마이크로소프트(Microsoft)에서 매월 정기적으로 제공되는 2017년 2월 정기 보안 업데이트가 연기되면서 제공되지 않았던 2017년 2월 Microsoft Windows 악성 소프트웨어 제거 도구(MSRT)에 대한 KB890830 패치가 배포되었습니다.

 

 

 

이번 2017년 2월 Microsoft Windows 악성 소프트웨어 제거 도구(MSRT)에서는 Win32/Chuckenit 악성코드에 대한 진단 패턴이 추가되었습니다.

 

 

Win32/Chuckenit 악성코드는 국내에서도 설치하여 사용하는 사용자가 존재하는 Uncheckit 프로그램과 연관된 것입니다.

 

"Weiwei He" 디지털 서명이 포함된 Uncheckit 프로그램은 사용자가 프로그램 설치 단계에서 추가적으로 포함된 제휴 프로그램의 체크 박스를 자동으로 해제해 주는 프로그램으로 광고 프로그램이 사용자 동의없이 자동 설치되는 것을 방지해주는 유용한 프로그램으로 알려져 있습니다.

 

그런데 이 프로그램은 웹 브라우저 설정을 변경하여 홈 페이지 및 기본 검색 공급자 변경, 광고를 노출시키는 BrowserModifier:Win32/SupTab, Trojan:Win32/Ghokswa, Trojan:Win32/Xadupi, BrowserModifier:Win32/Sasquor 악성코드와 연관되어 함께 설치되었습니다.

 

 

Uncheckit 악성 프로그램의 설치 과정을 잠시 살펴보면 최초 프로그램 설치를 위해 Setup 파일을 실행할 경우 "C:\Program Files (x86)\app_00000000" 폴더에 관련 파일을 자동으로 생성한 후 사용자가 설치를 허용할 경우 "C:\Program Files (x86)\Uncheckit" 폴더로 파일을 이동시켜 설치를 완료하는 형태입니다.

 

 

설치된 Uncheckit 악성 프로그램은 cktSvc, UncheckitSvc 서비스 항목을 등록하여 부팅 시 자동 실행되도록 구성되어 있습니다.

 

또한 작업 스케줄러 영역에 UncheckitTaskMN, UncheckitUpdateTaskC, UncheckitUpdateTaskDB 값을 추가하여 2시간 단위로 자동 실행되도록 구성되어 있습니다.

 

 

설치된 Uncheckit 악성 프로그램 기능 자체는 프로그램 설치 단계에서 제휴 프로그램의 체크 박스를 해제하여 사용자가 제대로 인지하지 못하고 설치되는 다양한 프로그램의 설치를 방어해주지만, 정작 Uncheckit 자신이 자동 실행되는 업데이트 기능을 통해 사용자 동의없이 악성 광고 프로그램을 몰래 설치하였거나 악성 프로그램을 통해 자동 설치되었던 것으로 보입니다.

 

이에 따라 마이크로소프트(Microsoft) 업체에서는 2016년 9월부터 강화된 불필요한 프로그램(PUP) 진단 정책에 따라 Uncheckit 관련 프로그램에 대한 진단이 추가되었으며, 국내외에서 외형적으로는 유용한 프로그램이지만 내부적으로는 사용자 몰래 악의적인 기능이 포함된 경우가 있으므로 주의하시기 바랍니다.

 

 

참고로 문제가 된 Uncheckit 악성 프로그램은 제어판을 통해 제거가 가능하지만, 장시간 해당 프로그램이 설치되어 있었다면 추가적인 악성 프로그램이 사용자 몰래 설치되었거나 기존에 악성 프로그램에 감염된 상태였을 가능성이 있으므로 유명 백신 프로그램을 이용하여 정밀 검사를 해보시기 바랍니다.

신고
블로그 이미지

벌새

울지않는벌새가 되고 싶은 나..

티스토리 툴바