본문 바로가기

벌새::Analysis

국내 애드웨어 : NS-Solution Package

반응형
국내 블로그 등을 중심으로 인터넷 사용자들이 많이 찾는 소프트웨어 또는 간단한 게임 관련 설치 파일로 위장하여 각종 악성코드 치료 프로그램, 광고 프로그램 등을 함께 설치되는 형태로 배포되던 T-Solution Package의 새로운 변종 NS-Solution Package가 유포되는 것을 확인하였습니다.

이번 NS-Solution Package의 이용약관에서는 이전의 T-Solution Package에 표시된 이용약관 내용 중 배포자의 네이버(Naver) 이메일로 추정되는 부분이 삭제되었으며, 2009년 11월 1일에 새롭게 변경한 내용을 담고 있습니다.

하지만 2가지 Package 모두 배포자는 이전과 동일한 배포 서버들을 이용하는 것으로 보아 또 다른 배포자는 아닌 것으로 추정됩니다.

해당 이용약관에서 제시하는 다양한 제휴 프로그램의 경우 인터넷 사용자가 설치하는 시점에 따라 다양한 형태의 프로그램들이 설치될 수 있으므로 위에서 제시한 이용약관은 포괄적인 의미만을 가지고 있으므로 사실상 법적 효력도 없으리라 생각됩니다.

생성 폴더, 파일 정보

테스트 과정에서는 총 3가지의 프로그램이 설치되는 것을 확인할 수 있었으며, 주된 목적은 악성코드 치료 프로그램 M****PC를 통해 유료 결제를 유도하는 것으로 보입니다.

해당 악성코드 치료 프로그램이 NS-Solution Package 방식으로 설치된 경우 사용자가 악성코드 치료 프로그램만을 삭제하여도 매번 윈도우 시작시마다 추가적으로 설치된 ompn_ver4 프로그램에 의하여 재설치되는 방식으로 삭제를 방해하도록 되어 있으므로 반드시 제휴 프로그램으로 설치된 모든 프로그램을 삭제하지 않으면 컴퓨터 사용에 방해를 받을 수 있습니다.

전체적인 NS-Solution Package의 설치는 인터넷 검색을 통해 특정 배포 블로그에 접속하여 게임 관련 설치 파일을 다운로드하여 설치를 시도할 경우, [%Program Files%\game] 폴더에 게임을 설치한다는 안내만 나오도록 한 상태에서 사용자 몰래 다른 폴더에 다수의 프로그램을 설치하는 방식으로 진행이 되도록 구성되어 있습니다.

[프로그램 다운로드 서버 정보]

[ompn_ver4.exe]
Http: Request, GET /act/exelistall.asp
URI: /act/exelistall.asp?uncode=4
ProtocolVersion: HTTP/1.1
Host:  www.***pack.pe.kr

[M****PCUp.exe]
Http: Request, GET /app/update/update_app.html
URI: /app/update/update_app.html
ProtocolVersion: HTTP/1.1
Host:  m****pc.pe.kr

[insatll_sc_ver4.exe]
Http: Request, GET /act/exelistall.asp
URI: /act/exelistall.asp?uncode=4
ProtocolVersion: HTTP/1.1
Host:  www.***pack.pe.kr

[outcall.exe]
Http: Request, GET /nemo/ftosmc.exe
URI: /nemo/ftosmc.exe
ProtocolVersion: HTTP/1.1
Host:  file.last***.co.kr

악성코드 치료 프로그램 M****PC 허위 진단 모습

이렇게 설치된 악성코드 치료 프로그램은 정상적인 컴퓨터 환경에서 검사를 시도하며 존재하지 않는 파일과 레지스트리 정보를 이용하여 허위 진단을 하도록 구성되어 있으며, 사용자가 검사 중에 중지를 하지 못하도록 구성되어 있습니다.

특히 엄청난 악의적인 오진을 하지만 국내 보안업체에서 안티 스파이웨어(Anti-Spyware) 진단 정책에 발목이 잡혀 가짜 백신으로 진단하지 않는 부분을 교묘하게 이용하여 돈벌이를 하고 있는게 현실입니다.

[시작 프로그램 등록 정보]

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - M****PC = C:\Program Files\M****PC\M****PCLaunch.exe

HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\Run
 - ompn_ver4 = C:\Program Files\ompn_ver4\ompn_ver4.exe

NS-Solution Package를 설치하는 시점에 따라 정보는 달라지겠지만, 위에서 제시하는 시작 프로그램 등록 정보를 통해 자동으로 실행되도록 구성하여 설치된 프로그램의 삭제를 방해하는 등의 동작을 하고 있습니다.

1. ompn_ver4


ompn_ver4 프로그램은 윈도우 시작시 ompn_ver4.exe 파일을 시작 프로그램으로 등록하여 자동 실행되며, 특정 서버와 접속을 하여 악의적인 동작을 하도록 구성되어 있습니다.

만약 함께 설치된 제휴 프로그램이 사용자에 의해 삭제되는 경우(일반적으로 보안제품의 진단 정책을 우회하기 위해 모든 프로그램은 대체적으로 제어판을 통한 삭제 또는 삭제 파일 제공) 삭제된 프로그램을 다시 설치하도록 하여 일반 사용자 입장에서는 다시 설치된 프로그램만을 의심하지만 실제로는 위와 같은 프로그램을 통해 재설치를 할 수 있으므로 반드시 이런 프로그램을 추가로 삭제를 하셔야 합니다.

2. ftosmc.exe

해당 파일은 윈도우 시스템 폴더 내의 [%systemroot%\system32\com\ftosmc.exe] 위치에 존재하며, 삭제를 지원하지 않는 형태로 설치가 이루어지고 있습니다.

