2013년 9월경 최초로 확인된 INSAFE 디지털 서명이 포함된 제휴 프로그램 배포 목적으로 제작된 다양한 프로그램을 통해 설치되는 "Windows Utilchango Service" 프로그램(※ 유사 변종 프로그램 : INSafe mode, Utility Folder, System Management 등)에 대해 살펴보도록 하겠습니다.
- goclean.exe (SHA-1 : 57be038cea4a6f7078df426b9234b6f5066e53d6) - Avira : Adware/Kraddare.IL.30 (VT : 4/53)
- torrent.exe (SHA-1 : 9fc0d2ace2ecd9f9af576e73db4146e2cf950667) - AVG : Generic.EE7 (VT : 3/52)
- ChaosOne.exe (SHA-1 : aa0fb70a3b6ac97a7b035789b631f2bace9fedb5) - ESET : probably a variant of Win32/AdWare.Kraddare.IL (VT : 3/52)
확인된 배포 방식은 네이버(Naver) 블로그를 통해 고클린, 토렌트 등 다양한 소프트웨어 설치 파일로 위장하여 첨부 파일 또는 링크를 이용한 파일 다운로드 방식을 이용하고 있습니다.
다운로드된 파일의 공통적인 특징은 INSAFE 디지털 서명이 포함되어 있다는 점이며, 해당 서명이 포함된 파일은 광고 기능을 가진 다양한 제휴 프로그램 배포용 프로그램에서 활발하게 사용되고 있습니다.
다운로드한 INSAFE 게시자가 포함된 고클린(GoClean) 설치 파일을 실행하여 제공되는 다양한 제휴 프로그램 중 "Windows Utilchango Service"은 2013년 12월경부터 유포가 시작된 것으로 추정됩니다.
파일 실행을 통해 생성된 "파일 다운로드 - 설치안내" 창에서는 고클린(GoClean) 프로그램을 유틸창고(UtilChango) 웹 서버에서 다운로드하도록 되어 있으며, 다운로드 창 하단에는 다수의 제휴 프로그램을 사용자가 쉽게 인지하지 못하도록 매우 좁은 영역에 1개씩 체크된 상태로 등록되어 있습니다.
그 중에서 "유틸창고 서비스" 이름으로 등록된 "Windows Utilchango Service" 프로그램에 대해 살펴보겠으며, 제휴 프로그램 구성값은 외부에서 쉽게 감시를 하지 못하도록 암호화된 상태로 URL 등의 정보를 포함하고 있습니다.
프로그램 설치가 진행되면 특정 서버에서 "Windows Utilchango Service" 프로그램 생성 파일이 포함된 ZIP 압축 파일(service.zip)을 다운로드하여 다음과 같은 임시 폴더에 압축 해제를 진행합니다.
- C:\Users\(사용자 계정)\AppData\Local\Temp\service.exe
- C:\Users\(사용자 계정)\AppData\Local\Temp\serviceuninst.exe
임시 폴더에 생성된 파일은 다음과 같은 Windows 폴더 내에 자가 복제한 후 자신은 삭제 처리합니다.
C:\Windows\uc1tupopds.exe :: 서비스(uc1tupopds) 등록 파일
- SHA-1 : 60e007af5fc9ecc2ba16be6e5c8003558f92a526
- BitDefender : Gen:Variant.Graftor.141355 (VT : 10/53)
C:\Windows\uc1tupopds_uninstall.exe :: 프로그램 삭제 파일
- SHA-1 : 385c149bcc3124e1fd4fd4bc5b8e511a248db7f5
- BitDefender : Gen:Variant.Symmi.42016 (VT : 9/52)
INSAFE 디지털 서명이 포함된 해당 생성 파일은 변종에 따라 파일명이 다르게 생성될 수 있습니다.
특히 생성된 파일에 포함된 INSAFE 디지털 서명은 "서명에 있는 인증서를 확인할 수 없습니다."로 표시되는 불완전한 인증서를 사용하고 있습니다.
해당 프로그램은 "uc1tupopds (표시 이름 : Utilchango Service)" 서비스 항목을 등록하여 시스템 시작시 "C:\Windows\uc1tupopds.exe" 파일을 자동 실행하도록 구성되어 있습니다.
실행된 파일은 유틸창고(UtilChango) 웹 서버에 암호화된 정보를 체크하며, 이를 통해 추가적인 다운로드 및 바탕 화면, 시작 메뉴, 작업 표시줄, 즐겨찾기 영역에 11번가, G마켓, 옥션 등의 바로가기 아이콘을 등록할 수 있을 것으로 추정됩니다.
프로그램 삭제는 제어판에 등록된 "Windows Utilchango Service" 삭제 항목을 이용하여 삭제할 수 있습니다.
특히 일부 유포 방식 중에서는 제어판에 등록된 프로그램의 설치 날짜를 악의적으로 조작하여 오래전부터 설치되어 있는 정상적인 소프트웨어처럼 사용자를 기만하는 수법이 확인되고 있으므로 참고하시기 바랍니다.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\uc1tupopds
uc1tupopds
HKEY_LOCAL_MACHINE\SOFTWARE\uc1tupopds
HKEY_LOCAL_MACHINE\SOFTWARE\uninstall_uc1tupopds
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\uc1tupopds
"Windows Utilchango Service" 프로그램 및 관련 제휴 프로그램에서 사용하는 유틸창고(UtilChango) 웹 서버를 살펴보면 파일 자료실처럼 구성되어 있지만 실제 파일은 외형적으로 존재하지 않습니다.
그러므로 위와 같은 유사 변종 및 불필요한 광고 프로그램(PUP)의 설치를 사전에 차단을 원하시는 분들은 웹 보안 목록에 "www.utilchango.com" URL 값을 등록하여 파일 다운로드를 차단하시길 권장합니다.
또한 여전히 자신의 PC에서 광고창이 생성되는 문제로 고생하는 분들은 블로그의 첨부 파일 또는 링크를 통해 제공되는 파일을 다운로드하는 어리석은 행위를 하지 마시기 바라며, 생성된 창에 숨어있는 제휴 프로그램의 존재 여부를 꼼꼼하게 확인하는 습관을 가지시기 바랍니다.