2015년 2월 하순경부터 국내 인터넷 사용자를 대상으로 배포가 이루어지고 있는 광고 프로그램 중 공인인증서 폴더(NPKI)에 자신을 생성하여 사용자의 눈을 속이고 있는 incminfo 광고 프로그램<SHA-1 : 1ee4aae4bc6e37630ffbc53370147457433b9247 - BitDefender : Trojan.Generic.12938348 (VT : 17/56)>에 대해 살펴보도록 하겠습니다.
해당 광고 프로그램의 서버는 자신의 존재를 숨길 목적으로 2014년 11월 24일경 GoDaddy 해외 도메인 등록 업체에 등록되어 있습니다.
프로그램 설치가 진행되면 "C:\Program Files\NPKI\incminfo_setup.exe" 설치 파일<SHA-1 : 1952fc2c00c9a71487289a33db9b6acda00f41f0 - avast! : Win32:Malware-gen (VT : 14/56)>을 생성하여 다음과 같은 프로그램 설치 후 자가 삭제 처리됩니다.
C:\Program Files\NPKI\incminfo
C:\Program Files\NPKI\incminfo\cincminfo.exe
C:\Program Files\NPKI\incminfo\incminfo.exe :: 프로그램 실행 파일
C:\Program Files\NPKI\incminfo\uincminfo.dat
C:\Program Files\NPKI\incminfo\uincminfo.exe :: 시작 프로그램(incminfo) 등록 파일
C:\Program Files\NPKI\incminfo\unins000.dat
C:\Program Files\NPKI\incminfo\unins000.exe :: 프로그램 삭제 파일
C:\Program Files\NPKI\incminfo\cincminfo.exe
- SHA-1 : f4b92e72848b0e9805dc6c70acb8b31e55aee4a8
- avast! : Win32:Adware-BCG [Adw] (VT : 8/57)
C:\Program Files\NPKI\incminfo\incminfo.exe
- SHA-1 : c4faf201246152926c688a632906f85c9e5df863
- 알약(ALYac) : Trojan.Generic.12938348 (VT : 28/56)
C:\Program Files\NPKI\incminfo\uincminfo.exe
- SHA-1 : 0977a6e5728fb27a2f1fc8999ee2ea315d23417c
- AhnLab V3 365 Clinic : PUP/Win32.WindowsLiveProtect.R29168 (VT : 11/57)
keimc 디지털 서명이 포함된 incminfo 광고 프로그램은 공인인증서(NPKI)가 포함된 폴더 내의 "C:\Program Files\NPKI\incminfo" 폴더에 파일을 생성합니다.
Windows 시작시 "C:\Program Files\NPKI\incminfo\uincminfo.exe" 파일을 시작 프로그램(incminfo)으로 등록하여 자동 실행되어 업데이트 및 실행 카운터(Counter) 체크를 수행한 후 광고 기능을 수행하는 "C:\Program Files\NPKI\incminfo\incminfo.exe" 파일을 로딩합니다.
실행된 파일(incminfo.exe)은 특정 서버에서 광고 동작과 관련된 Key값을 체크한 후 화면상에서는 표시되지 않는 백그라운드 방식으로 다음과 같은 포털 검색 활동을 1분 30초 가량 수행한 후 자동 종료 처리됩니다.
테스트 당시에는 네이버(Naver), 다음(Daum) 포털 검색에서 "야탑 맛집" 검색 키워드를 통해 검색을 통해 특정 검색어 또는 업체에 트래픽을 몰아주려는 행위를 확인할 수 있습니다.
참고로 incminfo 광고 프로그램이 설치된 환경에서 부팅시마다 자동 동작하는 검색 활동은 사용자 계정 컨트롤(UAC) 알림 기능을 사용하지 않는 PC에서만 동작하는 것으로 보입니다.
■ incminfo 광고 프로그램 삭제 방법
해당 프로그램의 삭제는 제어판 또는 체크잇(CheckIt : www.checkitinfo.com) 프로그램에 등록된 "incminfo" 삭제 항목을 이용하여 제거할 수 있습니다.
HKEY_CURRENT_USER\Software\incminfo
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- incminfo = C:\Program Files\NPKI\incminfo\uincminfo.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- incminfo = C:\Program Files\NPKI\incminfo\uincminfo.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
incminfo_is1
incminfo 광고 프로그램은 공인인증서 폴더(NPKI) 내부에 설치되어 사용자가 쉽게 찾기 어려우며, 프로그램이 설치된 환경에서는 광고창 생성 등의 외형적인 변화가 전혀 없이 윈도우 부팅과 함께 자동으로 포털 검색 활동을 짧은 시간 내에 수행한 후 종료되어 됩니다.
그러므로 사용자가 인터넷 검색 활동을 하는 것처럼 포털 검색을 속이는 행위에 이용당하지 않도록 주의하시기 바랍니다.
☞ <2011년~2012년 관련 정보> 검색 도우미 : Windows Plus (2012.12.11) 외 10종
☞ <2013년 관련 정보> 프로그램 삭제 방해 및 ehame.exe 오류창을 생성하는 프로그램 유포 주의 (2013.11.27) 외 10종