728x90
반응형
시스템 시작시 업데이트 창을 통해 제휴(스폰서) 프로그램을 배포할 목적으로 제작된 것으로 추정되는 SystemUser Control 프로그램에 대해 살펴보도록 하겠습니다.
▷ 제휴(스폰서) 프로그램 : Windows atshutdown mgrs (2012.3.4)
해당 프로그램은 윈도우 자동 종료 매니저 프로그램으로 알려진 "Windows atshutdown mgrs"와 유사성이 있으므로 참고하시기 바랍니다.
또한 프로그램의 실제 배포처에서는 마이크로소프트(Microsoft) Windows 운영 체제와 관련된 것과 같은 느낌의 "사용자 계정 컨트롤" 이름으로 배포되고 있습니다.
해당 프로그램은 "C:\Program Files\User Control" 폴더에 파일을 생성하며, Windows 시작시 User Control.exe 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.
현재 시점에서는 업데이트 창을 통한 추가적인 광고성 프로그램 설치 여부를 묻는 동작은 확인되지 않고 있습니다.
추가적으로 "SystemUser Control" 프로그램이 설치를 유도하는 광고성 프로그램에 대한 정보는 다음과 같습니다.
(1) Smart Plugin 1.2 (MD5 : b705f9de2529ca9a3f7fed37ba2f748e) - nProtect : Trojan/W32.Agent.186460 (VirusTotal : 3/43)
Smart Plugin 1.2 프로그램은 "가짜 Adobe 다운로드 자료실 주의" 게시글을 통해 소개하는 과정에서 언급한 내용으로 당시 분석 시점에서는 해당 프로그램의 추가적인 동작이 확인되지 않았지만 실제 다음과 같은 동작을 확인할 수 있습니다.
해당 창에서는 필수 유틸리티 프로그램으로 알집, 데몬툴즈, 곰플레이어, 네이트온, V3 Lite(※ 해당 프로그램은 실제 링크(URL) 방식으로 자동 설치가 되지 않습니다.)를 눈에 보이게 배치를 하고 하단의 화살표를 내릴 경우 "위드팝, 사이드매치, 오픈마켓 바로가기, 파일함탐색기, 웹컴파스" 광고 프로그램을 추가한 형태로 창을 생성합니다.
이런 경우 사용자 중에서 업데이트 버튼을 클릭하거나 설치를 시도할 경우 첫 화면에 배치된 유명 소프트웨어는 설치되지 않고, 숨겨진 광고 프로그램만이 자동으로 설치가 이루어집니다.
(2) 검색 도우미 : WallTab (2011.9.4)
해당 프로그램의 설치 파일(MD5 : 646c7bdc0c4a97328b4d6a7c550177e9)에 대하여 AhnLab V3 보안 제품에서는 PUP/Win32.NBiz (VirusTotal : 7/42) 진단명으로 진단되고 있습니다.
(3) 검색 도우미 : SideMatch
해당 프로그램은 기존의 "efinderorb (ms_exqhelper)" 검색 도우미 프로그램의 이름이 변형된 것으로 보이며, 설치 파일(MD5 : 7c320bf46f5646c8fb1009e42b650d7e)에 대하여 nProtect 보안 제품에서는 Backdoor/W32.Agent.1577480 (VirusTotal : 25/43) 진단명으로 진단되고 있습니다.
(4) 검색 도우미 : 앱이즈(AppIs) 1.0.0.1 (2012.1.6)
해당 프로그램은 기존의 "웹컴파스(WebCompass)" 검색 도우미 변형 프로그램으로, 설치 파일(MD5 : b476e1c3d6f772983f4eb1f756a564f4)에 대하여 AhnLab V3 보안 제품에서는 Win-PUP/Helper.Appls.875640 (VirusTotal : 6/43) 진단명으로 진단되고 있습니다.
(5) <Right Security Blog> 제휴(스폰서) 프로그램 : 파일함 탐색기 (2012.1.3)
해당 프로그램의 설치 파일(MD5 : 5647ca27a28673081b184405c8e4a83d)에 대하여 Symantec 보안 제품에서는 Adware.Adpopup (VirusTotal : 2/43) 진단명으로 진단되고 있습니다.
(6) 삭제 미지원 : Enjoy-Find 인터넷 쇼핑몰 바로가기 아이콘 생성
해당 프로그램은 삭제 기능을 제공하지 않는 "국내 악성코드 : maxclicks17 + ckobxomej.exe (2012.1.12)" 계열로, 설치 파일(MD5 : 77a85e48a13f9e652e0b8b3a8e665ab5)에 대하여 nProtect 보안 제품에서는 Trojan-Clicker/W32.Agent.86805 (VirusTotal : 2/43) 진단명으로 진단되고 있습니다.
