울지않는벌새 : Security, Movie & Society

사용자 계정 컨트롤(UAC) 기능을 중지하는 국내 악성코드 사례

벌새::Analysis
최근 국내에서 유포되는 이벤트 정보를 알려준다는 광고 프로그램을 설치할 경우 Windows Vista, Windows 7 운영 체제에서 제공하는 사용자 계정 컨트롤(UAC : User Account Control) 보안 기능을 중지하는 사례를 확인하였습니다.

사용자 계정 컨트롤은 사용자 PC에서 Windows 설정을 변경하려는 파일이 실행될 경우 "사용자 계정 컨트롤" 창을 생성하여 허용 여부를 묻는 기능으로 악성 파일이 사용자 몰래 실행되는 것을 방지할 수 있는 중요한 보안 기능입니다.

Windows 기본값으로는 그림과 같이 사용자 계정 컨트롤 설정이 활성화된 상태로 되어 있는 것을 확인할 수 있습니다.

그런데 최근 onesoft 디지털 인증서가 추가된 국내 광고 프로그램이 설치될 경우 자동으로 UAC 기능을 OFF하는 동작을 확인하였습니다.

해당 광고 프로그램의 설치 파일(MD5 : d48b2e7510b1b9c98073901043f5bdb5)에 대하여 안철수연구소(AhnLab) V3 보안 제품에서는 Trojan/Win32.ADH (VirusTotal : 15/44) 진단명으로 진단되고 있으며, 하우리 바이로봇(Hauri ViRobot) 제품에서도 Trojan.Win32.S.Generic.313440 진단명으로 진단되므로 참고하시기 바랍니다.

해당 프로그램을 설치하면 시스템 트레이 알림 기능을 통해 "사용자 계정 컨트롤을 끄려면 컴퓨터를 다시 시작해야 합니다."라는 풍선 대화창이 생성되는 것을 확인할 수 있습니다.

실제 사용자 계정 컨트롤 설정 항목을 재확인해보면 자동으로 UAC 기능이 꺼져 있는 것을 확인할 수 있습니다.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
 - EnableLUA = 1 :: UAC 기능 ON (기본값)
 - EnableLUA = 0 :: UAC 기능 OFF

UAC 기능의 ON/OFF 설정 변경은 레지스트리 값을 통해 변경할 수 있으며, 기본값은 EnableLUA 값이 "1" 입니다.

그런데 해당 악성 광고 프로그램이 설치되는 과정을 모니터링해보면 [C:\Program Files\cobato\cbtup.exe] 파일이 UAC 설정값을 "0"으로 변경하는 것을 확인할 수 있습니다.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - cobato = C:\Program Files\cobato\cbtup.exe

특히 cbtup.exe 파일은 시작 프로그램으로 등록되어 시스템 시작시마다 자동 실행되므로 사용자가 UAC 기능을 다시 활성화한 경우에도 매번 자동으로 중지가 된다고 볼 수 있습니다.

결국 UAC 기능이 비활성화된 시스템에서는 차후 사용자가 인지하지 못하는 과정에서 추가적인 프로그램이 설치될 수 있는 문제가 발생하며, 기본적으로 Windows 운영 체제에서 제공하는 시스템 보안 기능을 사용할 수 없는 문제가 발생하므로 주의하시기 바랍니다.