국내 광고 프로그램 설치 목적으로 제작된 "Windows Explorer usewillch .NET Service Pack 1" 악성 프로그램을 설치한 후 삭제 기능을 제공하지 않는 플러스매칭(PlusMatching) 광고 프로그램을 추가하는 유포 사례가 확인되어 살펴보도록 하겠습니다.
해당 악성코드는 2015년 9월 1일경부터 유포가 이루어진 것으로 보이며, 최초 배포 파일<SHA-1 : 72a411a95e7fc8942b2b4d6f395dfa0ec6ff5f78 - AhnLab V3 : Adware/Win32.Installer.C974146 (VT : 27/55)>을 통해 다음과 같은 설치를 진행합니다.
C:\Users\(사용자 계정)\AppData\Roaming\usewill
C:\Users\(사용자 계정)\AppData\Roaming\usewill\plusmat.exe :: 예약 작업(usewill) 등록 파일, 메모리 상주 프로세스
- SHA-1 : 4c7ff06996f1c45dccb2080f3f72f9f42e683946
- avast! : Win32:Malware-gen (VT : 16/56)
C:\Users\(사용자 계정)\AppData\Roaming\usewill\plusvc.exe :: 서비스(plusmat) 등록 파일
- SHA-1 : 53bfa7fd7b483c29de9e6db9cd5cf26ffd525cc1
- ESET : a variant of Win32/Adware.Kraddare.KS (VT : 22/54)
C:\Windows\System32\Tasks\usewill
PioneerSoft 디지털 서명이 포함된 해당 프로그램은 "C:\Users\(사용자 계정)\AppData\Roaming\usewill" 폴더에 파일을 생성합니다.
설치된 프로그램은 삭제 파일이 포함되어 있지 않으며 삭제 정보가 포함된 레지스트리 값을 확인해보면 "Windows Explorer usewillch .NET Service Pack 1" 프로그램 이름으로 등록되어 있지만 사용자가 설치를 인지하지 못하도록 제어판에 표시되지 않도록 되어 있습니다.
"plusmat (표시 이름 : plusmat 서비스)" 서비스 항목을 등록하여 시스템 시작시 "C:\Users\(사용자 계정)\AppData\Roaming\usewill\plusvc.exe" 파일을 자동 실행하여 plusmat.exe 파일을 로딩하도록 구성되어 있습니다.
또한 예약 작업 영역에 usewill 작업 스케줄러 값을 등록하여 시스템 시작시 "C:\Users\(사용자 계정)\AppData\Roaming\usewill\plusmat.exe" 파일을 자동 실행하여 메모리에 상주하도록 구성되어 있습니다.
이를 통해 특정 서버에서 프로그램 버전 및 실행 체크를 수행하며 외형적으로는 광고 행위는 수행하지 않습니다.
하지만 메모리에 상주하는 plusmat.exe 파일을 확인해보면 특정 시점에서 특정 업데이트 서버에서 추가적인 파일 다운로드를 수행할 수 있는 부분을 발견할 수 있습니다.
- h**p://update.rolling***.com/down/update.exe (SHA-1 : 77fdee494eecc8da5cb71b1b9ede4dd56995fcc7) - Avira : ADWARE/Adware.Gen (VT : 6/55)
만약 정상적으로 update.exe 파일이 추가 다운로드되어 실행될 경우 사용자 몰래 플러스매칭(PlusMatching) 광고 프로그램이 설치될 수 있습니다.
C:\Users\(사용자 계정)\AppData\Roaming\usewill\pl.ini
C:\Users\(사용자 계정)\AppData\Roaming\usewill\uninst.exe :: 프로그램 삭제 파일
C:\Users\(사용자 계정)\AppData\Roaming\usewill\usewill.dll
C:\Users\(사용자 계정)\AppData\Roaming\usewill\usewill.exe :: 메모리 상주 프로세스
C:\Users\(사용자 계정)\AppData\Roaming\usewill\usewillsvc.exe :: 서비스(usewill) 등록 파일, 메모리 상주 프로세스
C:\Users\(사용자 계정)\AppData\Roaming\usewill\usewillsvc.exe
- SHA-1 : dbe1b99b5bd531e929f2012517cb3919fcba8d80
- avast! : Win32:Evo-gen [Susp] (VT : 8/55)
플러스매칭(PlusMatching) 광고 프로그램은 기존의 "C:\Users\(사용자 계정)\AppData\Roaming\usewill" 폴더 내에 광고 기능을 수행하는 추가적인 구성 요소를 생성합니다.