특히 삭제 기능을 제공하지 않는 관계로 사용자가 수동으로 삭제를 하지 않는 이상 장기적으로 수익을 유발할 수 있으리라 판단됩니다.
이처럼 사용자 동의를 거쳐 설치된 광고 프로그램이 시스템 시작시 업데이트를 목적으로 추가적인 광고 프로그램을 설치하고, 설치된 광고 프로그램이 또 다른 프로그램을 설치하거나 광고 기능으로 인해 인터넷 이용시 오류 등 불편을 유발할 수 있으므로 주의하시기 바랍니다.
▷ 제휴(스폰서) 프로그램 : Windows atshutdown mgrs (2012.3.4)
해당 프로그램은 윈도우 자동 종료 매니저 프로그램으로 알려진 "Windows atshutdown mgrs"와 유사성이 있으므로 참고하시기 바랍니다.
또한 프로그램의 실제 배포처에서는 마이크로소프트(Microsoft) Windows 운영 체제와 관련된 것과 같은 느낌의 "사용자 계정 컨트롤" 이름으로 배포되고 있습니다.
실제 배포 과정에서 해당 프로그램이 설치되는 과정에서는 해당 설치창이 보이지 않을 것으로 추정됩니다.
[생성 폴더 / 파일 등록 정보]
C:\Program Files\User Control
C:\Program Files\User Control\User Control.exe :: 시작 프로그램 등록 파일
C:\Program Files\User Control\uninst.exe :: 프로그램 삭제 파일
C:\Program Files\User Control
C:\Program Files\User Control\User Control.exe :: 시작 프로그램 등록 파일
C:\Program Files\User Control\uninst.exe :: 프로그램 삭제 파일
해당 프로그램은 "C:\Program Files\User Control" 폴더에 파일을 생성하며, Windows 시작시 User Control.exe 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.
현재 시점에서는 업데이트 창을 통한 추가적인 광고성 프로그램 설치 여부를 묻는 동작은 확인되지 않고 있습니다.
[생성 레지스트리 등록 정보]
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- User Control Op System = C:\Program Files\User Control\User Control.exe
HKEY_CURRENT_USER\Software\Smart control
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\User Control.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- User Control Op System = C:\Program Files\User Control\User Control.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SystemUser Control
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- User Control Op System = C:\Program Files\User Control\User Control.exe
HKEY_CURRENT_USER\Software\Smart control
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\User Control.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- User Control Op System = C:\Program Files\User Control\User Control.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SystemUser Control
추가적으로 "SystemUser Control" 프로그램이 설치를 유도하는 광고성 프로그램에 대한 정보는 다음과 같습니다.
(1) Smart Plugin 1.2 (MD5 : b705f9de2529ca9a3f7fed37ba2f748e) - nProtect : Trojan/W32.Agent.186460 (VirusTotal : 3/43)
Smart Plugin 1.2 프로그램은 "가짜 Adobe 다운로드 자료실 주의" 게시글을 통해 소개하는 과정에서 언급한 내용으로 당시 분석 시점에서는 해당 프로그램의 추가적인 동작이 확인되지 않았지만 실제 다음과 같은 동작을 확인할 수 있습니다.
해당 창에서는 필수 유틸리티 프로그램으로 알집, 데몬툴즈, 곰플레이어, 네이트온, V3 Lite(※ 해당 프로그램은 실제 링크(URL) 방식으로 자동 설치가 되지 않습니다.)를 눈에 보이게 배치를 하고 하단의 화살표를 내릴 경우 "위드팝, 사이드매치, 오픈마켓 바로가기, 파일함탐색기, 웹컴파스" 광고 프로그램을 추가한 형태로 창을 생성합니다.
이런 경우 사용자 중에서 업데이트 버튼을 클릭하거나 설치를 시도할 경우 첫 화면에 배치된 유명 소프트웨어는 설치되지 않고, 숨겨진 광고 프로그램만이 자동으로 설치가 이루어집니다.
(2) 검색 도우미 : WallTab (2011.9.4)
해당 프로그램의 설치 파일(MD5 : 646c7bdc0c4a97328b4d6a7c550177e9)에 대하여 AhnLab V3 보안 제품에서는 PUP/Win32.NBiz (VirusTotal : 7/42) 진단명으로 진단되고 있습니다.
