국내 악성코드 : winbiz services 1.1
벌새::Analysis"윈도우 종료 매니저 프로그램"으로 등록되지만 실제 해당 기능은 존재하지 않고, 사용자 몰래 추가적인 상업적 목적의 프로그램을 설치하는 "winbiz services 1.1" 프로그램에 대해 살펴보도록 하겠습니다.
참고로 해당 프로그램의 설치 파일(MD5 : e8e2cbeac8e933fa021d7109879ad422)에 대하여 Avira AntiVir 보안 제품에서는 TR/Agent.dvx (VirusTotal : 1/43) 진단명으로 진단되고 있습니다.
▷ 제휴(스폰서) 프로그램 : Windows manager atshutdown 1.0 (2012.3.6)
해당 프로그램의 유포 방식은 기존에 소개한 윈도우 종료 매니저 프로그램 "Windows manager atshutdown 1.0"과 같은 프로그램이 설치되는 과정에서 추가적으로 설치를 유도하는 제휴(스폰서) 프로그램을 설치하는 과정에서 설치되는 것으로 추정됩니다.
당시 게시글에서는 제휴(스폰서) 프로그램 중 "Windows update mgr autoshutdown" 프로그램을 설치할 경우 사용자 몰래 "system xn control" 프로그램을 추가로 설치하는 동작에 대해 간단히 소개를 한 적이 있으며, 이번에 소개할 "winbiz services 1.1" 프로그램은 "system xn control"와 유사성이 강한 것으로 보입니다.
특히 실제 설치된 "winbiz services 1.1" 프로그램에는 윈도우 종료와 관련된 기능이 존재하지 않습니다.
자동 실행된 bizupdatesvc.exe 파일은 실행 후 1분이 경과하는 시점에서 특정 서버에 접속하여 등록된 추가적인 상업적 목적의 프로그램을 사용자 동의없이 몰래 설치하는 동작을 한 후 자동으로 종료됩니다.
해당 프로그램은 표시되는 윈도우 종료 기능은 제공하지 않으면서 수익 창출을 목적으로 사용자 몰래 추가적인 프로그램을 설치하는 동작이 존재하므로 주의하시기 바랍니다.
참고로 해당 프로그램의 설치 파일(MD5 : e8e2cbeac8e933fa021d7109879ad422)에 대하여 Avira AntiVir 보안 제품에서는 TR/Agent.dvx (VirusTotal : 1/43) 진단명으로 진단되고 있습니다.
▷ 제휴(스폰서) 프로그램 : Windows manager atshutdown 1.0 (2012.3.6)
해당 프로그램의 유포 방식은 기존에 소개한 윈도우 종료 매니저 프로그램 "Windows manager atshutdown 1.0"과 같은 프로그램이 설치되는 과정에서 추가적으로 설치를 유도하는 제휴(스폰서) 프로그램을 설치하는 과정에서 설치되는 것으로 추정됩니다.
당시 게시글에서는 제휴(스폰서) 프로그램 중 "Windows update mgr autoshutdown" 프로그램을 설치할 경우 사용자 몰래 "system xn control" 프로그램을 추가로 설치하는 동작에 대해 간단히 소개를 한 적이 있으며, 이번에 소개할 "winbiz services 1.1" 프로그램은 "system xn control"와 유사성이 강한 것으로 보입니다.
특히 실제 설치된 "winbiz services 1.1" 프로그램에는 윈도우 종료와 관련된 기능이 존재하지 않습니다.
[생성 폴더 / 파일 등록 정보]
C:\Documents and Settings\(사용자 계정)\Application Data\bizwin :: 숨김(H) 속성
C:\Documents and Settings\(사용자 계정)\Application Data\bizwin\bizupdatesvc.exe :: bizup svc 서비스 등록 파일
C:\Documents and Settings\(사용자 계정)\Application Data\bizwin\bizwin.exe
C:\Documents and Settings\(사용자 계정)\Application Data\bizwin\uninst.exe :: 프로그램 삭제 파일
C:\Documents and Settings\(사용자 계정)\Application Data\bizwin :: 숨김(H) 속성
C:\Documents and Settings\(사용자 계정)\Application Data\bizwin\bizupdatesvc.exe :: bizup svc 서비스 등록 파일
C:\Documents and Settings\(사용자 계정)\Application Data\bizwin\bizwin.exe
C:\Documents and Settings\(사용자 계정)\Application Data\bizwin\uninst.exe :: 프로그램 삭제 파일
자동 실행된 bizupdatesvc.exe 파일은 실행 후 1분이 경과하는 시점에서 특정 서버에 접속하여 등록된 추가적인 상업적 목적의 프로그램을 사용자 동의없이 몰래 설치하는 동작을 한 후 자동으로 종료됩니다.
[생성 레지스트리 등록 정보 : winbiz services 1.1]
HKEY_CURRENT_USER\Software\WinBiz
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\bizwin.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
winbiz services
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_BIZUP_SVC
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\bizup svc
HKEY_CURRENT_USER\Software\WinBiz
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\bizwin.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
winbiz services
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_BIZUP_SVC
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\bizup svc
해당 프로그램은 표시되는 윈도우 종료 기능은 제공하지 않으면서 수익 창출을 목적으로 사용자 몰래 추가적인 프로그램을 설치하는 동작이 존재하므로 주의하시기 바랍니다.
'벌새::Analysis' 카테고리의 다른 글
| 검색 도우미 : Advenced Top C Manager (2) | 2012.03.15 |
|---|---|
| 검색 도우미 : DualMatching (0) | 2012.03.15 |
| 국내 악성코드 : winbiz services 1.1 (0) | 2012.03.14 |
| 검색 도우미 : Windows Sidematch System (0) | 2012.03.13 |
| 검색 도우미 : Window FindKey Controller (0) | 2012.03.13 |
| 검색 도우미 : Speed Link (2) | 2012.03.13 |
댓글을 달아 주세요