울지않는벌새 : Security, Movie & Society

국내 악성코드 : Windows Onestep System

벌새::Analysis
최근 제휴(스폰서) 프로그램 형태로 배포가 이루어지고 있는 검색 도우미 Windows Onestep System 프로그램을 설치할 경우 사용자 동의 없이 다수의 추가적인 프로그램을 설치하는 행위가 발견되고 있습니다.

테스트에서는 Windows Onestep System 설치 파일(MD5 : a3b708832f7a453a5cf5e5fc5a223963)을 통해 확인을 하였으며, 안철수연구소(AhnLab) V3 보안 제품에서는 Downloader/Win32.Adload (VirusTotal : 5/41), 알약(ALYac)에서는 Trojan.Downloader.KorAdware.592384 진단명으로 차단을 하고 있으므로 참고하시기 바랍니다.

설치 파일이 실행되면 특정 서버를 통해 one-step.zip 파일을 다운로드하여 Windows Onestep System이라는 프로그램을 설치합니다.

[생성 폴더 / 파일 등록 정보 : Windows Onestep System]

C:\Program Files\one-step
C:\Program Files\one-step\ls.plc
C:\Program Files\one-step\one-step.dll :: 탐색창 관련 파일
C:\Program Files\one-step\one-stepb.dll :: BHO 등록 파일
C:\Program Files\one-step\one-stepe.exe :: 시작 프로그램 등록 파일
C:\Program Files\one-step\uninstall.exe :: 프로그램 삭제 파일

[생성 파일 진단 정보]

C:\Program Files\one-step\one-step.dll
 - MD5 : 072250e5018105d27461225a4556319b
 - Kaspersky : Trojan.Win32.StartPage.aqsi (VirusTotal : 3/41)

C:\Program Files\one-step\one-stepb.dll
 - MD5 : 0ee65cb68ff41198cb4622c951a56973
 - AhnLab V3 : Trojan/Win32.BHO (VirusTotal : 17/43)

C:\Program Files\one-step\one-stepe.exe
 - MD5 : 619d55463093a5954f069bd612e89a0d
 - Dr.Web : Trojan.DownLoader5.13910 (VirusTotal : 6/43)

해당 프로그램은 [C:\Program Files\one-step] 폴더에 파일을 생성하며, one-stepe.exe 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.

이 과정에서 one-stepe.exe 파일은 사용자 동의 없이 추가적으로 현재 7종의 검색 도우미, 개인정보 보안 솔루션, 야후(Yahoo) 시작 페이지 설정 프로그램, 바탕 화면 및 즐겨찾기 바로가기 아이콘 생성 프로그램을 다운로드하여 설치가 이루어집니다.

1. 개인정보 보안 솔루션 : 데이터세이브(DataSave) (2011.11.11)
  • MD5 : 2561861766c2daeedfa6478c8b0d1c3b
  • Microsoft : TrojanDownloader:Win32/Fakr.A (VirusTotal : 8/43)

해당 프로그램은 시스템 시작시 자동 실행되어 사용자 PC 사용 흔적 검사를 통해 자동 연장 결제 방식의 유료 결제를 유도하며, 시스템 트레이 알림 아이콘 상단에 주기적으로 팝업창을 생성하는 프로그램입니다.

2. 검색 도우미 : PostTip (2011.4.11)

  • MD5 : 65454472747f8d4ed22061298d13ce63
  • Hauri ViRobot : Trojan.Win32.Downloader.17504 (VirusTotal : 22/43)

해당 프로그램은 인터넷 검색시 웹 브라우저 좌측 영역에 광고바를 생성하는 프로그램으로 사용자는 해당 광고바가 어떤 프로그램인지 확인하기 어렵습니다.

3. 검색 도우미 : SideOh (2011.11.11)

  • MD5 : 7fbdb7dded8fb6379d92c4c7c975ae9e
  • Kaspersky : HEUR:Trojan-Downloader.Win32.Generic (VirusTotal : 3/42)

해당 프로그램은 인터넷 검색시 웹 브라우저 좌측 사이드바 형태의 추천 사이트 광고를 생성하는 프로그램으로 사용자는 사이드바 광고가 어떤 프로그램인지 확인하기 어렵습니다.

4. 검색 도우미 : SmartTool (2011.4.11)

  • MD5 : bdb95ec3afc8355009923a6645569161
  • AhnLab V3 : Win-PUP/Helper.PlusTab.66008 (VirusTotal : 7/43)

해당 프로그램은 인터넷 검색시 웹 브라우저 상단에 광고바를 생성하는 프로그램으로 사용자는 해당 광고바가 어떤 프로그램인지 확인하기 어렵습니다.

