제휴 프로그램을 통해 삭제 기능을 제공하지 않는 RealWeb 악성 프로그램을 설치하면서 사용자 몰래 업데이트 기능을 가진 "Search Helper _ nc. soft" 프로그램을 추가적으로 설치하는 사례에 대해 살펴보도록 하겠습니다.

대표적인 유포 방식으로는 블로그 또는 인터넷 게시판에 게시된 링크(URL)를 통해 마인크래프트(Minecraft) 파일<MD5 : 362d36bad8a1e527849e7ef2dda936de - AhnLab V3 : PUP/Win32.Cleang (VT : 35/47)>을 다운로드하도록 유도한 후 파일을 실행할 경우, 그림과 같은 프로그램 다운로더 창을 생성하여 사용자의 실수로 설치될 수 있는 제휴 프로그램 중 "RealWeb 검색 도우미" 항목을 통해 설치가 이루어지고 있습니다.

이를 통해 국내 특정 서버로부터 설치 파일<MD5 : 7728a665a0459b93d04f40e54aed1de4 - Kaspersky : Trojan.Win32.Agent.acndv (VT : 23/47)>을 다운로드하여 "C:\Windows\ozcom_setup.exe" 파일로 생성하여 다음과 같은 프로그램을 설치한 후 자가 삭제 처리됩니다.

  개인 사용자 PC는 광고 프로그램의 돈줄인가? (2012.3.10)

 

특히 프로그램 설치시 사용자 PC 환경에서 PC방 관리 프로세스를 체크하여 존재할 경우 프로그램 설치가 이루어지지 않도록 제작되어 있습니다.

 

1. 국내 악성코드 : RealWeb (2013.3.24)

 

RealWeb 악성 프로그램은 기존에 이미 분석 정보를 공개하였으며, 당시 동적 분석에서 확인되지 않았던 부분이 있기에 세부적으로 재정리를 하도록 하겠습니다.

다운로드된 "C:\Windows\ozcom_setup.exe" 파일 내부에 포함된 RealWeb 설치 파일(rset.exe)은 "C:\Users\(사용자 계정)\AppData\Local\Temp\rset.exe" 위치에 생성되어 프로그램 설치가 진행됩니다.

 

[생성 폴더 및 파일 등록 정보]

 

C:\Program Files\RealWeb
C:\Program Files\RealWeb\axb.dll
C:\Program Files\RealWeb\axis.exe :: 메모리 상주 프로세스
C:\Program Files\RealWeb\skcu.exe :: 시작 프로그램 등록 파일
C:\Program Files\RealWeb\UnInstall.exe :: RealWeb 프로그램 삭제 파일
C:\Users\(사용자 계정)\AppData\Local\Temp\rset.exe

 

[생성 파일 진단 정보]

 

C:\Program Files\RealWeb\skcu.exe
 - MD5 : e09155ec0df02bf277ce0ef0489e0e3c
 - AhnLab V3 : PUP/Win32.RealWeb (VT : 1/47)

 

C:\Users\(사용자 계정)\AppData\Local\Temp\rset.exe
 - MD5 : 31a0b2ba06250543eb2acba38e081733
 - AhnLab V3 : Trojan/Win32.Dropper (VT : 8/46)

 

RealWeb 프로그램은 "C:\Program Files\RealWeb" 폴더에 파일을 생성하며 프로그램 설치 과정에서 홍콩(HongKong)에 위치한 서버(runty107.pnsweb.net)에 설치 정보를 전송합니다.

  • h**p://you-***.com/log/?modeAct=INSTALL&iMAC=(사용자 Mac Address)&iPID=ozcom&iPCB=0
  • h**p://runty107.pnsweb.net/ls_install.asp?mac=(사용자 Mac Address)&code=A1111

프로그램 설치된 환경에서는 Windows 시작시 ["C:\Program Files\RealWeb\skcu.exe" -a] 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.

 

자동 실행된 시작 프로그램 파일(skcu.exe)은 1분 20초 정도 지나면 "C:\Program Files\RealWeb\axis.exe" 파일을 로딩하여 업데이트 체크를 수행하며 자신은 종료 처리됩니다.

  • h**p://runty107.pnsweb.net/update/axa.dll
[추가 생성 / 변경 폴더 및 파일 등록 정보]

 

C:\Program Files\RealWeb\Temp
C:\Program Files\RealWeb\axa.dll
C:\Program Files\RealWeb\axb.dll

이후 30초가 추가로 경과하는 시점에서 홍콩(HongKong)에 위치한 서버로부터 다음과 같은 구성값 정보를 체크합니다.

  • h**p://runty107.pnsweb.net/list_search_init.asp
  • h**p://runty107.pnsweb.net/list_search_resettime.asp
  • h**p://runty107.pnsweb.net/list_search_cur_run.asp?mac=(사용자 Mac Address)&code=130719

그 후 추가로 2분이 경과하면 RealWeb 악성 프로그램의 실질적인 동작에 필요한 검색 정보를 받아오는 동작을 수행합니다.

1753#@2201#@1293#@5#@S#@B#@X#@1#@필로소피 호프인어자#@////#@필로소피 나이트크림#@////||

현재 등록된 검색 키워드 값은 화장품으로 추정되는 2종의 키워드가 포함되어 있는 것을 확인할 수 있습니다.

이후 5분~7분이 경과하는 시점에서 백그라운드 방식으로 네이버 지식 쇼핑에서 인터넷 검색이 이루어지는 동작을 확인할 수 있습니다.

