Windows 시작 후 특정 검색 키워드 값을 이용하여 백그라운드 방식으로 네이버(Naver) 검색을 통해 웹 사이트 접속을 시도하는 WMIPPlus 악성 프로그램이 설치되는 과정에서 추가적으로 사용자 몰래 설치되는 "Helper Search wcpt. soft" 프로그램에 대해 살펴보도록 하겠습니다.
▷ 국내 악성코드 : RealWeb + Search Helper _ nc. soft (2013.10.29)
해당 프로그램은 기존에 RealWeb 프로그램 설치시 함께 설치되는 "Search Helper _ nc. soft" 프로그램의 변종이므로 참고하시기 바랍니다.
제휴 프로그램 방식으로 유포가 이루어지고 있는 배포 파일<SHA-1 : 6ecb58ac19cd99e1c560269d7d3035bd5a290b9f - AhnLab V3 : Adware/Win32.Kraddare (VT : 30/50)>은 실행시 WMIPPlus, Helper Search wcpt. soft 2종의 프로그램을 함께 설치하고 있습니다.
▷ 개인 사용자 PC는 광고 프로그램의 돈줄인가? (2012.3.10)
프로그램 설치 과정에서는 사용자 PC에 특정 PC방 관리 솔루션 프로세스 여부를 체크하여 설치 여부를 결정하도록 제작되어 있습니다.
1. WMIPPlus 프로그램 정보
C:\Program Files\wmipplus
C:\Program Files\wmipplus\Temp
C:\Program Files\wmipplus\UnInstall.exe :: 프로그램 삭제 파일
C:\Program Files\wmipplus\wmia.dll
C:\Program Files\wmipplus\wmib.dll
C:\Program Files\wmipplus\wmipfm.exe :: 메모리 상주 프로세스
C:\Program Files\wmipplus\wmiu.exe :: 시작 프로그램 등록 파일
C:\Users\(사용자 계정)\AppData\Local\Temp\wmipset.exe
C:\Program Files\wmipplus\UnInstall.exe
- SHA-1 : 3ffaf2a11c1983798c91d88ab0a9965a004ca55a
- Hauri ViRobot : Adware.WMIPPlus.217088 (VT : 1/50)
C:\Program Files\wmipplus\wmipfm.exe
- SHA-1 : a94c0b6a5f4c92796c6ca258c82ff14e9cb5c31f
- AhnLab V3 : Trojan/Win32.Agent (VT : 4/47)
C:\Program Files\wmipplus\wmiu.exe
- SHA-1 : ce7573112b05958f911d8dd3820fe874de2f9fa5
- nProtect : Adware/W32.Agent1.323584 (VT : 4/50)
C:\Users\(사용자 계정)\AppData\Local\Temp\wmipset.exe
- SHA-1 : d1cd67ef6bab3da650c37a7546902825c441f1ab
- AVG : Win32/DH{QRMPAFhi} (VT : 7/50)
▷ 국내 악성코드 : WMIPPlus (2014.2.19)
프로그램 삭제를 지원하지 않는 WMIPPlus 악성 프로그램은 설치시 "C:\Users\(사용자 계정)\AppData\Local\Temp\wmipset.exe" 설치 파일을 생성하여 "C:\Program Files\wmipplus" 폴더에 파일을 생성합니다.
기존에 분석한 내용과 동일하므로 설치된 환경에서 이루어지는 악의적 기능 및 제어판을 통해 삭제되지 않는 문제로 인한 수동 삭제 방법을 참고하여 제거하시기 바랍니다.
2. "Helper Search wcpt. soft" 프로그램 정보
C:\Users\(사용자 계정)\AppData\Roaming\wmip
C:\Users\(사용자 계정)\AppData\Roaming\wmip\uninstall.exe :: 프로그램 삭제 파일
C:\Users\(사용자 계정)\AppData\Roaming\wmip\wcpt.exe :: 시작 프로그램 등록 파일
C:\Windows\wmi.ini
C:\Users\(사용자 계정)\AppData\Roaming\wmip\uninstall.exe
- SHA-1 : 1dcd49dd31fe53f0c99afb015c7c307008086a65
- BitDefender : Adware.Funpop.C (VT : 34/50)
C:\Users\(사용자 계정)\AppData\Roaming\wmip\wcpt.exe
- SHA-1 : bb389dc86ed7ea25f2af1f051f1d2106d6c8347a
- nProtect : Adware/W32.KrAdword.73728.B (VT : 30/50)
WMIPPlus 악성 프로그램과 함께 사용자 몰래 설치된 "Helper Search wcpt. soft" 프로그램은 "C:\Users\(사용자 계정)\AppData\Roaming\wmip" 폴더에 파일을 생성합니다.
해당 프로그램은 Windows 시작시 "C:\Users\(사용자 계정)\AppData\Roaming\wmip\wcpt.exe" 파일을 시작 프로그램으로 등록하여 자동 실행되며, 이를 통해 특정 서버에서 업데이트 및 실행 카운터(Counter)를 체크합니다.
이를 통해 추가적인 업데이트 파일이 등록되어 있는 경우에는 "업데이트 설치 프로그램 1.0" 업데이트 창을 생성하여 다수의 제휴 프로그램 설치를 유도할 수 있으므로 주의하시기 바랍니다.
프로그램 삭제는 제어판에 등록된 "Helper Search wcpt. soft" 삭제 항목을 이용하여 삭제할 수 있습니다.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\wcpt.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- wcpt = C:\Users\(사용자 계정)\AppData\Roaming\wmip\wcpt.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\wcpt
WMIPPlus, Helper Search wcpt. soft 2종의 프로그램은 설치된 환경에서 사용자 몰래 인터넷 검색을 시도하여 불필요한 트래픽을 유발하며, 특정 시점에서는 업데이트 창 생성을 통해 불필요한 프로그램(PUP)의 설치를 유도할 수 있습니다.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
- Hidden = 2 :: 변경(기본값)
특히 WMIPPlus 프로그램이 설치되어 동작하는 과정에서 폴더 옵션의 "숨김 파일 및 폴더" 값을 반복적으로 수정하여 "Helper Search wcpt. soft" 프로그램이 설치된 숨김(H) 속성의 폴더(C:\Users\(사용자 계정)\AppData\Roaming)가 노출되지 않도록 하는 방해 동작이 있으므로 주의하시기 바랍니다.
☞ <2011년~2012년 관련 정보> 이니텍(INITECH) 프로그램으로 위장한 IniCert 프로그램 유포 주의 (2012.12.28) 외 6종
☞ <2013년 1월~6월 관련 정보> 국내 악성코드 : MSTools (2013.6.18) 외 4종