2014년 하반기에 출현한 LuckyTool 악성 광고 프로그램은 2016년 상반기까지 지속적으로 다양한 폴더와 파일명으로 변종을 제작하여 유포하고 있었으며, 특히 제어판을 통한 프로그램 제거를 할 수 없도록 삭제 기능을 추가하지 않았습니다.

 

그러던 중 2016년 여름경에 "Network Application Express" 광고 프로그램으로 이름을 변경하여 기존과 마찬가지로 다양한 폴더와 파일명으로 대변신을 하였습니다.

 

 

새롭게 등장한 "Network Application Express" 광고 프로그램은 2016년 11월경부터 파일 구성을 새로운 형태로 변경되하였기에 다시 한 번 프로그램에 대해 살펴보도록 하겠습니다.

 

생성 폴더 / 파일 등록 정보

 

C:\ProgramData\AppService
C:\ProgramData\AppService\AppService.dll
C:\ProgramData\AppService\snempapi.db
C:\ProgramData\AppService\SQLite3.dll
C:\ProgramData\Windows System Apps
C:\ProgramData\Windows System Apps\snempapi.db
C:\ProgramData\Windows System Apps\SQLite3.dll
C:\ProgramData\Windows System Apps\wmvdspapp.exe :: 작업 스케줄러(wmvdspapp) 등록 파일, 메모리 상주 프로세스
C:\Users\%UserName%\AppData\Roaming\Jabra
C:\Users\%UserName%\AppData\Roaming\Jabra\Jabra.exe :: 시작 프로그램(jabra_client) 등록 파일, 작업 스케줄러(jabra_client) 등록 파일, 메모리 상주 프로세스
C:\Users\%UserName%\AppData\Roaming\Jabra\JabraAgent.exe :: 시작 프로그램(jabra_agent) 등록 파일, 작업 스케줄러(jabra_agent) 등록 파일
C:\Users\%UserName%\AppData\Roaming\Jabra\no23New.dll
C:\Users\%UserName%\AppData\Roaming\Jabra\smartpush.dll
C:\Users\%UserName%\AppData\Roaming\Jabra\snempapi.db
C:\Users\%UserName%\AppData\Roaming\Jabra\SQLite3.dll
C:\Users\%UserName%\AppData\Roaming\Jabra\uninst.exe :: 프로그램 삭제 파일
C:\Windows\System32\Tasks\jabra_agent
C:\Windows\System32\Tasks\jabra_client
C:\Windows\System32\Tasks\wmvdspapp

 

생성 파일 진단 정보

 

C:\ProgramData\Windows System Apps\wmvdspapp.exe
 - SHA-1 : ac737fb8e2c6f079dda4e7a4213cd9916fdda9a0
 - AhnLab V3 365 Clinic : PUP/Win32.NetworkExpress.R192062

 

C:\Users\%UserName%\AppData\Roaming\Jabra\Jabra.exe
 - SHA-1 : 81f280def4b4aa8c4b7ea9bdaabcf62703f0fa3f
 - AhnLab V3 365 Clinic : PUP/Win32.NetworkExpress.C1685432

 

C:\Users\%UserName%\AppData\Roaming\Jabra\JabraAgent.exe
 - SHA-1 : 3960fba4d62d5074b73487723ae3f5a68db56fb8
 - AhnLab V3 365 Clinic : PUP/Win32.NetworkExpress.C1672101

 

C:\Users\%UserName%\AppData\Roaming\Jabra\smartpush.dll
 - SHA-1 : 771591c0321fdd6feddb9603448fed91665e5a1e
 - Hauri ViRobot : Adware.Safeterra.5522184[h]

 

 

JWSOFT 디지털 서명이 포함된 "Network Application Express" 광고 프로그램은 변종에 따라 다양한 폴더(Firebase, Godzilla, Grape, Jabra, Kakaru, Network Application Express, Transfer)와 파일명으로 설치될 수 있으며, 이 글에서는 Jabra 변종 프로그램(SHA-1 : 13d221c36f20b2b3aa0838613ab8ce17e5b8369d - AhnLab V3 365 Clinic : PUP/Win32.Adload.C1715450)을 통해 살펴보도록 하겠습니다.

 

  • C:\ProgramData\AppService
  • C:\ProgramData\Windows System Apps
  • C:\Users\%UserName%\AppData\Roaming\Jabra

 

기본적으로 3개의 폴더에 관련 파일을 생성한 "Network Application Express" 광고 프로그램은 시스템 시작 시 다음과 같은 다양한 자동 실행값을 통해 프로그램이 동작할 수 있습니다.

