습니다.
5. "인터넷프로(System Int Professional)" 프로그램 삭제 방법
"인터넷프로(System Int Professional)" 유해 사이트 차단 프로그램의 삭제를 위해서는 다음과 같은 절차에 따라 삭제를 진행하시기 바랍니다.
(1) "보조 프로그램 → 명령 프롬프트" 메뉴를 "관리자 권한으로 실행"하여 [sc stop "System Internet Professional"] 명령어를 입력 및 실행하여 서비스 프로세스(prsyncs.exe)를 중지(종료)하시기 바랍니다.
(2) Windows 작업 관리자를 실행하여 prsynce.exe, prsyncn.exe, prsynco.exe 3개의 프로세스를 찾아 수동으로 종료하시기 바랍니다.
(3) 제어판에 등록된 "System Int Professional" 삭제 항목을 실행하여 프로그램을 삭제하시기 바랍니다.
프로그램 삭제 과정에서는 "Internet Professional Uninstall" 창이 생성되므로, "Agree to delete the program.(프로그램 삭제에 동의합니다.)" 체크 박스에 체크를 한 후 "Uninstall(프로그램 삭제)"을 진행하시기 바랍니다.
(4) 프로그램 삭제 후에는 추가적으로 다음의 폴더(파일)를 찾아 수동으로 삭제하시기 바랍니다.
- C:\Program Files\SysIntPro
- C:\Program Files\SysIntPro\prsyncu.exe
HKEY_CURRENT_USER\Software\div003
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\RInternetProfessional_is1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NAP
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{64867861-D2D9-49D9-85FA-8D994F3E1AF4}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\prsynco
HKEY_LOCAL_MACHINE\SOFTWARE\SysIntProRg
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\System Internet Professional
최근 유해 사이트 차단 프로그램이 배포되는 경향을 살펴보면 사용자의 부주의한 동의 과정을 통해 설치되는 과정에서 악성 파일을 추가로 설치하여 온라인 게임 정보 탈취 또는 수익성 프로그램을 사용자 몰래 설치하거나, 이번 사례처럼 악성 파일을 통해 사용자 동의없이 몰래 설치되는 방식도 확인되고 있으므로 주의하시기 바랍니다.
☞ "Windows InternetSafer" 유해 차단 프로그램에 포함된 intsfad.exe 광고 파일 (2013.2.3)
☞ "Internet Explorer ISafesvc" 유해 사이트 차단 프로그램을 이용한 광고 주의 (2013.6.8)
☞ iSafePlus ver 2.0 설치시 추가되는 FGSVC32.exe 악성 파일 주의 (2013.6.30)