본문 바로가기

벌새::Analysis

국내 악성코드 : signup

국내 인터넷 사용자를 대상으로 다양한 응용 프로그램을 설치하는 과정에서 사용자 몰래 추가되는 서비스 값을 통해 시스템 시작시 업데이트 기능을 통해 수익성 프로그램을 배포하는 방식에 대해 소개한 적이 있었습니다.

 

  용(龍)TV를 이용한 악성코드 유포 주의 (2012.6.28)

 

최근 위와 유사한 방식의 서비스 등록을 통해 다운로드된 signup3.exe (MD5 : e26ee80b6a2613aed8df0bfae31a43fa) 파일을 이용하여 몇 단계를 거쳐 signup 검색 도우미 프로그램을 사용자 몰래 설치하는 동작을 확인하였습니다.

 

참고로 해당 파일에 대하여 Hauri ViRobot 보안 제품에서는 Trojan.Win32.A.Agent.463803 (VirusTotal : 17/41) 진단명으로 진단되고 있습니다.

 

[signup3.exe : 생성 파일 등록 정보]

 

C:\Documents and Settings\(사용자 계정)\Application Data\temp\signup2.exe

 - MD5 : MD5 : 0dee7bcb7e25fb936b1eda823194c12e

 - Kaspersky : Trojan.Win32.Agent.srmc (VirusTotal : 9/42)

 

[signup3.exe : 생성 레지스트리 등록 정보]

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
 - signup3 = "C:\Documents and Settings\(사용자 계정)\Application Data\temp\signup2.exe"

 

다운로드된 signup3.exe 파일은 임시 폴더에 signup2.exe 파일을 생성하며, 1회성 시작 프로그램(RunOnce)에 등록하여 시스템 시작시 자동 실행되도록 구성되어 있습니다.

 

이를 통해 시스템 재부팅 과정에서 "C:\Documents and Settings\(사용자 계정)\Application Data\temp\signup1.exe" 파일을 생성하여 "C:\Documents and Settings\(사용자 계정)\Application Data\temp\signup.exe" 파일을 사용자 몰래 설치하는 동작으로 연결되며 자신은 자가 삭제 처리 됩니다.

 

참고로 signup1.exe 파일(MD5 : 073dd45e122c10de782dc8fdd827ae13)에 대하여 Avira AntiVir 보안 제품에서는 TR/Agent.srmc.3 (VirusTotal : 9/42) 진단명으로 진단되고 있습니다.

 

[signup 프로그램 : 생성 폴더 / 파일 등록 정보]

 

C:\Documents and Settings\(사용자 계정)\Application Data\temp\signup.exe
C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\signup :: 숨김(H) 속성 폴더
C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\signup\ie_signup.exe :: 시작 프로그램 등록 파일 / 메모리 상주 프로세스
C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\signup\signup.exe
C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\signup\sudelete.exe :: 프로그램 삭제 파일

 

생성된 "C:\Documents and Settings\(사용자 계정)\Application Data\temp\signup.exe" 파일은 특정 서버로부터 ie_signup.exe 파일을 다운로드하며, 다운로드된 ie_signup.exe 파일은 1분이 경과하면 버전 체크를 통해 추가적인 업데이트를 진행합니다.

 

GET /****/signup.dat HTTP/1.1
Content-Type: text/html
Host: down.sign**.kr
Accept: text/html, */*
User-Agent: IE9

 

이렇게 생성된 프로그램은 사용자가 확인하기 어려운 숨김(H) 속성값을 가진 폴더 내의 "C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\signup" 폴더에 파일을 생성하며, ie_signup.exe 파일을 시작 프로그램으로 등록하여 업데이트 체크 및 메모리에 상주하도록 제작되어 있습니다.

 

  검색 도우미 : Keymatch (2012.6.5)

 

참고로 signup 검색 도우미 프로그램 파일에서 사용된 디지털 서명(JAMIcommunication)은 기존의 Keymatch 검색 도우미 프로그램에서 확인할 수 있습니다. 

해당 프로그램은 Internet Explorer 웹 브라우저의 주소 표시줄에 검색어를 입력할 경우 네이버(Naver) 검색 결과로 연결되는 동작이 있습니다. 