 

1. 시작 프로그램 등록 정보

 

  • jabra_agent 시작 프로그램 등록값 : C:\Users\%UserName%\AppData\Roaming\Jabra\JabraAgent.exe
  • jabra_client 시작 프로그램 등록값 : C:\Users\%UserName%\AppData\Roaming\Jabra\Jabra.exe

 

2. 작업 스케줄러 등록 정보

 

  • jabra_agent 작업 스케줄러 등록값 : "C:\Users\%UserName%\AppData\Roaming\Jabra\JabraAgent.exe" "/run"
  • jabra_client 작업 스케줄러 등록값 : "C:\Users\%UserName%\AppData\Roaming\Jabra\Jabra.exe" "/run"
  • wmvdspapp 작업 스케줄러 등록값 : "C:\ProgramData\Windows System Apps\wmvdspapp.exe" "/run"

 

우선 새롭게 추가된 wmvdspapp 작업 스케줄러 등록값을 통해 자동 실행된 "C:\ProgramData\Windows System Apps\wmvdspapp.exe" 파일은 서버로부터 암호화된 snempapi.db 정보를 다운로드하여 체크합니다.

 

 

이를 통해 메모리에 상주하는 국내에서 제작된 다양한 광고 프로그램 정보를 체크하여 실행 방해를 하는 기능을 수행할 수 있습니다.

 

Windows 부팅 시 자동 실행되는 jabra_agent 시작 프로그램 및 작업 스케줄러 등록값은 "C:\Users\%UserName%\AppData\Roaming\Jabra\JabraAgent.exe" 파일을 실행하여 프로그램 업데이트 정보 체크한 후 자동 종료 처리됩니다.

 

또한 jabra_client 시작 프로그램 및 작업 스케줄러 등록값을 통해 자동 실행된 "C:\Users\%UserName%\AppData\Roaming\Jabra\Jabra.exe" 파일은 "Wetelecomunication Co.,Ltd" 디지털 서명이 포함된 smartpush.dll 광고 모듈을 추가 로딩하여 다음과 같은 다양한 광고 행위를 수행할 수 있습니다.

 

 

포털 사이트를 비롯한 인터넷 검색 활동 과정에서 자동으로 제휴 코드가 포함된 다양한 광고창을 생성할 수 있습니다.

 

 

인터넷 검색을 통해 임의의 웹 사이트 접속 과정에서 전체 화면 사이즈로 다양한 광고창을 자동으로 생성할 수 있습니다.

 

 

또한 특정 웹 사이트 회원 가입 페이지에 접근할 경우 마치 해당 사이트에서 제공하는 서비스처럼 착각을 유발할 수 있는 전화번호 안심로그인 유료 서비스 가입창을 생성하는 광고 행위가 이루어질 수 있습니다.

 

"Network Application Express" 광고 프로그램 계열 제거 방법

 

"Network Application Express" 광고 프로그램은 다양한 폴더와 파일명으로 설치될 수 있으며, 특히 사용자에 의한 프로그램 제거를 방해할 목적으로 제어판의 프로그램 및 기능에 삭제 항목을 추가하지 않으므로 다음과 같은 절차에 따라 제거하시기 바랍니다.

 

(a) 작업 관리자를 실행하여 Jabra.exe, wmvdspapp.exe 프로세스를 찾아 종료하시기 바랍니다.

 

 

(b) "C:\Users\%UserName%\AppData\Roaming\Jabra\uninst.exe" 파일을 찾아 직접 실행하시면 "Network Application Express" 광고 프로그램 제거를 진행할 수 있습니다.

 

생성 레지스트리 등록 정보

 

HKEY_CURRENT_USER\Software\jabra
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - jabra_agent = C:\Users\%UserName%\AppData\Roaming\Jabra\JabraAgent.exe
 - jabra_client = C:\Users\%UserName%\AppData\Roaming\Jabra\Jabra.exe
HKEY_CURRENT_USER\Software\Yestop
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{183CB603-1F67-4DE6-9353-CD08CF299C25}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{580CA109-20F1-4D5D-8DD8-A0DB83F10685}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{BD5A43CE-74A0-4F00-AD1B-A487A2BA49CF}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\jabra_agent
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\jabra_client
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\wmvdspapp

 

 

 

"Network Application Express" 광고 프로그램은 기존의 LuckyTool 악성 광고 프로그램처럼 차후에도 지속적으로 다양한 폴더(파일) 이름으로 변종을 설치할 수 있으며, 최근 VMware, VirtualBox 가상 환경까지 체크하여 분석을 방해하고 있는 것으로 확인되고 있습니다.

신고
블로그 이미지

벌새

울지않는벌새가 되고 싶은 나..

티스토리 툴바