본문 바로가기

벌새::Analysis

국내 악성코드 : 쇼핑 도우미로 위장한 Windows sxguide navigation (2010.9.9)

국내에서 제작된 정상적인 소프트웨어의 제휴(스폰서) 프로그램 방식으로 쇼핑 도우미로 표기를 하지만 실제로는 악의적인 동작을 포함한 Windows sxguide navigation 프로그램에 대해 살펴보도록 하겠습니다.

SXGuide 관련 정보는 기존에 몇 차례 분석을 통해 ActiveX 설치 방식으로 유포되고 있었음을 알 수 있으며, 이번에는 더욱 정상적인 방식으로 설치(MD5 : 494847709194c65298c6f89843c44d82)를 유도하여 프로그램 설치시 사용자 몰래 광고 코드 추가 행위 및 추가적인 프로그램 설치 행위를 확인할 수 있었습니다.


[Windows sxguide navigation : 생성 파일 등록 정보]

C:\Program Files\2010(Random 10자리 숫자)\001.dat
C:\Program Files\2010(Random 10자리 숫자)\002.dat
C:\Program Files\2010(Random 10자리 숫자)\ar.dat
C:\Program Files\2010(Random 10자리 숫자)\sxguide.exe
C:\Program Files\2010(Random 10자리 숫자)\sxguide_delete.exe

[Windows sxguide navigation : 생성 레지스트리 등록 정보]

HKEY_LOCAL_MACHINE\SOFTWARE\2010(Random 10자리 숫자)
HKEY_LOCAL_MACHINE\SOFTWARE\2010(Random 10자리 숫자)
HKEY_LOCAL_MACHINE\SOFTWARE\microsoft\Windows\CurrentVersion\Run
 - sxguide.exe = C:\Program Files\2010(Random 10자리 숫자)\sxguide.exe
HKEY_LOCAL_MACHINE\SOFTWARE\microsoft\Windows\CurrentVersion\Uninstall\2010(Random 10자리 숫자)
HKEY_LOCAL_MACHINE\SOFTWARE\score


해당 프로그램이 설치되는 폴더명은 설치 시간을 기준으로 임의로 변경되는 14자리 숫자로 구성되어 있으며 Windows sxguide navigation 프로그램에 대한 보안 제품 진단은 다음과 같습니다.


[생성 파일 진단 정보]

C:\Program Files\2010(Random 10자리 숫자)\sxguide.exe (MD5 : e942b836d66449af6e6207792c1a7503)
 - nProtect : Trojan/W32.SxGuide.Gen (VirusTotal : 1/43)

C:\Program Files\2010(Random 10자리 숫자)\sxguide_delete.exe (MD5 : 7660d910e6ef75024056af1b23a0a38e)
 - nProtect : Trojan/W32.SxGuide.Gen (VirusTotal : 10/43)


먼저 Windows sxguide navigation 프로그램 단독으로 동작하는 기본적인 방식을 살펴보며 sxguide.exe 파일을 시작 프로그램으로 등록하여 자동 실행되며, 해당 파일은 메모리에 상주하도록 구성되어 있습니다.


[sxguide.exe 네트워크 연결 정보]

GET /ver/hver.php HTTP/1.1
Host: toto***.co.kr
Accept: text/html, */*
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1);

GET /ver/wver.php HTTP/1.1
Host: toto***.co.kr
Accept: text/html, */*
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1);

GET /ver/pver.php HTTP/1.1
Host: toto***.co.kr
Accept: text/html, */*
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1);


sxguide.exe 파일은 동작시 구글(Google) 도메인 연결 체크 및 프로그램 버전 체크를 하며, 최종적으로 이전에 소개한 001.dat / 002.dat 파일을 다운로드하여 프로그램에서 지정한 특정 인터넷 쇼핑몰 사이트 접근시 광고 코드를 사용자 몰래 추가하는 동작을 확인할 수 있습니다.

예를 들어 사용자가 지마켓에 접속을 시도할 경우 광고 코드가 추가되는 것을 확인할 수 있으며, 이는 sxguide.exe 파일이 연결을 시도하는 국내 적립금 관련 [toto***.co.kr] 도메인과 연관이 있으리라 추정됩니다.

다음으로 Windows sxguide navigation 프로그램이 설치된 환경에서 일정 시간이 경과하면 추가적으로 다음의 설치 파일을 사용자 몰래 다운로드하여 추가적인 프로그램 설치를 하는 동작을 확인할 수 있습니다.

