바탕 화면에 옥션, G마켓, 11번가 바로가기 아이콘을 생성하며, 인터넷 검색시 백그라운드 방식으로 특정 연결을 시도하는 "Windows exapl Uninstall" 검색 도우미 프로그램<SHA-1 : c8da259692888a7f5f13d6ec9729851a1e69d05e - AhnLab V3 : Adware/Win32.TopTool.C571729 (VT : 13/54)>에 대해 살펴보도록 하겠습니다.

해당 프로그램은 기존의 TopToolN 광고 프로그램의 구조와 유사성이 강한 것으로 확인되고 있으므로 참고하시기 바랍니다.

 

"Windows exapl Uninstall" 광고 프로그램은 Themida Packer로 제작되어 가상 환경 및 분석 도구가 설치되어 있는 PC 환경에서는 설치가 이루어지지 않으므로, "국내 광고 프로그램 설치 및 동작 방해하는 방법" 게시글을 참조하여 이런 류의 프로그램이 설치되지 않도록 사전에 예방하시길 권장합니다.

 

또한 해당 프로그램이 설치된 환경에서는 Windows 및 Internet Explorer 웹 브라우저의 보안 설정을 무단으로 변경하여 프로그램 삭제 이후에도 보안상 문제가 발생할 수 있으므로 주의하시기 바랍니다.

프로그램 설치가 진행되면 특정 서버로부터 관련 파일을 추가 다운로드하여 설치가 진행되도록 구성되어 있습니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Program Files\exapl
C:\Program Files\exapl\exapl.dll :: BHO 등록 파일
C:\Program Files\exapl\exaplc.exe :: 시작 프로그램(exaplc) 등록 파일, 예약 작업(agentc) 등록 파일, 메모리 상주 프로세스
C:\Program Files\exapl\exaplj.dll
C:\Program Files\exapl\exaplj.vbs :: 예약 작업(agentj) 등록 파일
C:\Program Files\exapl\exaplu.dll
C:\Program Files\exapl\exaplu.vbs :: 예약 작업(agentu) 등록 파일
C:\Program Files\exapl\uninstall.exe :: 프로그램 삭제 파일
C:\Windows\System32\Tasks\agentc
C:\Windows\System32\Tasks\agentj
C:\Windows\System32\Tasks\agentu

 

[생성 파일 진단 정보]

 

C:\Program Files\exapl\exapl.dll
 - SHA-1 : 8660c69585523a46e1d2fc3646e9fea0a2c2db70
 - AhnLab V3 : Trojan/Win32.Kraddare.R120757 (VT : 5/53)

 

C:\Program Files\exapl\exaplc.exe
 - SHA-1 : 41ef7eb24bbdb10e7d78fe5553cbb3aa660cadd6
 - Avira : TR/Crypt.TPM.Gen (VT : 5/53)

 

C:\Program Files\exapl\exaplj.dll
 - SHA-1 : eae773a870a8d9473d49b1435c50289b1da76f5f
 - ESET : a variant of Win32/AdWare.KeywordFind.D (VT : 5/52)

 

C:\Program Files\exapl\exaplu.dll
 - SHA-1 : 787498c457253643ee607a1170d47709177fb1f9
 - AhnLab V3 365 Clinic : PUP/Win32.Kraddare.C606994 (VT : 14/53)

JYJcompany 디지털 서명이 포함된 "Windows exapl Uninstall" 광고 프로그램은 "C:\Program Files\exapl" 폴더에 파일을 생성하며, Windows 시작시 "C:\Program Files\exapl\exaplc.exe" 파일을 시작 프로그램으로 등록하여 자동 실행하여 메모리에 상주하도록 구성되어 있습니다.

 

1. 예약 작업 등록 정보

  • agentc → C:\Program Files\exapl\exaplc.exe
  • agentj → C:\Program Files\exapl\exaplj.vbs
  • agentu → C:\Program Files\exapl\exaplu.vbs

해당 프로그램은 시작 프로그램(exaplc) 등록값 이외에 예약 작업 영역에 agentc 작업 스케줄러 값을 등록하여 시스템 시작시 "C:\Program Files\exapl\exaplc.exe" 파일을 자동 실행하여 메모리에 상주하도록 구성되어 있습니다.

C:\Program Files\exapl\exaplj.vbs

추가적으로 agentj 작업 스케줄러 값을 등록하여 "C:\Program Files\exapl\exaplj.vbs" 스크립트에 정의된 명령어 따라 "C:\Windows\System32\rundll32.exe" 시스템 파일을 실행하여 "C:\Program Files\exapl\exaplj.dll" 파일을 2분 주기로 로딩하도록 구성되어 있습니다.

