사용자 몰래 다음(Daum), 네이버(Naver) 검색 서비스에 특정 검색 키워드를 이용한 인터넷 검색을 자동으로 수행하며, 업데이트 기능을 통해 다수의 광고 프로그램을 사용자 동의없이 설치할 수 있는 국내에서 제작된 wininlt 악성 광고 프로그램에 대해 살펴보도록 하겠습니다.

확인된 배포 파일<SHA-1 : b4fad721c1bd7d5d22f6c91c3cac95422ae2cbff - avast! : Win32:Adware-gen [Adw] (VT : 31/55)>은 2015년 8월 14일경 발견되고 있지만, 최초 배포는 2014년 12월경부터 지속적으로 변종을 배포한 것으로 추정됩니다.

 

설치 과정을 살펴보면 배포 파일 실행을 통해 "C:\Program Files\Windows Sidebar\wininlt_setup.exe" wininlt 설치 파일<SHA-1 : 18febeadaf45e9d599b01b95edef14f918b8a177 - ESET : a variant of Win32/Adware.Kraddare.LA (VT : 28/54)>을 임시 생성하여 프로그램 설치가 진행된 후 자가 삭제 처리됩니다.

참고로 정상적인 PC 환경에서도 존재하는 "C:\Program Files\Windows Sidebar" 폴더에는 Windows 관련 폴더 및 파일이 존재하며, wininlt 악성 프로그램은 사용자 눈을 속일 목적으로 해당 폴더 내에 프로그램을 설치합니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Program Files\Windows Sidebar\wininlt
C:\Program Files\Windows Sidebar\wininlt\FreeApp.exe
C:\Program Files\Windows Sidebar\wininlt\unins000.dat
C:\Program Files\Windows Sidebar\wininlt\unins000.exe :: 프로그램 삭제 파일
C:\Program Files\Windows Sidebar\wininlt\uwininlt.dat
C:\Program Files\Windows Sidebar\wininlt\uwininlt.exe :: 시작 프로그램(uwininlt) 등록 파일
C:\Program Files\Windows Sidebar\wininlt\wininlt.exe :: 메모리 상주 프로세스

 

[생성 파일 진단 정보]

 

C:\Program Files\Windows Sidebar\wininlt\FreeApp.exe
 - SHA-1 : f4b92e72848b0e9805dc6c70acb8b31e55aee4a8
 - avast! : Win32:Adware-BCG [Adw] (VT : 8/55)

 

C:\Program Files\Windows Sidebar\wininlt\uwininlt.exe
 - SHA-1 : bc146bfc30c3e61322fedd001997b1c93e9dd275
 - nProtect : Trojan/W32.Agent_Packed.495616 (VT : 7/55)

 

C:\Program Files\Windows Sidebar\wininlt\wininlt.exe
 - SHA-1 : 6c007ff30ed992588d2b8d4f7126d0502a88181e
 - AhnLab V3 365 Clinic : PUP/Win32.Helper.C930199 (VT : 32/55)

keimc 디지털 서명이 포함된 해당 프로그램은 "C:\Program Files\Windows Sidebar\wininlt" 폴더에 파일을 생성합니다.

 

Windows 시작시 "C:\Program Files\Windows Sidebar\wininlt\uwininlt.exe" 파일을 시작 프로그램(uwininlt)으로 등록하여 자동 실행되어 업데이트 체크 후 광고 기능을 수행하는 "C:\Program Files\Windows Sidebar\wininlt\wininlt.exe" 파일을 메모리에 상주시킵니다.

자동 실행된 wininlt.exe 파일은 특정 서버에 등록된 2종의 검색 키워드(홍천 맛집, 홍천한우애)를 활용하여 다음(Daum), 네이버(Naver) 검색 서비스에 자동으로 인터넷 검색을 수행을 시도합니다.

위와 같은 인터넷 검색 활동은 PC 화면 상으로 표시되지 않는 백그라운드 방식으로 Windows 부팅 후부터 다음(Daum), 네이버(Naver) 검색을 순차적으로 진행합니다.

wininlt 광고 프로그램이 설치된 환경에서는 시스템 트레이 알림 아이콘 영역에 "windows 검색서비스" 아이콘이 생성되며 실행시 "windows 검색" 창이 생성되어 일반적인 인터넷 검색, 최신 영화, 만화, 오락실 등 유용한 프로그램처럼 자신을 위장하고 있습니다.

 

"C:\Program Files\Windows Sidebar\wininlt\uwininlt.exe" 업데이트 기능

 

wininlt 광고 프로그램은 부팅시마다 자동 실행되어 업데이트 체크를 수행하는 과정에서 다음과 같은 3종의 악성 광고 프로그램을 자동으로 설치하는 행위를 수행하는 것이 확인되고 있습니다.

 

1. [삭제] MicrowindowSearch (2012.2.26)

  • h**p://update.**links.kr/MicrowindowSearch/MicrowindowSearch_Setup_silent_08.exe (SHA-1 : 48bab9bebf524214d7eaed9fb60c2c1d294e8083) - Hauri ViRobot : Adware.Agent.1097392[h] (VT : 15/55)

특정 서버에서 MicrowindowSearch 광고 프로그램 설치 파일을 다운로드하여 "C:\Program Files\MicrowindowSearch_setup_08.exe" 파일로 임시 생성한 후 다음과 같은 프로그램을 자동 설치한 후 자동 삭제 처리됩니다.