  검색 도우미 : FindLock (2012.4.2)

 

이 과정에서 기존에 살펴본 FindLock 검색 도우미 프로그램과 관련된 광고 서버를 경유하며, 프로그램 배포자 ID, 사용자 Mac Address, 검색 키워드 값 등을 체크하도록 구성되어 있습니다. 

이렇게 연결된 네이버(Naver) 검색 결과의 바로가기 연결을 클릭할 경우 네이버(Naver)에서 제공하는 연결창은 탭(Tab) 방식으로 생성하며, signup 검색 도우미 프로그램은 새 창 방식으로 동일한 사이트를 오픈하게 됩니다.

 

이 과정에서 사용자 몰래 특정 광고 코드(click.clickstory.co.kr)를 추가하여 조건을 만족시킬 경우 프로그램 제작자(배포자)에게 금전적 수익이 발생할 것으로 보입니다. 

그 외에도 포털 사이트 검색을 시도할 경우 그림과 같이 signup 검색 도우미 프로그램을 통해 자동으로 광고창이 생성되는 동작을 확인할 수 있습니다. 

해당 광고 동작은 메모리에 상주하는 ie_signup.exe 프로세스를 통해 이루어지므로, 광고 동작 중지 및 프로그램 삭제시에는 Windows 작업 관리자를 실행하여 해당 프로세스를 찾아 수동으로 종료하시기 바랍니다. 

프로그램 삭제는 제어판의 "signup" 삭제 항목을 이용하여 삭제할 수 있으며, 프로그램 삭제 후에는 추가적으로 "C:\Documents and Settings\(사용자 계정)\Application Data\temp\signup.exe" 파일을 찾아 수동으로 삭제하시기 바랍니다.

 

[signup 프로그램 : 생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\iesignup
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - signup = C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\signup\ie_signup.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\signup

 

해당 프로그램은 사용자 몰래 설치를 유도하는 악성 파일을 통해 최종적으로 설치가 이루어지고 있으며, 인터넷 이용시 원치 않는 광고창 생성으로 불편을 유발할 수 있으므로 주의하시기 바랍니다.

  • 질문이요! 2012.09.05 14:09 댓글주소 수정/삭제 댓글쓰기

    안녕하세요

    어느날, 마우스 커서가 1초마다 (xp로따지면 모래시계) 깜빡거려서
    뭔가 이상하다 싶어서 인터넷을 검색했는데..

    이게아마 sign up 인것같습니다
    그런데 이게 제어판으로 지워도 다시 나타나고 프로세스는 계속 나타났다 사라졌다
    어찌할도리가없어 이곳에서 '악성코드' 라는걸 알았습니다.

    그런데 여기는 xp로 설명하신거 같은데 저는 윈도우7입니다..
    어떻게 해야할지 알려주세요

    • 윈도우 7 환경에서는 테스트를 하지 않아서 정확하게 모르지만 "C:\Users\(사용자 계정)\AppData\Roaming" 내부에서 해당 프로그램 폴더를 찾아 보시기 바랍니다.

    • 질문이요! 2012.09.05 14:24 댓글주소 수정/삭제

      으.. 거기도 존재하지않네요
      그런데 마우스커서가 1초마다 주기적으로 깜빡이는게
      signup 이라는 국내 악성코드가 확실한건가요?

      그리고 그게 sign up이 아니더라도
      저 악성코드는 무조건 삭제하고싶은데 어떻게해야할까요...

    • 질문이요! 2012.09.05 14:30 댓글주소 수정/삭제

      긴급!!

      "C:\Users\(사용자 계정)\AppData\Roaming" 여기가아니라
      Roaming 대신 'Local'에 들어가보았는데 'signup'이 있더라구요

      그 폴더파일에 들어가니까 ie_signup, signup 2개의 파일이 존재해요
      그리고 그 폴더자체를 삭제하려는데 다른프로그램에서 열려있다면서
      해당프로그램을 종료하고 삭제하라는데요..

      그게아마 제 생각에는 프로세스에서 실행되고있는모양인데
      문제는! 프로세스에서 지울수없는 상황입니다..
      프로세스에서도 '작업이 이 프로세스에 유효하지않습니다.'
      이렇게 떠요.. 정말 어렵네요

    • 증상은 PC마다 다를 수 있지 않나 생각됩니다.

