본문 바로가기

벌새::Analysis

제휴(스폰서) 프로그램 : SystemUser Control

반응형
시스템 시작시 업데이트 창을 통해 제휴(스폰서) 프로그램을 배포할 목적으로 제작된 것으로 추정되는 SystemUser Control 프로그램에 대해 살펴보도록 하겠습니다.

  제휴(스폰서) 프로그램 : Windows atshutdown mgrs (2012.3.4)

해당 프로그램은 윈도우 자동 종료 매니저 프로그램으로 알려진 "Windows atshutdown mgrs"와 유사성이 있으므로 참고하시기 바랍니다.

또한 프로그램의 실제 배포처에서는 마이크로소프트(Microsoft) Windows 운영 체제와 관련된 것과 같은 느낌의 "사용자 계정 컨트롤" 이름으로 배포되고 있습니다.

실제 배포 과정에서 해당 프로그램이 설치되는 과정에서는 해당 설치창이 보이지 않을 것으로 추정됩니다.

해당 프로그램의 설치 파일(MD5 : 85b2212bef73bace76f0837200d0da1b)을 이용하여 설치를 진행하면 그림과 같은 이용약관을 제시하며 "Smart plugin" 프로그램을 설치한다고 안내되고 있습니다.

[생성 폴더 / 파일 등록 정보]

C:\Program Files\User Control
C:\Program Files\User Control\User Control.exe :: 시작 프로그램 등록 파일
C:\Program Files\User Control\uninst.exe :: 프로그램 삭제 파일

해당 프로그램은 "C:\Program Files\User Control" 폴더에 파일을 생성하며, Windows 시작시 User Control.exe 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.

자동 실행된 User Control.exe 파일은 특정 서버에 접속하여 추가적인 번들(Bundle) 프로그램을 포함한 업데이트 창을 생성할 것으로 보이며, 설치된 PC의 Mac Address를 체크하는 동작을 진행합니다.

현재 시점에서는 업데이트 창을 통한 추가적인 광고성 프로그램 설치 여부를 묻는 동작은 확인되지 않고 있습니다.

하지만 실제 테스트 시점에서는 6종의 광고성 프로그램이 등록되어 있으며, 차후 시스템 시작 과정에서 업데이트 창이 생성될 것으로 보입니다.

우선 해당 프로그램의 삭제를 위해서는 제어판의 "SystemUser Control" 삭제 항목을 이용하여 삭제하실 수 있습니다.

[생성 레지스트리 등록 정보]

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - User Control Op System = C:\Program Files\User Control\User Control.exe
HKEY_CURRENT_USER\Software\Smart control
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\User Control.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - User Control Op System = C:\Program Files\User Control\User Control.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SystemUser Control

추가적으로 "SystemUser Control" 프로그램이 설치를 유도하는 광고성 프로그램에 대한 정보는 다음과 같습니다.

(1) Smart Plugin 1.2 (MD5 : b705f9de2529ca9a3f7fed37ba2f748e) - nProtect : Trojan/W32.Agent.186460 (VirusTotal : 3/43)

Smart Plugin 1.2 프로그램은 "가짜 Adobe 다운로드 자료실 주의" 게시글을 통해 소개하는 과정에서 언급한 내용으로 당시 분석 시점에서는 해당 프로그램의 추가적인 동작이 확인되지 않았지만 실제 다음과 같은 동작을 확인할 수 있습니다.

Smart Plugin 1.2 프로그램이 설치된 환경에서 Windows 시작시 시작 프로그램으로 등록된 Smart Plugin.exe 파일을 통해 그림과 같은 "Download Center Smart Update" 창을 생성합니다.

해당 창에서는 필수 유틸리티 프로그램으로 알집, 데몬툴즈, 곰플레이어, 네이트온, V3 Lite(※ 해당 프로그램은 실제 링크(URL) 방식으로 자동 설치가 되지 않습니다.)를 눈에 보이게 배치를 하고 하단의 화살표를 내릴 경우 "위드팝, 사이드매치, 오픈마켓 바로가기, 파일함탐색기, 웹컴파스" 광고 프로그램을 추가한 형태로 창을 생성합니다.

이런 경우 사용자 중에서 업데이트 버튼을 클릭하거나 설치를 시도할 경우 첫 화면에 배치된 유명 소프트웨어는 설치되지 않고, 숨겨진 광고 프로그램만이 자동으로 설치가 이루어집니다.

또한 설치를 원치 않은 사용자가 닫기(X) 버튼을 클릭할 경우 그림과 같은 "스마트 플러그인" 창을 생성하여 종료 여부를 묻는 과정에서 단순히 종료할 목적으로 "예(Y)" 버튼을 클릭하면 자동으로 설치가 이루어집니다.

