"Donkey CORP. / INSAFE / JDK" 디지털 서명을 사용하며 2013년경부터 현재까지 다양한 유포 방식으로 설치가 이루어지고 있는 국내 광고 프로그램은 가상 환경 및 특정 분석 도구에서 설치 및 실행이 이루어지지 않도록 제작하고 있습니다.

 

특히 광고 프로그램을 설치할 목적으로 배포용 프로그램을 추가적으로 운영하고 있으며, 예전부터 광고 프로그램 문의를 통해 수집되던 일명 TOS 광고 배포용 프로그램이 INSAFE와 밀접한 연관이 있기에 간단하게 살펴보도록 하겠습니다.

 

TOS 광고 배포용 프로그램(SHA-1 : 6604b1ef343857de70b132e777fb5976642455ec - AhnLab V3 365 Clinic : PUP/Win32.Agent.R143651)은 2015년 4월 10일경부터 유포가 이루어진 것으로 추정되며, 광고 프로그램과는 다르게 디지털 서명이 포함되어 있지 않지만 안티 디버깅 기술을 추가하여 분석을 방해하도록 제작되어 있습니다.

  • h**p://service.tor****service.com/tos/download/tos_unin.exe (SHA-1 : d37834c45ddd586e02dbfc9206e829e89eba3377) - Hauri ViRobot : Adware.Kraddare.278528.A[h]
  • h**p://service.tor****service.com/tos/download/tosm.exe (SHA-1 : 00f0561010001f694dd4699513d231e95a8bca7a) - AhnLab V3 365 Clinic : PUP/Win32.Agent.R149630

프로그램 설치가 진행되면 서버로부터 2종의 파일이 다운로드되어 Windows 폴더 내에 파일을 생성하는 것으로 보입니다.

 

파일 경로

 C:\Windows\tos65354.exe

SHA-1

 00f0561010001f694dd4699513d231e95a8bca7a

진단명

 PUP/Win32.Agent.R149630 (AhnLab V3 365 Clinic)

레지스트리

등록값

 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\tos65354

비고

 서비스(tos65354) 등록 파일

 

특히 tosm.exe 서비스 파일은 tos(5자리 숫자).exe 파일 형태로 설치될 수 있으며, 파일명에 종속하여 서비스 등록값이 변경될 수 있는 특징을 가지고 있기에 쉽게 찾기 어렵습니다.

설치된 TOS 광고 배포용 프로그램은 시스템 시작 시 tos65354 서비스 등록값을 통해 "C:\Windows\tos65354.exe" 파일을 자동 실행하도록 구성되어 있으며, 대표적인 기능은 추가적인 파일 다운로드를 수행할 수 있습니다.

 

tosm.exe 서비스 파일(= tos65354.exe)을 살펴보면 "D:\myprj\torrentservice\bin\tosm.pdb" 개발 환경 정보를 확인할 수 있는데, 이를 기반으로 유사 변종을 찾아보면 TOS 프로그램보다 먼저 개발되어 2014년 4월 12일경 유포된 processclean.exe 파일(SHA-1 : 34d3994e8660d3b54d5fcd94e660dba1446bc514 - 알약(ALYac) : Gen:Variant.Zusy.89014)과 매우 유사하며 당시의 개발 환경 정보는 "D:\myprj\processclean\bin\processclean.pdb"입니다.

tosm.exe (= tos65354.exe)

  • h**p://service.tor****service.com/tos/download/update/tosup.exe (SHA-1 : 915b8372dae4e270840f32dba452a08f59fcb1be) - AhnLab V3 : Adware/Win32.Kraddare.C883675

시스템 시작 시 자동 실행되는 tos65354.exe 서비스 파일은 특정 시점에서 업데이트 기능을 수행하는 tosup.exe 파일을 추가 다운로드 및 실행할 수 있으며, 이를 통해 다음과 같은 추가적인 국내 광고 프로그램을 자동 다운로드 및 설치할 수 있는 것으로 보입니다.

tosup.exe 파일은 서버에서 암호화된 정보를 체크하며 추가적인 제휴 프로그램이 등록되어 있는 경우 다음과 같이 자동 다운로드가 진행되어 설치될 수 있습니다.

  • h**p://www.view***.kr/viewcon/download/viewcon_inst.exe (SHA-1 : 52bbb4fbd4c0b246370868b47efa289f7f318f3f) - Norton : Trojan.Gen.2
  • h**p://www.***provider.com/wp/download/winprovider_inst.exe (SHA-1 : 9ee0d90113a068799fed963a70d77046c151129c) - 알약(ALYac) : Trojan.GenericKD.3038464

INSAFE 디지털 서명이 포함된 viewcon, WinProvider 광고 프로그램들은 예전부터 지속적인 업데이트을 통한 변종을 제작하고 있었으며, 프로그램 설치로 인하여 원치않는 바로가기 아이콘, 광고창(탭) 생성 등으로 불편을 유발할 수 있습니다.

 

위와 같이 TOS 광고 배포용 프로그램은 ① 제어판에 등록하지 않는 방식으로 설치 여부를 사용자가 알지 못하게 한다는 점 ② 설치시 다양한 파일명 및 서비스명으로 생성된다는 점 ③ 가상 환경 및 분석 도구를 체크하여 분석을 방해한다는 점 ④ 자신의 존재를 숨길 목적으로 광고 프로그램과는 다르게 배포용 프로그램은 디지털 서명이 포함되어 있지 않다는 점 ⑤ 사용자 몰래 추가적인 광고 제휴 프로그램을 다운로드하여 설치할 수 있다는 점 등이 문제가 될 수 있습니다.

블로그 이미지

벌새

울지않는벌새가 되고 싶은 나..