본문 바로가기

벌새::Analysis

국내 악성코드 : 가짜 티스토리(Tistory) 블로그 홈페이지를 이용하는 웹플러스(WebPlus)

국내에서 제작된 금전적 수익을 목적으로 제작된 악성코드 웹플러스(WebPlus) 프로그램에 대해 살펴보도록 하겠습니다.

해당 프로그램의 특징은 설치시 이용약관을 제시하지만 서비스 업체 홈페이지 정보를 확인할 수 없으며, 실제 프로그램 동작 과정에서 확인한 홈페이지는 가짜 티스토리(Tistory) 블로그 안내창으로 구성되어 있는 것을 확인할 수 있었습니다.

참고로 해당 프로그램의 설치 파일(MD5 : a6dc0be1cdccd4448cbce64427689980)에 대하여 Norman 보안 제품에서는 W32/Agent.UTOV (VirusTotal : 7/43) 진단명으로 진단되고 있으므로 참고하시기 바랍니다.


[생성 파일 진단 정보]

C:\Program Files\WebPlus\WebPlus.exe (MD5 : a6ff611c84163097c1e83b60b2416390)
 - AhnLab V3 : Win-Adware/KorAdware.621056 (VirusTotal : 11/43)

해당 프로그램은 Windows 시작시 WebPlus.exe 파일을 시작 프로그램으로 등록하여 자동 실행되며, 실행된 파일은 메모리에 상주하도록 구성되어 있습니다.


해당 프로그램이 설치된 환경에서의 기본적인 동작 방식은 사용자가 웹 브라우저 주소창에 프로그램에 등록된 특정 인터넷 쇼핑몰, 은행, 카드사, 포털 사이트를 입력할 경우 특정 도메인을 경유한 광고 코드를 추가하여 접속하도록 구성되어 있습니다.

여기에서 해당 연결 도메인을 접속해보면 다음과 같은 2가지 정보를 확인할 수 있습니다.

첫째, [go.wal****.com] 도메인에 접속할 경우 자동으로 네이버(Naver) 홈페이지로 포워딩이 이루어지고 있다는 점입니다.

둘째, 해당 도메인의 상위 도메인 [wal****.com]에 접속할 경우 분석을 목적으로 하지 않는 경우 티스토리(Tistory)에서 제공하는 안내창으로 오해를 유발하는 화면을 확인할 수 있었습니다.


해당 메시지는 티스토리에서 제공하는 특정 블로그 또는 게시물에 접속할 경우 삭제되거나 존재하지 않는 계정일 경우 안내하는 메시지와 동일한데, 해당 화면에서 제공하는 ②번 티스토리 로고(Logo)와 ④번 그림 파일이 티스토리 서버에서 가져오는 것이 아닌 [wal****.com] 도메인에서 불러오고 있는 것을 확인할 수 있습니다.

그러므로 해당 도메인은 특정 티스토리 계정의 외부 도메인이 아닌 티스토리 화면을 복사하여 사용자 눈을 속이고 있다고 판단할 수 있습니다.


[추가 기능 관리 : 도구 모음 및 확장 프로그램]

{8F574794-EC09-4BAC-9FDA-323D19FD31E8}

 - 게시자 : 알 수 없음
 - CLSID : {8F574794-EC09-4BAC-9FDA-323D19FD31E8}
 - 파일 : C:\Program Files\WebPlus\WebPlus.dll


프로세스 정보를 살펴보면 WebPlus.exe 프로세스는 메모리에 상주하며, 사용자가 Internet Explorer를 실행할 경우 iexplore.exe 프로세스에 WebPlus.dll 파일을 BHO 방식으로 등록하여 동작하는 것을 확인할 수 있습니다.

WebPlus.dll

WebPlus.dll 파일 내부 정보를 확인해보면 특정 인터넷 쇼핑몰, 은행, 카드사, 포털 사이트 접속시 자신들의 도메인을 경유하도록 구성한 것을 확인할 수 있는데, 금융권 사이트 접속시 특정 도메인을 경유하는 문제는 보안상 문제가 발생할 수 있으므로 문제가 있다고 판단됩니다.


프로그램 삭제시에는 작업 관리자에서 WebPlus.exe 프로세스를 수동으로 종료한 후, 제어판의 [WebPlus] 삭제 항목을 이용하여 삭제하실 수 있습니다.

프로그램 삭제 후에는 [C:\Program Files\WebPlus] 폴더를 수동으로 삭제하시기 바랍니다.

[생성 레지스트리 등록 정보]

HKEY_CLASSES_ROOT\CLSID\{8F574794-EC09-4BAC-9FDA-323D19FD31E8}
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - WebPlus = "C:\Program Files\WebPlus\WebPlus.exe" "/start"
HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{8F574794-EC09-4BAC-9FDA-323D19FD31E8}
HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Uninstall\웹플러스_is1

이런 류의 프로그램은 외형적으로 사용자 눈에 보이지 않는 동작을 통해 금전적 수익을 발생할 수 있는 방식이며, 프로그램 배포자도 확인할 수 없는 프로그램이므로 삭제를 권장합니다.