국내 인터넷 사용자를 대상으로 다양한 유포 경로를 통해 제휴(스폰서) 프로그램을 설치한 후 사용자 몰래 온라인 게임 정보를 수집할 목적으로 추가적인 악성코드를 감염시키는 사례가 광범위하게 발생하고 있습니다.

 

이번 사례는 2013년 5월~7월경에 활발하게 유포한 것으로 추정되는 "shcpop 1.0" 프로그램을 통해 일련의 유포 과정과 관련 정보를 공개하도록 하겠습니다.

대표적인 유포 방식으로는 블로그를 통해 사용자들이 많이 검색하는 프로그램의 설치 파일을 링크 방식으로 다운로드하도록 구성되어 있으며, 이를 통해 광고 프로그램 배포 목적으로 국내에서 운영되는 자료실 서버에서 파일을 받아옵니다.

다운로드된 파일<MD5 : 9a5f6d0a53f1c6a742b0745db12bac82 - avast! : Win32:PUP-gen [PUP] (VT : 6/47)>을 실행하면 마치 Internet Explorer 웹 브라우저에서 제공하는 것처럼 구성된 다운로더 창이 생성되며, 하단의 좁은 영역에는 다수의 제휴 프로그램들이 등록되어 있습니다.

 

그 중에서도 "투데이팝" 프로그램을 설치할 경우 "shcpop 1.0" 프로그램이 설치되도록 되어 있습니다.

사용자가 숨어 있는 제휴 프로그램을 발견하지 못한 상태로 다운로드를 실행하면 백그라운드 방식으로 카페24(Cafe24) 웹 호스팅 서버로부터 "투데이팝" 설치 파일을 다운로드하여 "C:\DOCUME~1\(사용자 계정)~1\LOCALS~1\Temp\part10.exe" 파일로 생성하여 자동 실행하도록 구성되어 있습니다.

  1. h**p://kanmay.cafe**.com/part01.exe (MD5 : 88552257efb54fb808bc83aa4d9e3e90) - AhnLab V3 : PUP/Win32.Adware (VT : 20/47)
  2. h**p://kanmay.cafe**.com/part02.exe (MD5 : 0466c054d81d571c4300e5a5408d77b8) - AhnLab V3 : PUP/Win32.Adware (VT : 24/47)
  3. h**p://kanmay.cafe**.com/part03.exe (MD5 : 98e5e194989e5e30f363a21ee3ab64c3) - AhnLab V3 : PUP/Win32.Adware (VT : 18/47)
  4. h**p://kanmay.cafe**.com/part04.exe (MD5 : 2fce08f0ecfe771828987aa2f77a4e0e) - AhnLab V3 : PUP/Win32.Adware (VT : 19/45)
  5. h**p://kanmay.cafe**.com/part05.exe (MD5 : 2c67ca1ce6b44f44911ddb0032fe8cac) - AhnLab V3 : PUP/Win32.Adware (VT : 23/46)
  6. h**p://kanmay.cafe**.com/part06.exe (MD5 : f7385cf037bb6ef91dffc578d8f178c3) - AhnLab V3 : PUP/Win32.Adware (VT : 22/47)
  7. h**p://kanmay.cafe**.com/part07.exe (MD5 : 80e09fd56316132113a0a72bb897d05f) - AhnLab V3 : PUP/Win32.Adware (VT : 22/46)
  8. h**p://kanmay.cafe**.com/part08.exe (MD5 : 0ff612fe5b3647cdbe06c8342d3a7a2d) - AhnLab V3 : PUP/Win32.Adware (VT : 20/47)
  9. h**p://kanmay.cafe**.com/part09.exe (MD5 : 0313ac7b951b5051d652f0adf740248e) - AhnLab V3 : PUP/Win32.Adware (VT : 22/47)
  10. h**p://kanmay.cafe**.com/part10.exe (MD5 : 1d9d030294234ae19c13a524cc715b99) - AhnLab V3 : PUP/Win32.Adware (VT : 22/47)

참고로 분석 당시 투데이팝 설치 파일 변종은 총 10종이 발견되었으며, 일반적으로 "불필요한 프로그램(PUP)" 진단으로 인하여 보안 제품을 우회할 수 있습니다.