(3) 검색 도우미 : SideMatch
해당 프로그램은 기존의 "efinderorb (ms_exqhelper)" 검색 도우미 프로그램의 이름이 변형된 것으로 보이며, 설치 파일(MD5 : 7c320bf46f5646c8fb1009e42b650d7e)에 대하여 nProtect 보안 제품에서는 Backdoor/W32.Agent.1577480 (VirusTotal : 25/43) 진단명으로 진단되고 있습니다.
(4) 검색 도우미 : 앱이즈(AppIs) 1.0.0.1 (2012.1.6)
해당 프로그램은 기존의 "웹컴파스(WebCompass)" 검색 도우미 변형 프로그램으로, 설치 파일(MD5 : b476e1c3d6f772983f4eb1f756a564f4)에 대하여 AhnLab V3 보안 제품에서는 Win-PUP/Helper.Appls.875640 (VirusTotal : 6/43) 진단명으로 진단되고 있습니다.
(5) <Right Security Blog> 제휴(스폰서) 프로그램 : 파일함 탐색기 (2012.1.3)
해당 프로그램의 설치 파일(MD5 : 5647ca27a28673081b184405c8e4a83d)에 대하여 Symantec 보안 제품에서는 Adware.Adpopup (VirusTotal : 2/43) 진단명으로 진단되고 있습니다.
(6) 삭제 미지원 : Enjoy-Find 인터넷 쇼핑몰 바로가기 아이콘 생성
해당 프로그램은 삭제 기능을 제공하지 않는 "국내 악성코드 : maxclicks17 + ckobxomej.exe (2012.1.12)" 계열로, 설치 파일(MD5 : 77a85e48a13f9e652e0b8b3a8e665ab5)에 대하여 nProtect 보안 제품에서는 Trojan-Clicker/W32.Agent.86805 (VirusTotal : 2/43) 진단명으로 진단되고 있습니다.
[생성 폴더 / 파일 등록 정보]
C:\Documents and Settings\(사용자 계정)\Favorites\12년도 11번가.url
C:\Documents and Settings\(사용자 계정)\Favorites\G마켓 - 놀라움을 쇼핑하다, G마켓.url
C:\Documents and Settings\(사용자 계정)\Favorites\옥션 - 앞으로의 인터넷쇼핑, 옥션.url
C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\atshut.exe
C:\Documents and Settings\(사용자 계정)\바탕 화면\12년도 11번가.lnk
C:\Documents and Settings\(사용자 계정)\바탕 화면\G마켓 - 놀라움을 쇼핑하다, G마켓.lnk
C:\Documents and Settings\(사용자 계정)\바탕 화면\옥션 - 앞으로의 인터넷쇼핑, 옥션.lnk
C:\WINDOWS\1.ico
C:\WINDOWS\2.ico
C:\WINDOWS\3.ico
C:\Documents and Settings\(사용자 계정)\Favorites\12년도 11번가.url
C:\Documents and Settings\(사용자 계정)\Favorites\G마켓 - 놀라움을 쇼핑하다, G마켓.url
C:\Documents and Settings\(사용자 계정)\Favorites\옥션 - 앞으로의 인터넷쇼핑, 옥션.url
C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\atshut.exe
C:\Documents and Settings\(사용자 계정)\바탕 화면\12년도 11번가.lnk
C:\Documents and Settings\(사용자 계정)\바탕 화면\G마켓 - 놀라움을 쇼핑하다, G마켓.lnk
C:\Documents and Settings\(사용자 계정)\바탕 화면\옥션 - 앞으로의 인터넷쇼핑, 옥션.lnk
C:\WINDOWS\1.ico
C:\WINDOWS\2.ico
C:\WINDOWS\3.ico
[생성 파일 진단 정보]
C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\atshut.exe
- MD5 : 4d543cabaedf76af3157e5cb3c369071
- Kaspersky : Trojan-Clicker.Win32.Agent.wmb (VirusTotal : 1/43)
C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\atshut.exe
- MD5 : 4d543cabaedf76af3157e5cb3c369071
- Kaspersky : Trojan-Clicker.Win32.Agent.wmb (VirusTotal : 1/43)
특히 삭제 기능을 제공하지 않는 관계로 사용자가 수동으로 삭제를 하지 않는 이상 장기적으로 수익을 유발할 수 있으리라 판단됩니다.
이처럼 사용자 동의를 거쳐 설치된 광고 프로그램이 시스템 시작시 업데이트를 목적으로 추가적인 광고 프로그램을 설치하고, 설치된 광고 프로그램이 또 다른 프로그램을 설치하거나 광고 기능으로 인해 인터넷 이용시 오류 등 불편을 유발할 수 있으므로 주의하시기 바랍니다.
728x90
반응형