      제가 테스트 당시에는 그런 증상은 기억나지 않습니다.

    • 오.. 다행입니다.^^

      프로세스 정보를 보니 글에서 소개한 부분에서 수정이 된 것으로 보이며, 프로세스 보호 기능이 있는 것으로 보입니다.

      이런 경우에는 http://hummingbird.tistory.com/4000 글에 나온 프로세스 종료법을 이용해 보시기 바랍니다.

      아마 프로세스 2개 중 하나를 선택하여 "프로세스 트리 끝내기" 기능을 이용하시면 종료가 되지 않을까 싶습니다.

      프로그램을 다시 찾아서 살펴봐야겠군요.

    • 질문이요! 2012.09.05 14:49 댓글주소 수정/삭제

      감사합니다

      지금은 바빠서 나중에 집에 와서 시도할게요
      친절한 답변 정말 감사합니다 ^^

    • 질문이요! 2012.09.05 17:48 댓글주소 수정/삭제

      작업 관리자에 - 프로세스에서
      설명해주신대로 프로세스 트리 끝내기로 해보았습니다.

      하지만..
      '이 프로세스 트리의 프로세스 하나 이상을 끝내지
      못했습니다. 작업을 성공적으로 완료하지 못했습니다.'
      이런 결과, 즉 실패했어요

      아까 말씀드렸다시피
      "C:\Users\(사용자 계정)\AppData\Local"에서
      signup이라는 폴더파일안에는 ie_signup, signup
      이 2개의 파일이 존재하는데

      작업관리자 - 프로세스에서도
      이 2개의 파일만이 나타났다, 사라졌다 합니다

      이상한 점 '2가지'가 있는데요

      첫번째는
      작업관리자 - 프로세스에서
      ie_signup은 30초에 한번씩 2개가 나타나고 (29초: 1개, 1초: 2개 꼴)
      signup은 규칙성을 모르겠습니다
      어떨때는 계~속 있고 어떨때는 나타났다 사라졌다 합니다..

      그리고 두번째는
      유독 이 2개만 CPU가 '0이아닌' 숫자를 나타냅니다
      ie_signup은 4 3 0 4 3 0 2 1 4 3 0 이런식으로..
      signup은 이것또한 규칙성을 잘 모르겠습니다..


      도움을 요청합니다!

    • 질문이요! 2012.09.05 18:09 댓글주소 수정/삭제

      아니 이럴수가!!!!

      체념한 상태로
      작업관리자 - 프로세스에 가봤는데
      이상하게 나타났다 사라졌다 하는 현상이 없어졌더라구요

      그래서 2개의 프로세르를 트리 끝내기를 하였는데
      2개 모두 종료되었습니다!!

      그리하여 아까 그 폴더에있는 signup 파일도 삭제를하였고
      제어판에서도 지웠습니다
      물론 그리하여 커서가 1초마다 깜빡이는 일은 사라졌어요

      정말 감사합니다
      님이 없었다면 그냥 체념한채로 컴퓨터가 바이러스에 정복됐을겁니다
      앞으로도 문제가 생길시 다시 찾아뵙겠습니다
      번창하세여~~

    • 해결되셨다니 다행입니다.

      만약 프로세스 종료가 어려운 것이 있다면 http://processhacker.sourceforge.net/ 프로그램을 이용해 보시기 바랍니다.^^

    • 질문이요! 2012.09.06 00:35 댓글주소 수정/삭제

      해결도움주셔서 감사해요 ㅎㅎ
      그런데.. 그 사이트는 왜 죄다영문?
      제가 범접할 수 있는 공간이 아닌듯 싶습니다..
      ㅠㅠ

    • http://sourceforge.net/projects/processhacker/files/processhacker2/processhacker-2.28-setup.exe

      여기 파일을 받아서 사용하시면 됩니다.

  • 해결 please 2012.09.06 00:17 댓글주소 수정/삭제 댓글쓰기

    윗분과 동일한 증상으로 거의 자포자기 상태입니다

    * 커서 깜박임
    * signup,ie_signup 프로세스 삭제안됨
    * processhcker 에서도 삭제안됨

    워짜면 좋을까욤....T.T

    • 질문이요! 2012.09.06 00:34 댓글주소 수정/삭제

      윗사람인데요..