특히 프로그램 삭제 정보를 포함한 레지스트리 값을 확인해보면 프로그램 이름을 등록하지 않는 방식으로 제어판에 표시하지 않도록 구성되어 있습니다.
"usewill (표시 이름 : usewill 서비스)" 서비스 항목을 등록하여 시스템 시작시 "C:\Users\(사용자 계정)\AppData\Roaming\usewill\usewillsvc.exe" 파일을 자동 실행하여 메모리에 상주하도록 구성되어 있습니다.
기존에 추가된 usewill 작업 스케줄러 값은 시스템 시작시 "C:\Users\(사용자 계정)\AppData\Roaming\usewill\plusmat.exe → C:\Users\(사용자 계정)\AppData\Roaming\usewill\usewill.exe" 파일(SHA-1 : 8b6f858264c6432f7e65f9dd03b4fac5256ce96a)을 자동 실행되도록 동작을 수정합니다.
이를 통해 광고 기능을 수행하는 usewill.exe 파일은 메모리에 상주하여 특정 서버에 등록된 광고 구성값을 체크합니다.
테스트 당시에서는 광고 행위는 확인되지 않았지만 특정 검색 서비스에서 인터넷 검색을 시도할 경우 usewill.dll 광고 모듈(SHA-1 : 962b839d6225f6c0e591ea4a7cc7f06ff2121119)을 통해 매칭되는 광고 팝업창을 생성할 수 있습니다.
■ "Windows Explorer usewillch .NET Service Pack 1" 광고 프로그램 삭제 방법
해당 광고 프로그램은 사용자가 제어판을 통한 프로그램 삭제를 방해할 목적으로 등록하지 않으며, 추가된 삭제 레지스트리 값을 참조해보면 "C:\Users\(사용자 계정)\AppData\Roaming\usewill\uninst.exe" 파일을 통해 삭제할 수 있는 것처럼 구성되어 있습니다.
사용자가 uninst.exe 파일을 찾아 직접 실행할 경우 "이름 제거"라는 메시지 창을 통해 프로그램 삭제가 진행되는 것처럼 표시합니다.
하지만 프로그램 삭제 이후에도 핵심적으로 구성 파일은 전혀 삭제되지 않고 지속적으로 동작하도록 제작되어 있으므로 다음과 같은 절차에 따라 수동으로 삭제하시기 바랍니다.
(a) "보조프로그램 → 명령 프롬프트" 메뉴를 "관리자 권한으로 실행"하여 생성된 명령 프롬프트 창에 다음과 같은 명령어를 순차적으로 입력 및 실행하여 서비스 프로세스 종료 및 서비스 레지스트리 값을 자동으로 삭제하시기 바랍니다.
- sc delete "plusmat"
- sc stop "usewill"
- sc delete "usewill"
(b) Windows 작업 관리자를 실행하여 메모리에 상주하는 plusmat.exe, usewill.exe 프로세스를 찾아 종료하시기 바랍니다.
(c) 실행 중인 웹 브라우저를 종료한 후 "C:\Users\(사용자 계정)\AppData\Roaming\usewill" 폴더를 찾아 삭제하시기 바랍니다.
(d) 레지스트리 편집기(regedit)를 실행하여 다음의 레지스트리 값이 존재할 경우 삭제하시기 바랍니다.
HKEY_CURRENT_USER\Software\upxs
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\usewill.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Windows Explorer usewillch .NET Service Pack 1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{A3B49EF5-B0EE-4ACE-A65F-F595B3D5B953}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\usewill
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\plusmat
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\usewill
광고 배포 및 광고 기능을 수행하는 "Windows Explorer usewillch .NET Service Pack 1" 프로그램은 광고 기능을 수행하는 일부 파일이 삭제된 경우에도 업데이트 기능을 통해 지속적으로 재설치가 가능하며, 사용자에 의한 프로그램 삭제를 방해할 목적으로 제어판에 등록하지 않으며 가짜 삭제 파일을 통해 사용자를 기만하고 있으므로 설치되어 있는 경우 반드시 삭제하시기 바랍니다.
☞ 검색 도우미 : RollingPop 1.0 (2013.7.8)
☞ 삭제를 지원하지 않는 "Windows Explorer Plugin SearchZone KB31113" 광고 프로그램 주의 (2014.7.23)
☞ 검색 도우미 : Windows Explorer Plugin CertKey KB31113 (2013.11.21)
☞ RollingPop 1.0 업데이트를 통한 Windows Explorer Plugin CertKey KB31113 자동 설치 사례 (2014.1.1)
☞ 검색 도우미 : Windows Explorer Plusmatch .NET Service Pack 1 (2014.12.24)