인터넷 검색 과정에서 추가적인 광고창을 자동으로 생성하는 검색 도우미 TabStation 프로그램(MD5 : 64ee8857573a3048def687dae8ad6d50)에 대해 살펴보도록 하겠습니다.
▷ [삭제] DreamNet Service (2013.3.23)
▷ 국내 악성코드 : GloryShop (2013.4.7)
▷ 검색 도우미 : Microsoft AD WS (2013.5.26)
▷ 검색 도우미 : SubShop (2013.6.22)
▷ 국내 악성코드 : SubWing (2013.8.7)
TabStation 프로그램은 최근 다양한 이름으로 배포가 이루어지고 있는 것으로 보이며, 특히 다수의 프로그램은 제어판의 삭제 항목이 등록하지 않는 방식으로 삭제를 방해하는 부분이 지속적으로 확인되고 있으므로 주의하시기 바랍니다.
C:\Users\(사용자 계정)\AppData\Local\Temp\LastTimeCK.dat
C:\Users\(사용자 계정)\AppData\Roaming\stationtab
C:\Users\(사용자 계정)\AppData\Roaming\stationtab\category.dt
C:\Users\(사용자 계정)\AppData\Roaming\stationtab\inst.dat
C:\Users\(사용자 계정)\AppData\Roaming\stationtab\msvcp100.dll
C:\Users\(사용자 계정)\AppData\Roaming\stationtab\msvcr100.dll
C:\Users\(사용자 계정)\AppData\Roaming\stationtab\nhopen.dll
C:\Users\(사용자 계정)\AppData\Roaming\stationtab\PCOlib.dll
C:\Users\(사용자 계정)\AppData\Roaming\stationtab\portal.exe
C:\Users\(사용자 계정)\AppData\Roaming\stationtab\stationtab.exe
C:\Users\(사용자 계정)\AppData\Roaming\stationtab\stationtabs.exe :: 서비스(stationtabs) 등록 파일
C:\Users\(사용자 계정)\AppData\Roaming\stationtab\stationtabu.exe
C:\Users\(사용자 계정)\AppData\Roaming\stationtab\timeAdd.dll
C:\Users\(사용자 계정)\AppData\Roaming\stationtab\uninstall.exe :: 프로그램 삭제 파일
C:\Users\(사용자 계정)\AppData\Roaming\stationtab\wingg.exe :: 예약 작업(wingg) 등록 파일, 메모리 상주 프로세스
C:\Windows\System32\Tasks\wingg
C:\Users\(사용자 계정)\AppData\Roaming\stationtab\nhopen.dll
- MD5 : 99db86bd85d039e212edc650cbeea034
- nProtect : Adware/W32.KrAdword.1404416.B (VT : 14/46)
C:\Users\(사용자 계정)\AppData\Roaming\stationtab\PCOlib.dll
- MD5 : 2d264fc068a6afc1a8c4f13c44c42f77
- AhnLab V3 : Win-PUP/Helper.PCO.942280 (VT : 2/46)
C:\Users\(사용자 계정)\AppData\Roaming\stationtab\portal.exe
- MD5 : e5715971c17cd7345e438388d95c842b
- AhnLab V3 : PUP/Win32.MWManager (VT : 7/46)
C:\Users\(사용자 계정)\AppData\Roaming\stationtab\stationtab.exe
- MD5 : 3e8cccf6752b63a725fae4625c32c4b7
- AhnLab V3 : PUP/Win32.TopBar (VT : 1/46)
C:\Users\(사용자 계정)\AppData\Roaming\stationtab\stationtabs.exe
- MD5 : b6e349ce01089f1fab53b47ac84d73bf
- AhnLab V3 : PUP/Win32.TopBar (VT : 1/46)
C:\Users\(사용자 계정)\AppData\Roaming\stationtab\wingg.exe
- MD5 : 944f6d064bdb033dbfb9ae0d5c4ded7d
- AhnLab V3 : PUP/Win32.URLHelper (VT : 28/46)
해당 프로그램은 "C:\Users\(사용자 계정)\AppData\Roaming\stationtab" 폴더에 파일을 생성하며, 시스템 시작시 다음과 같은 방식으로 자동 실행되도록 구성되어 있습니다.(※ 확인되지 않은 TabStation 변종 프로그램의 경우에는 "C:\Users\(사용자 계정)\AppData\Roaming\pascoal" 폴더에 파일을 생성하는 것으로 추정됩니다.)
1. 예약 작업(wingg) 등록 파일 : C:\Users\(사용자 계정)\AppData\Roaming\stationtab\wingg.exe
사용자가 Windows 로그온시 "C:\Users\(사용자 계정)\AppData\Roaming\stationtab\wingg.exe" 파일을 예약 작업(wingg)에 등록하여 자동 실행하도록 구성되어 있습니다.
자동 실행된 wingg.exe 파일은 특정 서버에서 광고 구성값 및 실행 카운터(Counter)를 체크하여 "C:\Users\(사용자 계정)\AppData\Local\Temp\LastTimeCK.dat" 파일을 생성한 후 메모리에 상주합니다.