 

[생성 폴더 / 파일 등록 정보 : shcpop 1.0]

 

C:\Program Files\hcpop
C:\Program Files\hcpop\hcpop.exe :: 메모리 상주 프로세스
C:\Program Files\hcpop\hcsvc.exe :: 서비스(hcpop update) 등록 파일
C:\Program Files\hcpop\uninst.exe :: 프로그램 삭제 파일
C:\WINDOWS\rnsa.ini

 

[생성 레지스트리 등록 정보]

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\hcsvc.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
shcpop
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_HCPOP_UPDATE
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\hcpop update

설치된 투데이팝(shcpop 1.0) 프로그램은 "C:\Program Files\hcpop" 폴더에 파일을 생성하며, 기존의 "hcpop win" 변종 프로그램과 동일한 폴더 위치입니다.

또한 "hcpop update(hcpop update svc)" 서비스 항목을 등록하여 시스템 시작시 "C:\Program Files\hcpop\hcsvc.exe" 파일을 자동 실행하도록 구성되어 있으며, 자동 실행된 서비스 파일(hcsvc.exe)은 "C:\Program Files\hcpop\hcpop.exe" 파일을 로딩하여 다음과 같은 동작을 할 수 있습니다.

실행된 hcpop.exe 파일은 "Microsoft Windows 호환 추가 프로그램 (build 2013)" 업데이트 창을 생성하여 마이크로소프트(Microsoft) 관련 프로그램처럼 사용자를 속여서 다수의 수익성 프로그램의 설치를 유도할 수 있습니다.

 

(1) 검색 도우미 : Enumerate Top Search - GT (2013.4.24)

  • h**p://down.enumst***.co.kr/download/enumerate_gt_epinst8.exe (MD5 : 1e3d56d0c063ae4014b10befc13d019d) - AhnLab V3 : Win-PUP/Helper.Enumerate.149160 (VT : 19/43)
  • <추가 다운로드> h**p://down.enumst***.co.kr/download/Enumerate_gt5_hinst.exe (MD5 : 175b12d6c7eb0a544f5ae39270753948) - AhnLab V3 : PUP/Win32.Enumerate (VT : 33/47)

(2) 검색 도우미 : MatchKey (2013.4.7)

  • h**p://down.match***.net/install/mkeyins_ptn1.exe (MD5 : 50a27f08b1133ec3cc39f22d6df29e35) - AhnLab V3 : PUP/Win32.F2Day (VT : 21/46)

(3) 개인정보 보안 솔루션 : 비즈보안(BizBoan) (2013.5.9)

  • h**p://221.***.14.***/bizboan.exe (MD5 : e7e34259a5529957b125d6f24bcce6d8) - Hauri ViRobot : Trojan.Win32.S.Onescan.765032 (VT : 22/47)

(4) 검색 도우미 : InsideTool (2013.5.13)

  • h**p://www.plan***.com/update/052313/InsideTool__IT138.exe (MD5 : b9d152d06a1eef5c53de925efe84cfda) - AhnLab V3 : PUP/Win32.InsideTool (VT : 12/47)
  • <추가 다운로드> h**p://file.**tab.co.kr/dst/InsideTool_IT138.exe (MD5 : 3d16a7b2d05522e42786b3639cd8e48d) - AhnLab V3 : PUP/Win32.InsideTool (VT : 21/46)

(5) 검색 도우미 : STool (2013.5.22)

  • h**p://www.plan***.com/update/052313/STool__gemuldownloader.exe (MD5 : 8157b22be88a59901f5f5b47f22f739e) - AhnLab V3 : PUP/Win32.Helper (VT : 22/47)
  • <추가 다운로드> h**p://file.win***.co.kr/dst/STool_SD30.exe (MD5 : 6f27f8fab59f4ca0c0a1d43c38a5cb68) - AhnLab V3 : PUP/Win32.Helper (VT : 25/47)

위와 같이 투데이팝(shcpop 1.0) 프로그램은 전형적인 제휴 프로그램 설치 또는 시스템 시작시 광고창 생성을 목적으로 제작된 것처럼 외형을 갖추고 있습니다.

하지만 투데이팝(shcpop 1.0) 프로그램이 설치 또는 시스템 시작 후 3분이 경과하는 시점에서 "C:\Program Files\hcpop\hcpop.exe" 파일은 사용자 몰래 추가적인 파일(data.dat)을 다운로드하는 동작을 확인할 수 있습니다.