5. GoGopage117.exe

  • MD5 : a66776d00c450b70c83db992d91bc01f
  • AhnLab V3 : Adware/Win32.StartPage (VirusTotal : 29/43)

해당 프로그램이 설치된 경우 자동으로 Internet Explorer 웹 브라우저의 시작 페이지를 야후(Yahoo) 페이지로 변경을 하는 프로그램입니다.

해당 문제를 해결하기 위해서는 인터넷 옵션의 [일반 - 홈 페이지] 항목에서 등록된 시작 페이지 주소를 제거하시고 사용자가 원하시는 시작 페이지로 변경을 하시기 바랍니다.

6. 국내 악성코드 : Win Search for finalget (2011.10.21)

  • MD5 : f7c0507195d85fe7e0c8b262aa56e93a
  • AhnLab V3 : Downloader/Win32.Adload (VirusTotal : 13/43)

해당 프로그램은 인터넷 검색시 추가적인 광고창이 생성되는 과정에서 사용자 몰래 광고 코드를 추가하여 금전적 수익을 유발하는 프로그램입니다.

7. fvhome-p4.exe

  • MD5 : 0e1d33d0cd88314274e1aa01c9d8fbe4
  • Dr.Web : Win32.HLLM.Julio.origin (VirusTotal : 4/43)

해당 프로그램은 바탕 화면과 웹 브라우저 즐겨찾기에 11번가, 옥션, G마켓 바로가기 아이콘을 생성하는 기능을 합니다.

프로그램 자체에 삭제 기능을 제공하지 않으므로 사용자가 수동으로 등록된 바로가기 아이콘을 삭제하셔야 합니다.

특히 이렇게 다수의 검색 도우미 프로그램이 설치됨으로 인하여 사용자가 인터넷 과정에서 원치 않는 광고창 생성 및 웹 페이지에 상단, 좌측, 하단에 4개의 광고바가 생성되어 웹 브라우저 속도에 큰 영향을 주는 문제가 발생하는 것을 확인할 수 있습니다.

[추가 기능 관리 : 도구 모음 및 확장 프로그램]

이름 : one-step
유형 : 브라우저 도우미 개체
CLSID : {3ADCD904-2FCC-4D2D-9E2F-1A434E0F4BAC}
파일 : C:\Program Files\one-step\one-stepb.dll

이름 : O
유형 : 탐색창
CLSID : {34D65E42-BFD8-43B5-BC3E-3B5F4151D56A}
파일 : C:\Program Files\one-step\one-step.dll

※ 해당 항목은 Windows Onestep System 프로그램 관련 정보입니다.


Windows Onestep System 프로그램의 경우 one-stepb.dll 파일을 브라우저 도우미 개체(BHO)로 등록하여, 인터넷 검색시 사용자 키워드 감시를 통해 웹 브라우저 하단에 광고바를 생성하는 동작을 하도록 구성되어 있습니다.

그러므로 이런 광고 동작을 중지하기 위해서는 Internet Explorer 웹 브라우저에서 제공하는 추가 기능 관리에 등록된 SmartToolCtl Class, PostTip, one-step, O, SideOhHelper, SideOh 항목을 선택하여 [사용 안 함]으로 변경하시기 바랍니다.

프로그램 삭제시에는 Internet Explorer 웹 브라우저 종료를 한 상태에서 제어판의 [datasave uninstall], [PostTip], [SideOh], [SmartTool 제거], [Win Search for finalget], [Windows Onestep System] 삭제 항목을 이용하여 삭제하시기 바랍니다.

참고로 Windows Onestep System 프로그램의 경우 삭제 완료 후 추가적으로 [C:\Program Files\one-step] 폴더를 수동으로 삭제하시기 바랍니다.


[생성 레지스트리 등록 정보 : Windows Onestep System]

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - one-step = C:\Program Files\one-step\one-stepe.exe
HKEY_CURRENT_USER\Software\noone-step
HKEY_CURRENT_USER\Software\one-step
HKEY_CURRENT_USER\Software\winu
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{34D65E42-BFD8-43B5-BC3E-3B5F4151D56A}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3ADCD904-2FCC-4D2D-9E2F-1A434E0F4BAC}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\one-step.one
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\one-step
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{3ADCD904-2FCC-4D2D-9E2F-1A434E0F4BAC}

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\one-step


해당 프로그램들은 제어판을 통한 삭제 이후에도 일부 시작 프로그램 등록 레지스트리 정보가 제대로 삭제되지 않는 문제가 있으므로, 사용자 몰래 설치된 각 프로그램에 대한 세부적인 링크 정보를 참고하여 추가로 삭제하시기 바랍니다.