실제 화면상에서는 해당 검색 동작이 표시되지 않지만 백그라운드 방식으로 연결되는 네이버 지식 쇼핑 정보를 확인해보면 "필로소피+나이트크림" 키워드를 이용한 검색이 이루어진 것을 확인할 수 있으며, 이를 통해 특정 상품에 대한 검색 노출 빈도를 높여 홍보에 활용하는 것이 아닌가 추정됩니다.

 

  <2011년~2012년 관련 정보> 이니텍(INITECH) 프로그램으로 위장한 IniCert 프로그램 유포 주의 (2012.12.28) 외 6종

 

  <2013년 1월~6월 관련 정보> 국내 악성코드 : MSTools (2013.6.18) 외 4종

 

위와 같이 네이버 지식 쇼핑 등 네이버(Naver) 검색 조작을 시도하는 RealWeb 프로그램과 유사한 기능을 가진 변종 프로그램이 과거부터 다수 발견되고 있으므로 참고하시기 바랍니다.

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
 - Hidden = 2 :: 기본값

또한 RealWeb 프로그램은 시스템 부팅시마다 레지스트리 값을 수정하여 "숨김 파일, 폴더 또는 드라이브 표시 안 함"으로 변경하도록 하여, RealWeb 프로그램을 통해 추가적으로 다운로드(설치)되는 프로그램을 사용자가 찾을 수 없도록 방해하는 기능도 포함되어 있습니다.

 

특히 이 글에서 소개할 "Search Helper _ nc. soft" 악성 프로그램의 폴더 위치가 숨김(H) 폴더 내부에 위치한다는 점에서 이해가 가는 동작입니다.

해당 광고 동작은 메모리에 상주하는 axis.exe 프로세스를 통해 이루어지므로, 광고 동작 중지 및 프로그램 삭제시에는 Windows 작업 관리자를 실행하여 axis.exe 프로세스를 찾아 수동으로 종료하시기 바랍니다.

RealWeb 프로그램은 제어판에 등록되어 사용자가 프로그램 삭제를 할 수 있는 것처럼 제작되어 있지만, 삭제를 수행하면 제어판 목록만 제거될 뿐 프로그램은 삭제되지 않도록 되어 있습니다.

 

그러므로 RealWeb 프로그램 삭제를 위해서는 다음과 같은 절차에 따라 프로그램을 찾아 삭제를 진행하시기 바랍니다.

 

(1) Windows 작업 관리자를 실행하여 axis.exe 프로세스를 찾아 수동으로 종료하시기 바랍니다.

 

(2) Windows 탐색기를 실행하여 "C:\Program Files\RealWeb" 폴더 및 내부 파일과 "C:\Users\(사용자 계정)\AppData\Local\Temp\rset.exe" 파일을 삭제하시기 바랍니다.

 

(3) 레지스트리 편집기(regedit)를 실행하여 다음의 키값을 찾아 삭제하시기 바랍니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - RealWeb = "C:\Program Files\RealWeb\skcu.exe" -a
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\RealWeb
HKEY_CURRENT_USER\Software\RealWeb

 

2. RealWeb 프로그램과 함께 설치되는 "Search Helper _ nc. soft" 프로그램 정보

 

[생성 폴더 / 파일 등록 정보]

 

C:\Users\(사용자 계정)\AppData\Roaming\rweb
C:\Users\(사용자 계정)\AppData\Roaming\rweb\ncuf.exe :: 시작 프로그램 등록 파일
C:\Users\(사용자 계정)\AppData\Roaming\rweb\uninstall.exe :: "Search Helper _ nc. soft" 프로그램 삭제 파일
C:\Windows\ucom.ini

 

[생성 파일 진단 정보]

 

C:\Users\(사용자 계정)\AppData\Roaming\rweb\ncuf.exe
 - MD5 : 6e37493fd9e1bcad0d488c830bcc6795
 - AhnLab V3 : Adware/Win32.Kraddare (VT : 13/47)

 

C:\Users\(사용자 계정)\AppData\Roaming\rweb\uninstall.exe
 - MD5 : ca9926b5a6e8d6571008890de2c8bae6
 - MSE : Adware:Win32/Funpop (VT : 24/47)

사용자 몰래 설치된 "Search Helper _ nc. soft" 프로그램은 "C:\Users\(사용자 계정)\AppData\Roaming\rweb" 폴더에 파일을 생성하며, Windows 시작시 "C:\Users\(사용자 계정)\AppData\Roaming\rweb\ncuf.exe" 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.

자동 실행된 시작 프로그램 파일(ncuf.exe)은 특정 서버에서 업데이트 정보를 체크하여 제휴 프로그램이 등록되어 있는 경우 "업데이트 설치 프로그램 1.0" 창을 생성하여 "RealWeb 검색도우미" 관련 프로그램 업데이트와 함께 다수의 제휴 프로그램의 설치를 유도할 수 있으므로 주의하시기 바랍니다.

 

프로그램 삭제는 제어판에 등록된 "Search Helper _ nc. soft" 삭제 항목을 이용하여 삭제할 수 있습니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\RealWebX
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\ncuf.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - ncuf = C:\Users\(사용자 계정)\AppData\Roaming\rweb\ncuf.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ncuf

 

이번 사례와 같이 제휴 프로그램을 통해 하나의 프로그램이 설치되는 것이 아니라 사용자 몰래 추가적인 프로그램을 설치하여 차후 다양한 제휴 프로그램 설치 유도가 이루어질 수 있으므로 이런 프로그램이 설치되지 않도록 주의하시기 바랍니다.

블로그 이미지

울지않는 벌새

울지않는벌새가 되고 싶은 나..