최근 유명 소프트웨어 설치 파일로 위장하여 다운로드를 유도한 후 파일을 실행할 경우 자동으로 추가 다운로드 기능을 가진 INSafe mode 프로그램과 제휴 프로그램을 사용자 몰래 설치하려는 유포 사례에 대해 소개해 드린 적이 있습니다.
당시 분석 내용에서 유포 방식을 일반적으로 제휴 프로그램 배포 목적으로 제작된 스팸(Spam) 블로그로 언급을 하였지만, 추가적인 조사를 통해 네이버 지식인(Naver 지식IN) 답변글에서 변종 프로그램을 발견하여 정보를 공개해 드립니다.
예를 들어 네이버 지식인의 질문글로 KMPlayer 동영상 재생 프로그램에 대한 질문을 유포자로 추정되는 아이디(ID)로 등록한 후, 또 다른 비공개 아이디(ID)를 통해 질문 등록 2분만에 KMPlayer 다운로드 링크를 추가한 답변 등록 및 답변 추천 버튼을 클릭합니다.(※ 해당 답변 패턴은 스팸 블로그에서 볼 수 있는 사전에 제작된 글입니다.)
이렇게 등록된 지식인 답변은 인터넷 검색에 노출되어 다양한 사람들이 KMPlayer 설치 파일을 다운로드할 수 있으며, 다운로드된 파일(kmplayer.exe - MD5 : 7aeebcf5064d3a772863ea40dae7116d)은 이전과 마찬가지로 INSAFE 디지털 서명을 포함하고 있습니다.
다운로드된 파일을 실행하면 "파일 다운로드" 창을 생성하여 사용자가 원하는 KMPlayer 설치 파일을 특정 파일 자료실 서버에서 다운로드할 수 있도록 지원하고 있으며, 하단 영역에는 매우 좁은 영역에 2개의 제휴 프로그램을 등록하여 사용자가 체크 해제를 하지 않고 실행 또는 저장 버튼을 클릭시 자동 설치됩니다.
참고로 INSafe mode 유포 사례와는 다르게 이번에 유포된 파일은 최초 파일 실행시 자동으로 설치되는 동작은 제거되었지만, 여전히 사용자의 부주의한 실수를 통해 "서비스매니저", "유틸리티 폴더 서비스 - Utilify Folder Safe Mode" 제휴 프로그램을 설치하도록 되어 있습니다.
1. KMPlayer 설치 파일 다운로드
우선 기본적으로 사용자가 실행 또는 저장 버튼을 클릭할 경우 파일 자료실 서버로부터 KMPlayer 설치 파일을 다운로드하는 동작을 확인할 수 있습니다.
다운로드된 파일(kmplayer_downloader.exe)은 해외 파일 자료실에 등록된 정상적인 KMPlayer 다운로더 파일입니다.
2. "서비스매니저" 제휴 프로그램 : Internet Service Manager 또는 Windows Internet Service Manager
이전 유포 사례(INSafe mode)와는 다르게 서비스매니저 제휴 프로그램은 사용자가 반드시 체크한 상태에서만 다운로드를 시도하고 있습니다.
특정 서버로부터 다운로드된 설치 파일은 "C:\Users\(사용자 계정)\AppData\Local\Temp\ins.exe" 파일<MD5 : 84c976b9263cb561cb3f325468795c76 - nProtect : Adware/W32.Agent.323656 (VT : 5/48)>로 저장되며 특정 설치 조건에 부합될 경우 설치될 수 있습니다.
이전 유포와 비교하여 다운로드된 설치 파일(ins.exe)은 숨김(H) 속성값을 가지고 있지 않으며, JDK 디지털 서명은 동일하게 포함하고 있습니다.
서비스매니저 제휴 프로그램은 "C:\Program Files\Windows Internet Service Manager" 폴더에 파일을 생성하며, 인터넷 검색시 광고창 생성 등의 수익 활동이 예상됩니다.