 

다운로드된 파일(data.dat)은 "C:\DOCUME~1\(사용자 계정)~1\LOCALS~1\Temp\backdas.exe" 파일<MD5 : c30312b690d7d74019194215f8be7271 - AhnLab V3 : Trojan/Win32.Qhost (VT : 25/46)>로 생성한 후 다음과 같은 악성코드를 생성합니다.

 

[생성 파일 및 진단 정보]

 

C:\WINDOWS\system32\IETimes.txt
C:\WINDOWS\system32\WindowsDriver.dll :: 숨김(H) 속성
 - MD5 : 68aa29344b6582acf8b069b8a91037d1
 - AhnLab V3 : Trojan/Win32.OnlineGameHack.R81559 (VT : 10/46)

 

[생성 레지스트리 등록 정보]

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost
 - WindowsDriver = WindowsDriver
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_
WINDOWSDRIVER
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WindowsDriver

 

  제휴(스폰서) 프로그램을 이용한 온라인 게임 악성코드 유포 주의 (2012.3.12)

 

  파일 다운로더 제휴 프로그램을 통한 백도어 유포 주의 (2012.6.2)

 

  랭킹 순위 프로그램으로 위장한 백도어 유포 주의 (2012.6.8)

 

  alexa 프로그램으로 위장한 WindowsDriver.dll 악성 파일 유포 주의 (2012.6.10)

 

  글자수 세기 프로그램을 이용한 온라인 게임핵 유포 주의 (2012.10.9)

 

해당 악성코드는 블로그를 통해 다양한 유포 방식과 변종에 대한 소식을 전한 바 있으므로 참고하시기 바랍니다.

생성된 악성코드는 "WindowsDriver" 서비스 항목을 등록하여 시스템 시작시 [C:\WINDOWS\system32\svchost.exe -k WindowsDriver] 파일을 자동 실행하도록 구성되어 있습니다.

 

이를 통해 실행된 서비스 파일(svchost.exe)은 "C:\WINDOWS\system32\WindowsDriver.dll" 악성 파일을 통해 통해 다음과 같은 보안 제품 기능을 무력화 시도하며, 특정 온라인 게임 관련 프로세스를 모니터링 합니다.

 

참고로 보안 제품 무력화를 위해서는 시스템 부팅시 자동 실행되는 서비스를 통해 "C:\WINDOWS\system32\quanskp.sys" 드라이버 파일<MD5 : 974aad11aaff3ac5182c21e76b59d24a - AhnLab V3 : Trojan/Win32.Rootkit (VT : 31/47)>을 임시 생성하여 무력화한 후 자가 삭제 처리가 이루어집니다.

  • 보안 제품 무력화 : v3lsvc.exe, v3ltray.exe, v3light.exe, v3medic.exe, naveragent.exe, nvcupgrader.exe, alupdate.exe
  • 온라인 게임 모니터링 : baduki.exe, duelpoker.exe, highlow2.exe, laspoker.exe, hoola3.exe, poker7.exe

일반적으로 도박성 온라인 게임을 타켓으로 운영되는 해당 악성코드는 사용자가 특정 온라인 게임을 실행할 경우 추가적인 명령에 따라 화면 캡처 등의 정보 유출을 시도할 수 있습니다.

또한 추가적인 다운로드(xxx.exe)를 시도하고 있으며, 분석 당시에서는 정상적으로 다운로드가 이루어지지 않고 있습니다. 하지만 과거 유사 변종의 경우 추가적인 다수의 악성 파일이 다운로드되어 설치가 이루어지는 동작을 확인할 수 있었습니다.

 

특히 생성된 "C:\WINDOWS\system32\WindowsDriver.dll" 파일은 숨김(H) 속성값으로 인해 Windows 탐색기 기본값에서는 파일이 보이지 않으며, 파일 용량도 75.5MB의 비정상적인 크기를 통해 보안 제품의 진단을 우회하도록 제작되어 있습니다.

위와 같이 shcpop 1.0 프로그램이 설치된 환경에서는 사용자는 외형적으로 드러난 업데이트 창을 통한 수익성 프로그램 설치 행위만 알 수 있기에 시스템 동작 중 사용자 몰래 동작하는 "WindowsDriver" 서비스는 쉽게 발견할 수 없습니다.