C:\Program Files\exapl\exaplu.vbs

또한 agentu 작업 스케줄러 값을 등록하여 "C:\Program Files\exapl\exaplu.vbs" 스크립트에 정의된 명령에 따라 "C:\Windows\System32\rundll32.exe" 시스템 파일을 실행하여 "C:\Program Files\exapl\exaplu.dll" 파일을 1단 주기로 로딩하도록 구성되어 있습니다.

이를 통해 주기적으로 특정 서버에서 해당 프로그램의 버전 정보를 체크하여 추가적인 업데이트가 존재할 경우 파일 다운로드를 통해 패치가 이루어질 것으로 보입니다.

 

2. "C:\Program Files\exapl\exaplc.exe" 파일 정보

 

Windows 시작시 시작 프로그램(exaplc) 및 agentc 작업 스케줄러 값을 통해 자동 실행되어 메모리에 상주하는 "C:\Program Files\exapl\exaplc.exe" 파일은 다음과 같은 기능을 수행할 수 있습니다.

 

(1) 사용자 계정 컨트롤(UAC) 알림 기능 중지

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\
System
 - ConsentPromptBehaviorAdmin = 5 :: 기본값
 - ConsentPromptBehaviorAdmin = 0 :: 변경 후

기존의 국내 광고 프로그램 중 사용자 계정 컨트롤(UAC) 기능을 중지하기 위하여 "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies
\System\EnableLUA"
레지스트리 값을 "1 → 0"으로 데이터 값을 수정하는 방식을 이용하였는데, 변경되는 과정에서 풍선창을 통해 사용자가 쉽게 인지하는 문제를 우회할 목적으로 사용자 계정 컨트롤(UAC) 그룹 정책의 "사용자 계정 컨트롤: 관리자 승인 모드에서 관리자에 대한 권한 상승 확인 방법" 설정값을 "비 Windows 바이너리에 대한 동의 확인(5) → 권한 상승 전에 확인 안 함(0)"으로 변경하는 기법을 이용하였습니다.

이를 통해 제어판의 "사용자 계정 컨트롤 설정" 항목을 확인해보면 컴퓨터 변경 내용에 대한 알림 기능을 사용하지 않도록 사용자 몰래 슬라이드 바가 내려간 것을 확인할 수 있으며, 이를 통해 해당 광고 프로그램의 실행 및 추가적인 업데이트를 사용자 동의없이 구현할 수 있으리라 판단됩니다.

 

(2) Internet Explorer 웹 브라우저의 보호 모드 해제

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
 - NoProtectedModeBanner = 1

Internet Explorer 웹 브라우저에서 해당 광고 프로그램의 원활한 동작을 구현하기 위하여 보호 모드 기능을 해제합니다.

이를 통해 Internet Explorer 웹 브라우저 인터넷 옵션의 인터넷 보안 수준에서 "보호 모드 사용" 항목의 체크가 해제된 것을 확인할 수 있습니다.

 

(3) 추가 기능 성능 알림 기능 해제

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Ext
 - DisableAddonLoadTimePerformanceNotifications = 1

Internet Explorer 웹 브라우저 실행 및 탭 오픈시 브라우저 도우미 개체(BHO)와 같은 확장 프로그램에 등록된 모듈이 지정된 로딩 시간을 초과할 경우 웹 브라우저 하단에 노란색 알림바가 생성되는 "추가 기능 성능 알림" 기능을 해제하여 광고 프로그램이 사용자 동의없이 추가한 확장 프로그램을 인지하지 못하게 합니다.

 

(4) 광고 구성값 체크

자동 실행되는 "C:\Program Files\exapl\exaplc.exe" 파일은 특정 서버에서 암호화된 인터넷 쇼핑몰 리스트, 프로그램 버전, 실행 정보를 체크합니다.

 

(5) 바탕 화면에 인터넷 쇼핑몰 바로가기 아이콘 생성

바탕 화면 좌측 하단의 시작 버튼 상단에 반투명 창을 생성하여 옥션, G마켓, 11번가 바로가기 아이콘을 생성하며, 해당 아이콘 클릭시 특정 광고 서버를 경유하여 인터넷 쇼핑몰로 연결이 이루어지도록 제작되어 있습니다.