현재 알려진 제어판에 등록된 프로그램 이름은 "Internet Service Manager" 또는 "Windows Internet Service Manager"입니다.
3. "유틸리티 폴더 서비스 - Utilify Folder Safe Mode" 제휴 프로그램 : Utility Folder
"유틸리티 폴더 서비스 - Utilify Folder Safe Mode" 제휴 프로그램으로 추가된 항목을 체크한 상태로 다운로드를 진행하면 특정 파일 자료실 서버로부터 service.zip 압축 파일(service.exe, serviceuninst.exe)을 다운로드합니다.
다운로드된 압축 파일은 "C:\Users\(사용자 계정)~1\AppData\Local\Temp" 임시 폴더에 압축 해제를 한 후 다음과 같은 파일을 생성합니다.
C:\Users\(사용자 계정)\AppData\Local\UtilFolder
C:\Users\(사용자 계정)\AppData\Local\UtilFolder\temp
C:\Windows\utupopds.exe :: 서비스(utupopds) 등록 파일
- MD5 : 09700f2dc25d37980ee6025e4486cf23
C:\Windows\utupopds_uninstall.exe :: Utility Folder 프로그램 삭제 파일
- MD5 : 533fc2e9e39021ff4e581a3d3e246fbd
[생성 레지스트리 등록 정보]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\utupopds
HKEY_LOCAL_MACHINE\SOFTWARE\uninstall_utupopds
HKEY_LOCAL_MACHINE\SOFTWARE\utupopds
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\utupopds
Windows 폴더 내에 생성된 utupopds.exe, utupopds_uninstall.exe 파일은 기존의 INSafe mode 프로그램과 파일명은 동일하지만 MD5 및 프로그램 이름이 변경된 변종으로 확인되고 있습니다.
설치가 된 환경에서는 "utupopds(Utility Folder)" 서비스 항목을 등록하여 시스템 시작시 "C:\Windows\utupopds.exe" 파일을 자동 실행하도록 구성되어 있습니다.
자동 실행된 서비스 파일(utupopds.exe)은 특정 파일 자료실 서버에서 동작 시간 및 구성값을 체크하며, 기존의 INSafe mode 프로그램과 비교하면 추가적인 다운로드 값은 제거된 상태이지만 차후 특정 시점에서는 추가적인 프로그램 다운로드가 이루어질 가능성이 매우 높습니다.
현재 Utility Folder 프로그램은 2013년 9월 26일 저녁부터 유포가 시작되어 ASD Cloud Service 기준으로 2,000대 이상에서 발견되고 있습니다.
프로그램 삭제는 제어판에 등록된 "Utility Folder" 삭제 항목을 이용하여 삭제할 수 있으며, 프로그램 삭제 후에는 추가적으로 다음의 폴더(파일)를 찾아 수동으로 삭제하시기 바랍니다.
- C:\Users\(사용자 계정)\AppData\Local\UtilFolder
- C:\Users\(사용자 계정)\AppData\Local\UtilFolder\temp
- C:\Windows\utupopds_uninstall.exe
참고로 정보에 따르면 "INSafe mode", "Utility Folder" 프로그램 이외에도 "PC Cleaner mode", "Windows Defender Clean", "Game clean service", "PC Game Cleaner Center" 등의 변종 프로그램이 존재한 것으로 보입니다.(※ 현재까지 관련 프로그램의 특징은 "INSAFE" 디지털 서명이 포함되어 있으며, 제어판의 프로그램 게시자가 "Publisher"로 등록되어 있습니다.)
위와 같이 인터넷 상에서는 사용자의 눈을 속여 금전적 이득을 목적으로 제휴 프로그램을 다수 설치하는 행위가 공공연하게 이루어지고 있으며, 삭제 기능은 제공하지만 다양한 프로그램 이름으로 혼동을 유발하는 사례가 많으므로 수상한 다운로드 링크(URL)를 통해 파일을 받아 실행하는 일이 없도록 주의하시기 바랍니다.