C:\Documents and Settings\(사용자 계정)\내 최근 문서\setup_co1_all.exe (MD5 : 6c424d297f0a4a6959612def73c77036)
 ㄴ C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\(Random 5자리 영문+숫자).tmp\setup_co1_m.exe (MD5 : 1a52ce35dc3c0bcdd9a40c851db1cdc6)
 ㄴ C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\(Random 5자리 영문+숫자).tmp\smarttop_co1_m.exe (MD5 : 46aed2d6c80c1836774a03b118172384)

C:\Documents and Settings\(사용자 계정)\내 최근 문서\onescansetup_special.exe (MD5 : 230b5f7505ac7670fecf91086bc6e67f)
 - NOD32 : a variant of Win32/Adware.IScan.A (VirusTotal : 8/43)

setup_co1_all.exe 파일은 검색 도우미 스마트키워드(SmartKeyword) 프로그램을 설치하며, onescansetup_special.exe 파일은 개인정보 보안 솔루션 원스캔(OneScan) 프로그램을 사용자 몰래 설치하고 있습니다.

원스캔(OneScan) 프로그램의 경우 설치가 완료된 시점에서 동작하지 않고, 시스템 재부팅 후 시작 프로그램 등록을 통한 동작으로 인하여 사용자는 어떤 프로그램이 해당 프로그램을 설치하도록 유도하였는지 전혀 확인할 방법이 없습니다.

만약 사용자가 해당 프로그램을 삭제하여도 시스템 재부팅시 재설치가 이루어지므로 반드시 이런 문제를 해결하기 위해서는 Windows sxguide navigation 프로그램을 함께 삭제를 하셔야 합니다. 

최종적으로 설치된 Windows sxguide navigation 프로그램으로 인한 추가적인 프로그램 설치 형태는 그림과 같습니다.

프로그램 삭제는 제어판의 [스마트키워드], [masterupdate], [onescan], [Windows sxguide navigation] 삭제 항목이 존재합니다.

하지만 Windows sxguide navigation 프로그램의 경우 삭제 파일(sxguide_delete.exe)을 보안 제품에서 악성코드로 진단되고 있으므로 반드시 보안 제품을 통한 삭제 또는 수동 삭제를 권장합니다.

Windows sxguide navigation 프로그램 삭제시에는 작업 관리자에서 sxguide.exe 프로세스를 수동으로 종료한 후 폴더, 파일, 레지스트리값을 제거하시기 바랍니다.
 
그 외에 사용자 몰래 설치된 프로그램은 각각의 프로그램에 대해 소개한 정보를 참고하시기 바라며, 참고로 masterupdate 항목은 원스캔(OneScan) 설치시 추가적으로 설치되는 사용자 Mac Address 수집 기능으로 추정되므로 함께 삭제를 하시기 바랍니다.

이처럼 정상적인 제휴(스폰서) 프로그램을 통해 사용자 몰래 설치되는 또 다른 프로그램 설치 동작이 이루어질 수 있으므로 각종 국내 소프트웨어를 설치할 경우에는 설치 단계에서 꼼꼼하게 확인하는 습관을 가지시기 바랍니다.


  • 최현명 2010.10.26 21:50 댓글주소 수정/삭제 댓글쓰기

    저기 그바이러스걸렷거든요 ? 제어판들어가고 프로그램추가제거가면
    일부밖에안보임;

    • 안녕하세요.

      일부 밖에 안보이는 이유는 해당 악성코드는 변종(다양한 종류)이 상당수 발견되고 있으며, 설치 시기에 따라 설치되는 프로그램이 변경되는 것으로 생각됩니다.

      그러므로 여기에서 언급한 추가적인 프로그램이 없거나 다른 프로그램이 설치되었을 수도 있습니다.

      그러므로 사용자가 제어판에서 자신이 사용하지 않는 프로그램을 찾아서 직접 제거를 하시기 바랍니다.

  • David 2010.11.07 08:32 댓글주소 수정/삭제 댓글쓰기

    우오! 감사합니다.^^

    인터넷 창 킬때 onescansetup_special을 찾을 수 없습니다 하면서 늦게 인터넷 켜져서 뭐지 하고 쳐봤는데 벌새님 글밖에 안나오더라구요^^ 유용한 정보 정말 감사합니다.