(2) 검색 도우미 : WallTab (2011.9.4)

해당 프로그램의 설치 파일(MD5 : 646c7bdc0c4a97328b4d6a7c550177e9)에 대하여 AhnLab V3 보안 제품에서는 PUP/Win32.NBiz (VirusTotal : 7/42) 진단명으로 진단되고 있습니다.

(3) 검색 도우미 : SideMatch

해당 프로그램은 기존의 "efinderorb (ms_exqhelper)" 검색 도우미 프로그램의 이름이 변형된 것으로 보이며, 설치 파일(MD5 : 7c320bf46f5646c8fb1009e42b650d7e)에 대하여 nProtect 보안 제품에서는 Backdoor/W32.Agent.1577480 (VirusTotal : 25/43) 진단명으로 진단되고 있습니다.

(4) 검색 도우미 : 앱이즈(AppIs) 1.0.0.1 (2012.1.6)

해당 프로그램은 기존의 "웹컴파스(WebCompass)" 검색 도우미 변형 프로그램으로, 설치 파일(MD5 : b476e1c3d6f772983f4eb1f756a564f4)에 대하여 AhnLab V3 보안 제품에서는 Win-PUP/Helper.Appls.875640 (VirusTotal : 6/43) 진단명으로 진단되고 있습니다.

(5) <Right Security Blog> 제휴(스폰서) 프로그램 : 파일함 탐색기 (2012.1.3)

해당 프로그램의 설치 파일(MD5 : 5647ca27a28673081b184405c8e4a83d)에 대하여 Symantec 보안 제품에서는 Adware.Adpopup (VirusTotal : 2/43) 진단명으로 진단되고 있습니다.

(6) 삭제 미지원 : Enjoy-Find 인터넷 쇼핑몰 바로가기 아이콘 생성

해당 프로그램은 삭제 기능을 제공하지 않는 "국내 악성코드 : maxclicks17 + ckobxomej.exe (2012.1.12)" 계열로, 설치 파일(MD5 : 77a85e48a13f9e652e0b8b3a8e665ab5)에 대하여 nProtect 보안 제품에서는 Trojan-Clicker/W32.Agent.86805 (VirusTotal : 2/43) 진단명으로 진단되고 있습니다.

[생성 폴더 / 파일 등록 정보]

C:\Documents and Settings\(사용자 계정)\Favorites\12년도 11번가.url
C:\Documents and Settings\(사용자 계정)\Favorites\G마켓 - 놀라움을 쇼핑하다, G마켓.url
C:\Documents and Settings\(사용자 계정)\Favorites\옥션 - 앞으로의 인터넷쇼핑, 옥션.url
C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\atshut.exe
C:\Documents and Settings\(사용자 계정)\바탕 화면\12년도 11번가.lnk
C:\Documents and Settings\(사용자 계정)\바탕 화면\G마켓 - 놀라움을 쇼핑하다, G마켓.lnk
C:\Documents and Settings\(사용자 계정)\바탕 화면\옥션 - 앞으로의 인터넷쇼핑, 옥션.lnk
C:\WINDOWS\1.ico
C:\WINDOWS\2.ico
C:\WINDOWS\3.ico

[생성 파일 진단 정보]

C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\atshut.exe
 - MD5 : 4d543cabaedf76af3157e5cb3c369071
 - Kaspersky : Trojan-Clicker.Win32.Agent.wmb (VirusTotal : 1/43)

프로그램은 Internet Explorer 웹 브라우저 즐겨찾기와 바탕 화면에 11번가, 옥션, G마켓 인터넷 쇼핑몰 바로가기 아이콘을 등록합니다.

해당 아이콘은 특정 광고 코드(cl.ilikeclick.com)를 포함하고 있으며, 사용자가 해당 바로가기 아이콘을 통해 접속하여 특정 조건을 만족시킬 경우 프로그램 제작자(배포자)에게 금전적 수익이 발생할 것으로 보입니다.

특히 삭제 기능을 제공하지 않는 관계로 사용자가 수동으로 삭제를 하지 않는 이상 장기적으로 수익을 유발할 수 있으리라 판단됩니다.

이들 광고성 프로그램의 삭제는 제어판에 등록된 "파일함탐색기, AppIs(앱이즈), SideMatch, Smart Plugin 1.2, WallTab" 항목을 통해 삭제하실 수 있습니다.

이처럼 사용자 동의를 거쳐 설치된 광고 프로그램이 시스템 시작시 업데이트를 목적으로 추가적인 광고 프로그램을 설치하고, 설치된 광고 프로그램이 또 다른 프로그램을 설치하거나 광고 기능으로 인해 인터넷 이용시 오류 등 불편을 유발할 수 있으므로 주의하시기 바랍니다.


728x90
반응형