 

이로 인하여 시스템 시작시마다 AhnLab V3, 알약(ALYac), 네이버 백신(Naver Vaccine) 등이 비정상적으로 동작하거나 특정 시점에서는 사용자 몰래 추가적인 악성 파일을 다운로드하는 등의 악의적 행위가 지속될 수 있습니다.

다수의 사용자들은 제어판에 등록된 "shcpop 1.0" 프로그램을 삭제하는 것으로 프로그램이 제거된 것으로 생각하지만, 사용자 몰래 설치된 악성코드는 여전히 시스템에 상주하여 정보 유출 및 보안 제품의 동작을 방해할 수 있습니다.

그러므로 폴더 옵션의 "숨김 파일 및 폴더 표시"에 체크를 한 후, "C:\WINDOWS\system32\WindowsDriver.dll" 파일이 존재하는 사용자는 보안 제품을 통해 치료하거나 다음과 같은 절차에 따라 수동으로 삭제를 하시기 바랍니다.(※ 해당 내용은 Windows XP 운영 체제 기준입니다.)

 

(1) 실행창에 [sc stop "WindowsDriver"] [sc delete "WindowsDriver"] 명령어를 단계적으로 입력 및 실행하여 "WindowsDriver" 서비스 종료 및 삭제를 하시기 바랍니다.

 

(2) "C:\WINDOWS\system32\WindowsDriver.dll" 파일을 찾아 수동으로 삭제하시기 바랍니다.

 

그 외에도 분석 당시에는 최초 유포한 것으로 보이는 "shcpop 1.0" 악성 프로그램의 변종 파일을 추가적으로 발견할 수 있었습니다.

  1. h**p://park03256.cafe**.com/part01.exe (md5 : 8f3682f6d425b2be09366ae0132fc936) - AhnLab V3 : PUP/Win32.Adware (VT : 18/47)
  2. h**p://park03256.cafe**.com/part02.exe (md5 : fc5cf418f23fd0ec8b13affce1588efa) - AhnLab V3 : PUP/Win32.Adware (VT : 20/47)
  3. h**p://park03256.cafe**.com/part03.exe (md5 : b15442bfce22dfe23831a5b2ecf1f46e) - AhnLab V3 : PUP/Win32.Adware (VT : 19/46)
  4. h**p://park03256.cafe**.com/part04.exe (md5 : 11a709421e6afaf4a9bc001288f3734a) - AhnLab V3 : PUP/Win32.Adware (VT : 20/47)
  5. h**p://park03256.cafe**.com/part05.exe (md5 : c0978a6ce00b9fc93be22b6647fbf2e7) - AhnLab V3 : PUP/Win32.Adware (VT : 21/47)
  6. h**p://park03256.cafe**.com/part06.exe (md5 : 90f6e2e36a943c03fdfee512e63df284) - AhnLab V3 : PUP/Win32.Adware (VT : 20/47)
  7. h**p://park03256.cafe**.com/part07.exe (md5 : 79961dda0cd2c1f958530d3884ac8165) - AhnLab V3 : PUP/Win32.Adware (VT : 17/46)
  8. h**p://park03256.cafe**.com/part08.exe (md5 : 9c9a7bb91c9d6d9ddeffd451859e36c3) - AhnLab V3 : PUP/Win32.Adware (VT : 19/47)
  9. h**p://park03256.cafe**.com/part09.exe (md5 : 8d447168a271fb21f2df8715fad08649) - AhnLab V3 : PUP/Win32.Adware (VT : 19/46)
  10. h**p://park03256.cafe**.com/part10.exe (md5 : 4b8a3e2e5f42cdeb5859ca286911b654) - AhnLab V3 : PUP/Win32.Adware (VT : 19/46)

위와 같이 제휴 프로그램을 통해 광고성 프로그램을 설치하는 방식에 사용자가 속지 않는 것이 중요하지만, 사이버 범죄자들은 항상 새로운 방식으로 사용자 PC에 설치를 시도합니다.

그러므로 실시간 감시에서 "불필요한 프로그램(PUP)" 검사 기능을 제공하며, 웹 보안 기능을 통해 "불필요한 사이트(PUS) 차단" 기능을 제공하는 AhnLab V3 365 클리닉 3.0 제품과 같은 보안 솔루션을 통해 시스템 보호를 하시길 권장해 드립니다.

 


블로그 이미지

울지않는 벌새

울지않는벌새가 되고 싶은 나..