해외 유명 보안제품 AntiVir에서는 Trojan.Spy.Gen 진단명으로 진단을 하고 있으며, T-Solution Package에서는 다른 파일명으로 동일한 위치에 설치하는 행위가 있었으며, 연결 서버가 국내 악성코드 유포 서버인 Lastlog인 점을 감안하며 사용자 키워드를 감시하여 광고 노출 등의 행위를 할 것으로 추정됩니다.


기본적으로 프로그램의 삭제는 제어판의 [M****PC 1.0 / ompn_ver4] 삭제 항목을 이용하여 삭제를 하실 수 있지만, 사용자가 인지하지 못하는 과정에서 설치되는 다수의 프로그램들이 존재할 수 있으므로 어려움이 예상됩니다.

위와 같은 프로그램들이 설치되지 않도록 하기 위해서는 블로그 등 신뢰할 수 없는 다운로드 경로는 이용하지 않도록 해야 할 것이며, 자신이 설치하는 프로그램에 대해 인지하여 제어판의 삭제 항목을 보고 분별할 수 있도록 하는 것도 필요합니다.

특히 국내 보안업체에서는 법적인 문제로 가짜 백신과 각종 애드웨어 진단에 인색할 수 있다는 점도 고려해야 할 것으로 보입니다. 하지만 이런 파일을 배포하는 경로와 파일을 국내 보안업체에 신고를 하시면 악성코드로 진단할 수 있으므로 샘플 신고를 통해 문제를 해결할 수도 있습니다.

728x90
반응형
  • bradly1 2009.11.13 13:15 댓글주소 수정/삭제 댓글쓰기

    저희집도 M****PC라는 허위백신과 ompn_ver4 라는 폴더가 program files 폴더에 있던데 저희집도 이 바이러스에 걸린건가요??

    • 해당 폴더와 내부 파일이 존재하다면 설치가 되었을겁니다.

      아마 인터넷을 통해 이상한 파일을 설치하면서 몰래 설치가 된 것으로 보입니다.

      제어판에서 프로그램 삭제를 하시고, 제 글의 파일 정보를 보시고 하나씩 추가적인 파일 삭제를 하시기 바랍니다.

      그리고 어떤 보안제품을 이용하시는지는 모르지만, 수시로 정밀 검사를 해보시기 바랍니다.

  • jh8010 2009.11.14 00:25 댓글주소 수정/삭제 댓글쓰기

    저희집도 의심이되는데요..ftosmc 이것이 오류가뜨네요..C:\ 어떤파일.dat 액세스가 거부되었다고하는데 ftosmc 이걸 삭제해도되나여?

    • 해당 파일의 위치가 동일하다면 삭제를 하시기 바랍니다.

      또한 http://www.virustotal.com/ 사이트에 해당 파일을 올려서 검사를 해보시기 바라며, 더욱 정확하게 확인하시려면 국내 보안업체에 파일을 신고해서 검토를 받으시기 바랍니다.

  • jh8010 2009.11.14 11:18 댓글주소 수정/삭제 댓글쓰기

    C:\Windows\System32\com 파일경로가 이렇게되는데 저는 비스타쓰고요.. 삭제해야하나요?

    • 제가 xp에서 확인한 경로라서 달라질 수도 있습니다. 비스타도 동일하다면 삭제를 하시기 바라며, 레지스트리 편집기에서도 해당 파일명으로 전체 검사를 해서 나오는 값이 있을 경우 해당 값을 삭제처리하시기 바랍니다.

  • 비밀댓글입니다

    • 이게 종류가 무척 많습니다.

      매번 파일명도 교체하고 폴더 위치도 설치시마다 변경하는 등 상당히 악의적으로 배포되는 국내 악성코드가 있습니다.

  • 저기 2009.11.28 23:47 댓글주소 수정/삭제 댓글쓰기

    저도 비슷한걸깔았는데 님이 댓글로 달아주신데에서

    41개중 9개나 나왔네요..
    거의다 트로이잔인데
    치료하려고요 ㅠㅠ 알약으로 되려나 정밀검사하는데요

    • 일단은 진단되는 부분은 전부 삭제를 하시기 바랍니다.

      해당 설치되는 부분이 설치 시점에 따라 변경될 수 있으므로 정확하게 어떤 것들을 치료하라고 말씀드리기 어렵습니다.

      전체적으로 프로그램 폴더 내의 항목과 제어판의 삭제 항목들을 비교하면서 점검을 해보시기 바랍니다.

  • 질문이요ㅠ 2009.12.29 01:47 댓글주소 수정/삭제 댓글쓰기

    저도 저 약관이 있는 파일을 다운 받았는데
    지금 컴퓨터에 저 백신 프로그램은 깔려있지 않아요ㅠㅠ
    혹시 몰라 재부팅까지 해봤는데도 프로그램 추가/제거에 없고, 컴퓨터 시작 할때도 아무 반응이 없네요;
    아 이런게 더 무서운데 어떡하죠?ㅠㅠ 이상한거 삭제했다가 욕볼까봐 함부로 삭제도 못하겠고 도와주세요!!!ㅠㅠ

    • 해당 유포 행위는 설치시마다 약간씩 달라지고 설치되는 프로그램도 변합니다.

      그래서 보안제품으로 확인을 하시거나, 직접 프로그램 폴더 내를 하나씩 확인을 해야 할 것으로 보입니다.

      사용자 컴퓨터에 보안제품이 설치되어 있지 않다는 것이 잘못되었으니 먼저 유명 보안제품을 설치해서 정밀 검사를 하시기 바랍니다.