울지않는벌새 : Security, Movie & Society

국내 악성코드 : winbiz services 1.1

벌새::Analysis
"윈도우 종료 매니저 프로그램"으로 등록되지만 실제 해당 기능은 존재하지 않고, 사용자 몰래 추가적인 상업적 목적의 프로그램을 설치하는 "winbiz services 1.1" 프로그램에 대해 살펴보도록 하겠습니다.

참고로 해당 프로그램의 설치 파일(MD5 : e8e2cbeac8e933fa021d7109879ad422)에 대하여 Avira AntiVir 보안 제품에서는 TR/Agent.dvx (VirusTotal : 1/43) 진단명으로 진단되고 있습니다.

  제휴(스폰서) 프로그램 : Windows manager atshutdown 1.0  (2012.3.6)

해당 프로그램의 유포 방식은 기존에 소개한 윈도우 종료 매니저 프로그램 "Windows manager atshutdown 1.0"과 같은 프로그램이 설치되는 과정에서 추가적으로 설치를 유도하는 제휴(스폰서) 프로그램을 설치하는 과정에서 설치되는 것으로 추정됩니다.

당시 게시글에서는 제휴(스폰서) 프로그램 중 "Windows update mgr autoshutdown" 프로그램을 설치할 경우 사용자 몰래 "system xn control" 프로그램을 추가로 설치하는 동작에 대해 간단히 소개를 한 적이 있으며, 이번에 소개할 "winbiz services 1.1" 프로그램은 "system xn control"와 유사성이 강한 것으로 보입니다.

실제 배포 과정에서는 해당 설치창이 노출되지 않을 것으로 추정됩니다.

해당 프로그램의 설치창에서는 "윈도우 종료 매니저 프로그램"에 대한 이용약관 동의창이 생성되도록 되어 있으며, 추가적인 프로그램 설치와 관련된 정보는 존재하지 않습니다.

특히 실제 설치된 "winbiz services 1.1" 프로그램에는 윈도우 종료와 관련된 기능이 존재하지 않습니다.

[생성 폴더 / 파일 등록 정보]

C:\Documents and Settings\(사용자 계정)\Application Data\bizwin :: 숨김(H) 속성
C:\Documents and Settings\(사용자 계정)\Application Data\bizwin\bizupdatesvc.exe :: bizup svc 서비스 등록 파일
C:\Documents and Settings\(사용자 계정)\Application Data\bizwin\bizwin.exe
C:\Documents and Settings\(사용자 계정)\Application Data\bizwin\uninst.exe :: 프로그램 삭제 파일

해당 프로그램은 사용자가 확인하기 어려운 숨김(H) 속성 값을 가지는 "C:\Documents and Settings\(사용자 계정)\Application Data\bizwin" 폴더에 파일을 생성하며, 서비스에 "bizup svc" 항목을 등록하여 Windows 시작시 "C:\Documents and Settings\(사용자 계정)\Application Data\bizwin\bizupdatesvc.exe" 파일을 자동으로 실행되도록 구성되어 있습니다.

자동 실행된 bizupdatesvc.exe 파일은 실행 후 1분이 경과하는 시점에서 특정 서버에 접속하여 등록된 추가적인 상업적 목적의 프로그램을 사용자 동의없이 몰래 설치하는 동작을 한 후 자동으로 종료됩니다.

참고로 현재 업데이트 서버에 등록된 추가 프로그램은 개인정보 보안 솔루션 "메인보안(MainBoan)"으로 확인이 되고 있으며, 해당 프로그램의 설치 파일(MD5 : f7a52f80aa0290cf0fb8f03478fff69a)에 대하여 BitDefender 보안 제품에서는 Gen:Variant.Graftor.12370 (VirusTotal : 20/43) 진단명으로 진단되고 있습니다.

이렇게 사용자 동의없이 몰래 설치된 메인보안(MainBoan) 프로그램은 자동으로 PC 사용 흔적 검사를 통한 결제창 및 팝업창 생성으로 정상적인 PC 사용에 불편을 유발하고 있습니다.

이렇게 설치된 "winbiz services 1.1" 프로그램은 시스템 시작시마다 업데이트 체크를 통해 차후 추가적으로 등록되는 다양한 프로그램을 몰래 설치할 수 있으며, 실제 해당 프로그램이 설치된 폴더에서는 윈도우 종료와 관련된 파일이 보이지 않는 것을 확인할 수 있습니다.

프로그램 삭제는 제어판의 "winbiz services 1.1" 삭제 항목을 이용하여 삭제할 수 있으며, 현재 시점에서 추가적으로 설치된 "메인보안(MainBoan)" 프로그램도 함께 삭제를 하시기 바랍니다.

[생성 레지스트리 등록 정보 : winbiz services 1.1]

HKEY_CURRENT_USER\Software\WinBiz
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\bizwin.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
winbiz services
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_BIZUP_SVC
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\bizup svc

해당 프로그램은 표시되는 윈도우 종료 기능은 제공하지 않으면서 수익 창출을 목적으로 사용자 몰래 추가적인 프로그램을 설치하는 동작이 존재하므로 주의하시기 바랍니다.