본문 바로가기

벌새::Analysis

K-Lite Codec Pack으로 위장한 국내 애드웨어 배포

반응형
해외에서 제작된 유명 통합 코덱 프로그램 K-Lite Codec Pack을 이용하여 국내에서 애드웨어를 배포하고 있는 것을 확인하였습니다.

위와 같이 인터넷 이용자들이 잘 검색하는 특정 검색어로 등록된 카페, 블로그와 같은 공개된 게시판에 접근을 유도하여 위와 같이 동영상을 볼 수 있는 것처럼 위장하여 해당 동영상을 보려면 특정 ActiveX에서 제공하는 코덱을 설치해야 하도록 구성되어 있습니다. 또는 ActiveX 방식을 병행하면서 동영상 화면을 클릭할 경우 K-Lite Codec Pack 설치 파일로 위장한 파일을 다운로드하도록 구성되어 있습니다.

실제 동영상 배포 사이트에서 제공하는 가짜 K-Lite Codec Pack (1번)과 진짜 제작사에서 배포하는 것과 비교를 해보면 배포 파일 형태가 다른 것을 아실 수 있습니다.

해당 글 작성을 위해서 ActiveX 설치 방식이 아닌 파일 설치 방식을 통해 어떤 것이 설치가 되는지 알아보도록 하겠습니다.

설치 첫 단계에서는 [자주 사용되는 코덱 모음 "K-Lite Codec pack(케이라이트 코덱팩)" v4.7.5 Basic] 버전이라고 소개하고 있습니다.

실제 현재 배포되는 정식 K-Lite Codec Pack의 최신버전과 동일하며 누군가 코덱 설치 화면을 변경한 것을 아실 수 있습니다.

파일에서 확인된 바로는 4월 17일 전후에 파일이 제작되어 배포가 진행 중인 것으로 추정됩니다.

다음 단계에서는 해당 코덱이 설치되는 경로를 표시하고 있으며, 누구나 해당 경로를 통해 일반적인 코덱을 정상적으로 설치하는 것을 믿게 만들고 있습니다.

설치가 완료된 상태에서 [프로그램 실행]에 체크가 되어 있는 것으로 보아, 일반적으로 해당 코덱의 환경설정과 관련된 내용을 출력할 것으로 추정하실 수 있습니다.

하지만 설치가 완료되었다는 다음 단계로 접근을 하면 K-Lite Codec Pack 설치 화면(이 화면은 실제 해당 코덱을 설치할 때의 첫 화면입니다.)이 등장합니다. 다음 단계 역시 이용약관 동의 화면이 나오는 것을 보아 이제부터 실제 해당 코덱팩이 설치되는 것입니다.

참고로 해당 코덱팩은 한국어를 지원하지 않기에 앞서의 설치 단계는 국내에서 누군가가 코덱팩이 설치되는 것으로 위장하는 설치 단계로 이해를 하시면 됩니다.

그렇다면 이전의 단계에서는 무슨 동작이 있었는지 살펴보겠습니다.(진짜 K-Lite Codec Pack 설치는 하지 않고 확인하도록 하겠습니다.)

생성 폴더, 파일 정보

[생성 파일 진단 상황]

C:\WINDOWS\system32\woopy.exe (AhnLab V3 : Win-Adware/Asdfware.544768)

해당 설치 파일에서는 K-Lite Codec Pack이 설치되기 전에 총 3종류의 애드웨어성 프로그램이 사용자의 동의없이 설치가 되었습니다.

[사용자의 동의없이 설치된 프로그램]

1. Batty (사이트 접근시 ActiveX 주의) - 적립금 프로그램, 배포자 : 하늘네트워크

2. IHBar : 출처를 알 수 없는 광고 사이드바 프로그램 추정

3. MicroCode : 키워드 도우미

위와 같은 프로그램이 설치됨으로 인하여 4개의 프로세스가 동작을 하는 것을 확인하실 수 있습니다.

생성 폴더를 보시면 실제 설치 초기 단계에서 제시하는 코덱이 설치될 폴더(C:\Program Files\K-Lite Codec Pack)에는 코덱이 설치되지 않고 설치 관련 파일만 하나가 생성될 뿐 그 사이에 사용자 몰래 다른 프로그램이 생성된 것을 보실 수 있습니다.

특히 마지막 단계에서 진짜 코덱팩을 설치하므로써 자신들의 존재를 더욱 숨기려고 하는 모습이 악의적으로 제작되었다는 것을 뒷받침합니다.

[시작 프로그램 등록]

HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\Run
 - codecpack = "C:\Program Files\MicroCode\codecpack.exe"

HKEY_CURRENT_USER\software\Microsoft\Windows\CurrentVersion\Run
 - Batty = "C:\Program Files\Batty\BattyUpdate.exe"
 - IHBar = "C:\Program Files\IHBar\InHold.exe"

[Service 항목 등록]

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\woopy



해당 프로그램의 설치에 대해 사용자가 제대로 인지를 하려면 Internet Explorer 웹 브라우저를 동작하면서 사용을 하던 중에 인지할 수 있지만, 어떤 프로그램인지 몇 개의 프로그램이 설치되었는지는 쉽게 확인하기 힘들어 보입니다.

또한 생성된 파일의 위치가 매우 지저분하게 설치되었기에 제거하기에도 불편한 것이 사실입니다.

3개의 프로그램은 기본적으로 제어판의 [Batty], [IHBar], [MicroCode] 삭제 항목을 이용하여 삭제를 하실 수 있습니다.

이 중에서도 MicroCode 프로그램을 삭제하려고 시도를 하면 현재 설치된 환경에서는 삭제 관련 파일을 제공하지 않고 삭제 관련 페이지로 이동을 시켜서 삭제 파일을 다운로드하여 삭제를 하도록 하는 수법을 사용하고 있습니다.

[수동 삭제 파일 정보]

C:\Program Files\IHBar
C:\Program Files\K-Lite Codec Pack (코덱 설치를 안한 경우)
C:\Program Files\MicroCode

C:\cpsover_info.txt
C:\InHold_Install41.exe

C:\WINDOWS\codepack_setup.exe
C:\WINDOWS\ExeSubSend.exe
C:\WINDOWS\smile.bmp

C:\WINDOWS\system32\selete.bat
C:\WINDOWS\system32\woopy.exe

[수동 삭제 레지스트리 정보]

HKEY_CURRENT_USER\software\BATTY

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\woopy (ImagePath=C:\WINDOWS\system32\woopy.exe)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\woopy (DisplayName=network woopy services svc)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\woopy
HKEY_LOCAL_MACHINE\software\woopy

HKEY_CURRENT_USER\software\InHoldBar

이 내용은 설치 파일 단위로 검토한 내용이므로 ActiveX 설치를 한 경우에는 달라질 수도 있습니다.

위와 같이 사용자의 동의를 구하지 않고 마치 유명 코덱팩을 설치하는 화면으로 위장을 하여 배포하는 방식은 분명 문제가 있으며, 사용자 입장에서는 마치 해당 동영상을 보기 위한 필수적인 설치 파일로 오해를 유도하는 사회공학적 배포 방식이므로 주의가 요구됩니다.
728x90
반응형