2. stationtabs(TabStation) 서비스 등록 파일 : C:\Users\(사용자 계정)\AppData\Roaming\stationtab\stationtabs.exe
"stationtabs(TabStation)" 서비스 항목을 등록하여 시스템 시작시 "C:\Users\(사용자 계정)\AppData\Roaming\stationtab\stationtabs.exe" 파일을 자동 실행하도록 구성되어 있습니다.
자동 실행된 서비스 파일(stationtabs.exe)은 3분 30초 가량 대기를 한 후 다음과 같은 통신을 통해 업데이트 체크를 수행합니다.
- C:\Users\(사용자 계정)\AppData\Roaming\stationtab\option.dat
- C:\Users\(사용자 계정)\AppData\Roaming\stationtab\up.dat
3분 30초가 경과하면 "C:\Users\(사용자 계정)\AppData\Roaming\stationtab\stationtab.exe" 파일을 로딩하여 특정 서버로부터 option.dat 정보를 받아오며, "C:\Users\(사용자 계정)\AppData\Roaming\stationtab\stationtabu.exe" 파일 실행을 통해 업데이트 정보를 체크한 후 모두 종료 처리됩니다.
3. 오픈매치(OpenMatch) 광고 기능
프로그램이 설치된 환경에서 인터넷 검색을 통해 웹 사이트에 접속을 하는 경우 자동으로 추가적인 광고창이 생성될 수 있습니다.
생성된 광고창은 오픈매치(OpenMatch) 광고 서버를 통해 다양한 광고창을 생성할 수 있으며, 지금까지 블로그에 소개된 해당 광고 기능이 포함된 사례는 다음과 같습니다.
▶ <2012년 관련 정보> 제휴(스폰서) 프로그램 : Windows NCast Provide Engine (2012.12.1) 외 7종
▶ <2013년 1월~6월 관련 정보> 검색 도우미 : SubShop (2013.6.22) 외 5종
▷ 악성 파일로 설치되는 System Int Professional 프로그램 유포 주의 (2013.7.31)
해당 광고 동작은 메모리에 상주하는 wingg.exe 프로세스를 통해 이루어지므로, 광고 동작 중지 및 프로그램 삭제시에는 Windows 작업 관리자를 실행하여 wingg.exe 프로세스를 찾아 수동으로 종료하시기 바랍니다.
4. 광고 서버 해킹을 통한 악성코드 유포 행위
오픈매치(OpenMatch) 광고 기능은 인터넷 검색시, 웹 브라우저 창(탭) 종료시 자동으로 광고창이 생성되는 방식인데, 이런 과정에서 옥션(Auction) 광고창이 생성되는 과정에서 Oracle Java 플러그인이 동작하는 부분을 발견할 수 있었습니다.
해당 부분에 대해 조사를 진행해보면 옥션(Auction) 광고창을 불러오기 위해 연결되는 광고 서버가 해킹되어 악성 스크립트로 연결되도록 하는 부분을 발견할 수 있으며, 이를 통해 Adobe Flash Player, Oracle Java 등의 보안 취약점을 가진 프로그램 버전을 사용할 경우 자동 감염이 이루어질 수 있습니다.
- h**p://potopoto.com/wer.exe (MD5 : aa8aee56533861d41e53f23812ed3e29) - MSE : Backdoor:Win32/Morix.B (VT : 21/45)
참고로 AhnLab V3 365 Clinic 3.0 버전에서는 행위 기반 진단 및 웹 보안 기능을 통해 최종 파일 다운로드를 차단하고 있습니다.
5. 기타 파일 정보
TabStation 검색 도우미 프로그램의 생성 파일을 확인해보면 기존에 소개한 몇 가지 광고 프로그램이 복합적으로 적용된 부분을 발견할 수 있습니다.
(1) C:\Users\(사용자 계정)\AppData\Roaming\stationtab\PCOlib.dll
PCOlib.dll 파일은 PC Clean Optimizer 검색 도우미 프로그램과 연관된 파일입니다.
(2) C:\Users\(사용자 계정)\AppData\Roaming\stationtab\portal.exe
▶ <2010년~2012년 관련 정보> 검색 도우미 : TabChoice (2012.12.10) 외 4건
▷ 검색 도우미 : SearchBar (2013.6.26)
▷ 검색 도우미 : Micro Web Manager (2013.7.11)
▷ 국내 악성코드 : SubWing (2013.8.7)
portal.exe 파일은 "MWMToolbar 에이전트 프로그램" 속성값을 가지고 있으며, 해당값은 윙고 툴바(WingGo Toolbar) 검색 도우미 계열입니다.
6. 프로그램 삭제 방법
프로그램 삭제는 제어판에 등록된 "TabStation" 삭제 항목을 이용하여 삭제할 수 있습니다.
HKEY_CURRENT_USER\Software\AnyBord
HKEY_CURRENT_USER\Software\wingg
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\stationtab
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\stationtabs
TabStation 프로그램 내부에는 윙고 툴바(WingGo Toolbar), PC Clean Optimizer 검색 도우미 관련 기능이 포함되어 있지만, 현재 설치된 환경에서는 오픈매치(OpenMatch) 광고 기능만 동작하고 있습니다.
이는 차후 업데이트를 통해 변종 프로그램 설치 또는 다른 광고 기능이 추가적으로 동작할 여지가 있으므로 주의하시기 바랍니다.