본문 바로가기

벌새::Analysis

국내 악성코드 : alexa drv & Miclient service allupdate x86

글자수 세기 프로그램을 이용하여 마이크로소프트(Microsoft) 관련 프로그램처럼 등록하여 업데이트를 통해 추가적인 수익성 프로그램을 체크하는 "alexa drv & Miclient service allupdate x86" 프로그램에 대해 살펴보도록 하겠습니다.

 

특히 해당 프로그램은 최초 설치시 "Miclient service allupdate x86" 프로그램을 설치하는 과정에서 사용자 몰래 동일한 기능을 가진 "alexa drv" 프로그램을 설치하는 동작이 있는 것을 확인하였습니다.

 

  제휴(스폰서) 프로그램 : MicroClient x86 (2012.5.26)

 

  제휴(스폰서) 프로그램 : Microclient update service x86 (2012.5.27)

 

또한 최근 마이크로소프트(Microsoft) 프로그램처럼 등록하는 유사한 기능을 가진 다양한 변종이 존재하므로 참고하시기 바랍니다. 

해당 설치창은 실제 배포 과정에서는 설치 단계에서 제시되지 않을 것으로 보입니다.

현재 배포되는 "Miclient service allupdate x86" 프로그램의 설치 파일(MD5 : bb08307eab07708bbf00f01dbcdc24ee)을 이용하여 수동 설치를 진행할 경우, 그림과 같은 "문자열 세기 프로그램"으로 소개하고 있는 것을 확인할 수 있습니다. 

이를 통해 프로그램이 설치되는 과정에서 추가적인 파일(MD5 : 4161756c40031f4a8586a1655e4c5835) 다운로드를 통해 "C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\vediun_setup.exe" 폴더에 파일을 생성한 후 "alexa drv" 프로그램이 설치됩니다.

 

참고로 해당 파일에 대하여 ESET NOD32 보안 제품에서는 Win32/Adware.Kraddare (VirusTotal : 2/42) 진단명으로 진단되고 있습니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\vediun_setup.exe :: alexa drv 프로그램 설치 파일
C:\Program Files\alexadrv :: alexa drv 프로그램 설치 폴더
C:\Program Files\alexadrv\alexadrv.exe
C:\Program Files\alexadrv\alword.exe :: 글자수 세기 프로그램 실행 파일
C:\Program Files\alexadrv\alxsvc.exe :: alexas services 서비스 등록 파일
C:\Program Files\alexadrv\uninstall.exe :: alexa drv 프로그램 삭제 파일
C:\Program Files\mnstrall :: Miclient service allupdate x86 프로그램 설치 폴더
C:\Program Files\mnstrall\cns.dat
C:\Program Files\mnstrall\cntmnstr.exe
C:\Program Files\mnstrall\mnstrall.exe :: 글자수 세기 프로그램 실행 파일
C:\Program Files\mnstrall\mnstrmds.exe
C:\Program Files\mnstrall\mnstrsvc.exe :: mnstrall SERVICE 서비스 등록 파일
C:\Program Files\mnstrall\uninst.exe :: Miclient service allupdate x86 프로그램 삭제 파일

 

최종적으로 설치된 프로그램의 설치 경로를 확인해보면 사용자 몰래 설치된 "alexa drv" 프로그램은 "C:\Program Files\alexadrv" 폴더에 파일을 생성하며, "Miclient service allupdate x86" 프로그램은 "C:\Program Files\mnstrall" 폴더에 파일을 생성합니다.

 

1. alexa drv 프로그램 

"alexa drv" 프로그램은 서비스에 "alexa service(alexas services.)" 항목을 등록하여 시스템 시작시 "C:\Program Files\alexadrv\alxsvc.exe" 파일을 자동으로 실행하도록 제작되어 있습니다. 

자동 실행된 alxsvc.exe 파일은 "C:\Program Files\alexadrv\alexadrv.exe" 파일을 로딩하여 특정 서버에서 업데이트 체크를 하며, 차후 유포자가 등록된 수익성 프로그램이 존재할 경우 설치가 이루어질 것으로 추정됩니다. 

생성된 파일을 확인해보면 사용자가 "C:\Program Files\alexadrv\alword.exe" 파일을 직접 찾아서 실행한 경우에만 글자수 세기 프로그램이 동작하는 것을 확인할 수 있으며, 이를 통해 해당 프로그램의 주 목적은 업데이트를 통한 추가적인 프로그램 설치임을 확인할 수 있습니다.

 

2. Miclient service allupdate x86 프로그램 

"Miclient service allupdate x86" 프로그램은 서비스에 "mnstrall SVC(mnstrall SERVICE)" 항목을 등록하여 시스템 시작시 "C:\Program Files\mnstrall\mnstrsvc.exe" 파일을 자동으로 실행하도록 제작되어 있습니다. 

자동 실행된 mnstrsvc.exe 파일은 "C:\Program Files\mnstrall\mnstrmds.exe" 파일을 로딩하여 사용자 Mac Address 값 체크 및 추가적인 업데이트 체크를 통해 차후 수익성 프로그램이 등록된 경우 설치를 유도할 것으로 추정됩니다. 

생성된 파일을 살펴보면 사용자가 "C:\Program Files\mnstrall\mnstrall.exe" 파일을 찾아 실행한 경우에만 글자수 세기 프로그램이 실행되는 형태로, 프로그램의 목적은 시스템 시작시 업데이트를 통한 추가적인 수익성 프로그램 배포를 위한 도구임을 확인할 수 있습니다. 

프로그램 삭제는 제어판의 "alexa drv .", "Miclient service allupdate x86 (remove only)  ." 2개의 삭제 항목을 이용하여 삭제할 수 있으며, 프로그램 삭제 후에는 추가적으로 "C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\vediun_setup.exe" 파일을 찾아 수동으로 삭제하시기 바랍니다.

 

또한 "Miclient service allupdate x86" 프로그램 설치 및 삭제시에는 "C:\Program Files\mnstrall\cntmnstr.exe" 파일을 이용하여 사용자 Mac Address 값 체크를 통해 카운터(Counter) 기능을 수행합니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\vlex
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\alexadrv.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\mnstrall.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
alexa drv
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
Miclient service allupdate x86 (remove only)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ALEXA_
SERVICE
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MNSTRALL_
SVC
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\alexa service
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mnstrall SVC

 

최근 지속적으로 위와 유사한 프로그램이 주기적으로 이름을 변경하여 배포가 이루어지고 있으며, 최초 설치 후에는 업데이트를 통한 추가적인 다운로드가 존재하지 않지만 시간이 경과하면 시스템 시작 과정에서 업데이트 창 생성을 통해 사용자 실수를 유도하여 다양한 수익성 프로그램이 설치될 수 있으므로 주의하시기 바랍니다.