최근 국내 광고 프로그램을 통해 사용자 몰래 설치되는 특정 파일에 감염될 경우, 1회용 서비스에 등록하여 다수의 수익성 프로그램을 설치한 후 자가 삭제되는 유포 사례를 확인하였습니다.
이를 통해 사용자는 어떤 파일을 통해 다수의 수익성 프로그램을 설치하였는지 역추적이 어렵다는 점에서 과거부터 위와 같은 방식을 이용하여 많이 설치를 한 것으로 보입니다.
특히 해당 유포 업데이트 서버가 국내에서 제작된 다수의 보안 관련(악성코드 제거 프로그램, 개인정보 보안 솔루션, PC 최적화 프로그램) 프로그램을 사용자 몰래 설치하는데 악용되는 것으로 추정되므로 주의가 요구됩니다.
현재 광고 프로그램을 통해 다운로드되는 설치 파일(MD5 : 3c25985f2d937a67769a22fe6f790725)에 대하여 AhnLab V3 보안 제품에서는 Win-Trojan/Downloader.119296.IF (VirusTotal : 23/42) 진단명으로 진단되고 있으므로 참고하시기 바랍니다.
[생성 파일 및 진단 정보]
C:\WINDOWS\system32\launcher-two.exe :: Launcher Agent Service 서비스 등록 파일
- MD5 : 3c25985f2d937a67769a22fe6f790725
- AhnLab V3 : Win-Trojan/Downloader.119296.IF (VirusTotal : 23/42)
[생성 레지스트리 등록 정보]
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Launcher Agent Service
설치 파일을 통해 감염이 이루어지면 자기 자신을 시스템 폴더 내에 launcher-two.exe 파일로 생성하며, 파일 속성을 확인해보면 "Launcher MFC 응용 프로그램"으로 등록되어 있는 것을 확인할 수 있습니다.
해당 파일은 서비스에 "Launcher Agent Service" 항목으로 등록하여 Windows 시작시 "C:\WINDOWS\system32\launcher-two.exe" 파일을 자동 실행하도록 구성되어 있습니다.
이를 통해 최초 감염된 상태에서는 어떠한 동작을 하지 않지만, 사용자가 시스템 재부팅 과정에서 사용자 몰래 다음과 같은 동작을 확인할 수 있습니다.
▷ 국내 악성코드 : Live Float (2011.9.3)
참고로 해당 서비스 등록값은 기존의 Live Float 검색 도우미 프로그램을 이용한 악성 파일 유포에 사용되었던 변종으로 추정되므로 참고하시기 바랍니다.
우선 특정 서버에 연결되어 추가적으로 utillauncher.exe 파일을 다운로드하여 다음과 같은 파일과 레지스트리 값을 생성합니다.
- C:\WINDOWS\utillauncher.dat
- C:\WINDOWS\utillauncher.exe (MD5 : d2c54eace17320c9cd195c5176ea8974) - AhnLab V3 : PUP/Win32.UserChange (VirusTotal : 24/42)
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall
\utillauncher - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\launcher Update Service
생성된 파일은 서비스에 "launcher Update Service(launcher Support Service)" 항목을 등록하여 Windows 시작시 "C:\WINDOWS\utillauncher.exe" 파일을 자동으로 실행하여 프로그램 배포와 관련된 파트너 인증을 하는 것으로 추정됩니다.
그 후 특정 서버에 접속하여 현재 테스트 시점에서 총 6종의 수익성 프로그램을 다운로드하여 사용자 몰래 설치하는 동작을 합니다.
(1) 악성코드 제거 프로그램 : 리얼시큐리티(RealSecurity) (2012.4.6)
해당 프로그램의 설치 파일(MD5 : e6b359d50d75b2b6f52fd22bb1dda74b)에 대하여 Hauri ViRobot 보안 제품에서는 Adware.RealSecurity.205848 (VirusTotal : 14/42) 진단명으로 진단되고 있습니다.
(2) 개인정보 보안 솔루션 : 보안키퍼(BoanKeeper) (2012.4.4)
해당 프로그램의 설치 파일(MD5 : ed1183f9f6c3ead4281328236be692a8)에 대하여 AhnLab V3 보안 제품에서는 Trojan/Win32.Fakeav (VirusTotal : 16/42) 진단명으로 진단되고 있습니다.
(3) PC 최적화 프로그램 : 스피드클리어(SpeedClear) (2012.4.4)
해당 프로그램의 설치 파일(MD5 : ed9c7e6f97ef1e2acabd4996042e64e0)에 대하여 Hauri ViRobot 보안 제품에서는 Adware.SpeedClear.197656.A (VirusTotal : 11/42) 진단명으로 진단되고 있습니다.
(4) 검색 도우미 : WideOn + WindowSystem (2012.4.6)
해당 프로그램의 설치 파일(MD5 : 8047cd7e227a33f99a343cd48870425d)에 대하여 avast! 보안 제품에서는 Win32:Adware-gen [Adw] (VirusTotal : 18/40) 진단명으로 진단되고 있습니다.
(5) <Right Security Blog> 제휴(스폰서) 프로그램 : 시스템뷰(SystemView) (2012.2.3)
해당 프로그램의 설치 파일(MD5 : cd9aa60dc56fcf06d6c3543edd5c8328)에 대하여 Hauri ViRobot 보안 제품에서는 Adware.SystemView.126504 (VirusTotal : 5/42) 진단명으로 진단되고 있습니다.