"keemcee Corp." 디지털 서명이 포함된 해당 광고 프로그램은 "C:\Windows\System32\MicrowindowSearch" 폴더에 파일을 생성합니다.

  • h**p://update.**links.kr/MicrowindowSearch/download/WindowServiceNT.exe (SHA-1 : 9d616c77a91048ff29b918d256a89bf44f704635) - Hauri ViRobot : Adware.Agent.644248[h] (VT : 16/55)

또한 프로그램 설치 과정에서 "C:\Windows\System32\WindowServiceNT.exe" 서비스 등록 파일을 추가로 다운로드하여 생성합니다.

 

특히 MicrowindowSearch 프로그램은 ① 제어판에 등록하지 않는 방식으로 사용자가 프로그램 설치 여부를 인지하지 못하도록 삭제를 방해하며, ② 프로그램 업데이트 기능을 통해 추가적인 악성 광고 프로그램을 자동으로 설치합니다.

 

2. MicrowindowSearch 광고 프로그램을 통해 자동 설치되는 catroot 광고 프로그램

  • h**p://update.catroot**.com/download/ctsins.exe (SHA-1 : 33c62f16f513c1fc4259e3364a3baec13170e951) - BitDefender : Gen:Variant.Barys.724 (VT : 34/55)

MicrowindowSearch 광고 프로그램이 설치된 환경에서 동작하는 "C:\Windows\System32\MicrowindowSearch\MicrowindowSearch.exe" 파일은 사용자 몰래 cnkcompany 디지털 서명이 포함된 추가적인 파일 다운로드를 통해 "C:\Windows\System32\ctsins.exe" 파일을 임시 생성하여 실행됩니다.

  • h**p://update.catroot**.com/setup/catins1.exe (SHA-1 : 3970b3db94c1dc63cc0b59e9563561c0a10d283c) - AhnLab V3 : Win-Adware/Catroot.1063128 (VT : 16/55)
  • h**p://update.catroot**.com/setup/catins2.exe (SHA-1 : 51c5360c5f751954b22824083455bb3331839c94) - AVG : Win32/DH{JIERWxM?} (VT : 20/55)
  • h**p://update.catroot**.com/setup/catins3.exe (SHA-1 : d54441efaacff9e14e10e7330b66d0fe935ad2de) - avast! : Win32:Malware-gen (VT : 16/55)
  • h**p://update.catroot**.com/setup/catins4.exe (SHA-1 : e4bde6cdd4b51bb6d2bc25bd09beba8e741b5bfc) - Microsoft : Trojan:Win32/Dynamer!ac (VT : 16/55)
  • h**p://update.catroot**.com/setup/catins5.exe (SHA-1 : 593bff8e6a55ce677986ac68b25a55d65c3a7bb6) - Avira : TR/Agent.652288.23 (VT : 15/55)

이를 통해 업데이트 서버에서 5종의 catroot 설치 파일(5종) 중 하나를 랜덤하게 다운로드하여 "C:\Users\Public\Documents\catins(숫자).exe" 파일로 임시 생성하여 프로그램 설치를 진행한 후 자가 삭제 처리됩니다.

해당 광고 프로그램은 "C:\Windows\System32\AppCompat\catroot" 폴더에 파일을 생성하며, 사용자가 프로그램 설치를 인지하지 못하도록 제어판에 등록하지 않는 방식으로 삭제를 방해합니다.

 

3. 검색 도우미 : pvinc plugin (2015.6.16)

  • h**p://update.pop**vaccine.com/setup/pvinc_si.exe (SHA-1 : 5bfbfbf450f5785bc06a57593c4e75dd1b05f019) - AhnLab V3 365 Clinic : PUP/Win32.Installer.C973824 (VT : 10/55)

wininlt 악성 광고 프로그램은 업데이트 서버에서 Gong-gam 디지털 서명이 포함된 "pvinc plugin" 광고 프로그램 설치 파일 다운로드하여 "C:\Windows\System32\pvinc_si.exe → C:\Program Files\setup.exe" 파일 형태로 생성한 후 프로그램 설치 후 자가 삭제 처리됩니다.

이를 통해 "C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\sofa" 폴더에 파일을 생성하며, 해당 광고 프로그램은 제어판에 등록된 "pvinc plugin" 삭제 항목을 이용하여 제거할 수 있습니다.

 

wininlt 광고 프로그램 삭제 방법

(a) Windows 작업 관리자를 실행하여 메모리에 상주하는 wininlt.exe 프로세스를 찾아 종료하시기 바랍니다.

(b) 제어판 또는 체크잇(CheckIt : www.checkitinfo.com) 프로그램에 등록된 wininlt 삭제 항목을 이용하여 프로그램 제거를 진행할 수 있습니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - uwininlt = C:\Program Files\Windows Sidebar\wininlt\uwininlt.exe
HKEY_CURRENT_USER\Software\wininlt
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - uwininlt = C:\Program Files\Windows Sidebar\wininlt\uwininlt.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\wininlt_is1

 

wininlt 악성 광고 프로그램은 외형적으로 광고 행위를 확인할 수 없으며, 차후 업데이트 기능을 통해 삭제가 어려운 다양한 악성 광고 프로그램을 사용자 몰래 설치할 수 있으므로 설치되지 않도록 각별히 주의하시기 바랍니다.

 

 
블로그 이미지

벌새

울지않는벌새가 되고 싶은 나..