 

3. "C:\Program Files\exapl\exapl.dll" 파일 정보

 

이름

 niwap

게시자

 JYJcompany

유형

 브라우저 도우미 개체

CLSID

 {CC01FC6C-B286-49B9-98E3-DA0AEB4D3AF6}

파일

 C:\Program Files\exapl\exapl.dll

 

Internet Explorer 웹 브라우저 실행시 "C:\Program Files\exapl\exapl.dll" 광고 모듈을 "niwap" 브라우저 도우미 개체(BHO)로 자동 등록하도록 구성되어 있습니다.

이를 통해 특정 서버에 3분 주기로 지속적인 연결을 시도하는 동작을 확인할 수 있습니다.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Ext\
CLSID
 - {CC01FC6C-B286-49B9-98E3-DA0AEB4D3AF6} = 1

특히 "niwap" 브라우저 도우미 개체(BHO) 값은 사용자가 임의로 사용 중지를 할 수 없도록 정책 레지스트리 값을 추가하여 버튼을 비활성화 처리하였습니다.

광고 기능을 살펴보면 사용자가 인터넷 검색을 시도할 경우 검색 키워드 값을 특정 웹 서버로 전송하여 백그라운드 방식으로 특정 광고 검색 엔진으로 전달합니다.

 

이를 통해 화면상에는 표시되지 않는 특정 광고 검색 엔진에 동일한 검색 키워드 값이 입력되어 검색 노출이 이루어지며 이를 통해 광고 수익을 창출하는 구조로 판단됩니다.

 

■ 프로그램 삭제 방법 및 후속 조치

광고 기능 중지 및 프로그램 삭제를 위해서는 Windows 작업 관리자를 실행하여 메모리에 상주하는 exaplc.exe 프로세스를 찾아 종료하시기 바랍니다.

Internet Explorer 웹 브라우저를 종료한 상태에서 제어판에 등록된 "Windows exapl Uninstall" 삭제 항목을 이용하여 프로그램 삭제를 진행할 수 있으며, 프로그램 삭제 후에는 "C:\Program Files\exapl" 폴더를 찾아 직접 삭제하시기 바랍니다.

 

[생성 / 변경된 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\exapl
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
 - NoProtectedModeBanner = 1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CC01FC6C-B286-49B9-98E3-DA0AEB4D3AF6}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exapl.niwap
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{CC01FC6C-B286-49B9-98E3-DA0AEB4D3AF6}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Ext
 - DisableAddonLoadTimePerformanceNotifications = 1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Ext\
CLSID
 - {CC01FC6C-B286-49B9-98E3-DA0AEB4D3AF6} = 1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
 - ConsentPromptBehaviorAdmin = 5 :: 기본값
 - ConsentPromptBehaviorAdmin = 0 :: 변경 후
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - exaplc = "c:\Program Files\exapl\exaplc.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
Windows exapl Uninstall
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{19E85415-192C-4C9D-A44B-9B4CD14A5957}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{8A212655-25D7-428F-87CE-655C447F3228}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{F9099A78-01B0-413D-9C6C-52A762AF7031}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\agentc
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\agentj
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\agentu

 

프로그램 삭제가 완료된 후에도 "Windows exapl Uninstall" 광고 프로그램 설치로 인하여 취약해진 보안 설정을 다음과 같은 절차에 따라 원래 상태로 복구를 반드시 하시기 바랍니다.

  1. "제어판 → 시스템 및 보안 → 관리 센터 → 사용자 계정 컨트롤 설정 변경" 메뉴를 실행하여 슬라이드 바를 1단계 또는 2단계(기본값)로 올린 후 Windows 재부팅을 통해 적용하시기 바랍니다.
  2. Internet Explorer 웹 브라우저의 인터넷 옵션을 실행하여 "보안" 탭의 "인터넷" 보안 설정 영역에서 "보호 모드 사용" 체크 박스에 체크 후 Internet Explorer 웹 브라우저를 재실행하시기 바랍니다.
  3. 레지스트리 편집기(regedit)를 실행하여 "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
    Policies\Ext\CLSID"
    키값 하위에 등록된 문자열을 모두 삭제하시기 바랍니다.
  4. 레지스트리 편집기(regedit)를 실행하여 "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
    Policies\Ext"
    키값 하위에 등록된 "DisableAddonLoadTimePerformanceNotifications" 문자열을 찾아 삭제하시기 바랍니다.

"Windows exapl Uninstall" 광고 프로그램 설치로 인하여 Internet Explorer 웹 브라우저를 이용한 인터넷 이용시 속도 저하를 유발할 수 있으며, 프로그램 설치로 인해 보안이 취약해지는 문제가 발생할 수 있으므로 설치되지 않도록 각별히 주의하시기 바랍니다.

블로그 이미지

울지않는 벌새

울지않는벌새가 되고 싶은 나..