참고로 해당 프로그램은 차후 시스템 시작시 업데이트 창을 생성하여 추가적인 수익성 프로그램을 설치 유도할 가능성이 존재하므로 주의하시기 바랍니다.
(6) ShortcutMaker.exe : 11번가, G마켓, 옥션, 필수유틸 바로가기 아이콘 생성
C:\Documents and Settings\(사용자 계정)\Application Data\Microsoft\Internet Explorer\Quick Launch\11번가.lnk
C:\Documents and Settings\(사용자 계정)\Application Data\Microsoft\Internet Explorer\Quick Launch\G마켓.lnk
C:\Documents and Settings\(사용자 계정)\Application Data\Microsoft\Internet Explorer\Quick Launch\옥션.lnk
C:\Documents and Settings\(사용자 계정)\Favorites\연결\11번가.url
C:\Documents and Settings\(사용자 계정)\Favorites\연결\G마켓.url
C:\Documents and Settings\(사용자 계정)\Favorites\연결\옥션.url
C:\Documents and Settings\(사용자 계정)\Favorites\연결\필수유틸.url
C:\Documents and Settings\(사용자 계정)\바탕 화면\11번가.lnk
C:\Documents and Settings\(사용자 계정)\바탕 화면\G마켓.lnk
C:\Documents and Settings\(사용자 계정)\바탕 화면\옥션.lnk
C:\Documents and Settings\(사용자 계정)\바탕 화면\필수유틸.lnk
C:\WINDOWS\icon_AUCTION.ico
C:\WINDOWS\icon_ELEVEN.ico
C:\WINDOWS\icon_GMAKET.ico
C:\WINDOWS\icon_UTILKOREA.ico
해당 프로그램의 설치 파일(MD5 : 8553c2a7f60f09838f7ed235b8e724d8)을 통해 설치가 이루어지면 빠른 실행, 즐겨찾기, 바탕 화면에 G마켓, 옥션, 11번가 인터넷 쇼핑몰 바로가기와 함께 특정 공개형 자료실 바로가기 아이콘(필수유틸)을 생성합니다.
해당 바로가기 아이콘은 특정 광고 코드(click.clickstory.co.kr)를 포함하고 있으며, 사용자가 해당 바로가기 아이콘을 이용하여 특정 조건을 만족시킬 경우 프로그램 제작자(배포자)에게 금전적 수익이 발생합니다.
참고로 해당 (6)번 프로그램은 삭제 기능이 존재하지 않으므로 사용자가 등록된 바로가기 아이콘을 삭제하지 않는 경우 지속적인 수익을 창출하는 효과를 가지고 있습니다.
이렇게 사용자 몰래 다수의 수익성 프로그램을 설치한 후에는 "C:\WINDOWS\system32\launcher-removal.exe" 파일을 생성하여 최초 감염을 유발하는 "C:\WINDOWS\system32\launcher-two.exe" 파일과 서비스를 삭제 처리하여 감염 원인을 찾지 못하도록 합니다.
실제 수익성 프로그램을 설치 완료 후 launcher-two.exe 파일을 삭제 처리하는 동작 이후 시점에서 서비스 등록 항목을 살펴보면, 최초 감염시 등록되었던 "Launcher Agent Service" 서비스 항목이 삭제된 것을 확인할 수 있습니다.
이를 통해 사용자는 자신도 모르게 설치된 다수의 수익성 프로그램이 어떤 파일을 통해 설치가 이루어졌는지 더욱 확인이 어렵게 되며, 유포자는 반복적으로 설치되지 않도록 1회만 설치 완료한 후 자신의 흔적을 제거해 버립니다.
이를 통해 최종적으로 설치된 프로그램들은 사용자가 삭제하기 위해서는 제어판의 "antidiabetic", "boankeeper", "configdata", "realsecurity", "recfguserdata", "speedclear", "SystemView", "utillauncher", "WideOn Uninstall", "WindowSystem" 10개의 삭제 항목을 이용하여 삭제할 수 있습니다.(※ antidiabetic 프로그램은 RealSecurity, configdata 프로그램은 BoanKeeper, recfguserdata 프로그램은 SpeedClear 프로그램 설치로 인해 추가로 설치된 인증(UserChange) 프로그램입니다.)
또한 (6)번에서 살펴본 바로가기 아이콘 생성 프로그램은 사용자가 수동으로 관련 파일들은 삭제해야 합니다.
마지막으로 이번에 사용된 업데이트 서버를 살펴보면 국내 다수의 보안 관련 프로그램의 배포에 이용되고 있는 것으로 추정되며, 사용자들이 자신도 모르게 설치되는 악성코드 제거 프로그램, 개인정보 보안 솔루션, PC 최적화 프로그램들이 이런 방식으로 설치될 수 있다는 것을 엿볼 수 있습니다.
그러므로 국내에서 제작된 광고 프로그램(예, 검색 도우미 등) 중에서는 설치 과정 또는 설치 후 업데이트 과정에서 설치되는 또 다른 파일을 통해 추가적인 악의적인 동작이 발생할 수 있으므로 해당 악성 파일만 삭제할 것이 아니라 그런 류의 광고 프로그램도 모두 삭제하시는 것이 안전한 PC 사용법이라고 판단됩니다.