      일단 제가 쓴 댓글과 벌새님이 남기신 댓글을 한번 참조해보세요..
      저같은 경우는 프로세스에서 갑자기 '나타났다 사라졌다 현상'이 사라져서
      '트리 끝내기'로 프로세스를 종료했어요 (트리끝내기는 오른쪽마우스 클릭)

      그런데 나타났다 사라졌다하는 현상이 지속되면 종료가 안돼요..
      언능 해결하셨으면 좋겠네요
      벌새님이 도움 주실거라 믿습니다 화이팅ㅋㅋ

  • 도와주세요 2012.09.06 16:42 댓글주소 수정/삭제 댓글쓰기

    저도 이 악성코드에 걸렸는데 도데체 찾질못하겠습니다 ㅜㅜ 프로세스 종료도 안되고
    ie_signup.exe *32 이 파일인데 프로세스에서자꾸 사라졋다 나타낫다를 반복하네요 ㅠㅠ 이거 어떻게 못고치나요? 컴퓨터 산지가 한달도안됫는데 너무 느려졌어요 ㅠㅠㅠ
    그래서 제어판들어가서 signup 프로그램 지웠는데 그래도 똑같이 마우스 가 깜빡ㄱ리네요 ㅠㅠ

    • 질문하신 내용을 봐서는 64비트 환경의 윈도우 7 운영 체제가 아닌가 싶습니다.

      위의 덧글에서 문의하신 분이 윈도우7 환경이므로 C:\Users\(사용자 계정)\AppData\Local\signup 폴더 내에 파일이 위치하는 것으로 보입니다.

      그러므로 Windows 작업 관리자에서 해당 2개의 프로세스를 트리 끝내기 방식으로 종료한 후 파일을 제거해 보시기 바랍니다.

  • 도와주세요 2012.09.07 01:00 댓글주소 수정/삭제 댓글쓰기

    네 벌새님 윈도우 7 이 맞구요 ㅠㅠ
    c드라이브가서 찾아봤는데
    C:\Users\(사용자 계정)\AppData\Local\signup
    이경로가 아예없습니다 ㅠㅠ 도데체 어떻게 해야되걸까요ㅜㅜ
    그래서 시작 검색에 파일명을 쳐봐도 검색에는 아무것도 안뜨네요..
    참고로 트리끝내기도 안먹힙니다ㅠㅠㅠㅠ
    돌겟습니다 ㅠㅠㅠㅠ

    • 제가 Windows 7 환경으로 테스트해보면 SignUp 프로그램은 해당 폴더에 위치합니다.

      만약 존재하지 않는다면 다른 프로그램이 아닌가 싶고, 해당 폴더는 숨김 속성이므로 반드시 폴더 옵션에서 숨김 폴더(파일) 보이기를 체크하시기 바랍니다.

  • 도와주세요 2012.09.07 11:55 댓글주소 수정/삭제 댓글쓰기

    하... 폴더는 벌새님이 말씀해주신데로 찾긴찾았는데..
    작업관리자 프로세스 종료가 안되어서 그런지 폴더삭제 자체가 불가능하군요..
    프로세스는 트리끝내기를 하여도 도저히 종료될 기미가 안보이고..
    포기해야하나봐요 ...ㅠㅠ 포멧으로 가야될꺼같습니다
    벌새님 답변감사드려요~!

  • 도와주세요 2012.09.07 18:19 댓글주소 수정/삭제 댓글쓰기

    아 지금 그 지긋지긋한!! signup 악성코드를 삭제했습니다!!!
    프로세스클린?? 이란 프로그램으로 어찌어찌 하다보니 갑자기 마우스 깜빡거리는게 멈췄고
    컴터가 정상으로 돌아왔습니다 윗분님처럼 프로세스에도 없어졋구
    폴더도 들어가서 삭제했습니다
    아 진짜 기쁘네여ㅠㅠㅠㅠ감격의눈물

  • 지원맘 2012.09.09 02:57 댓글주소 수정/삭제 댓글쓰기

    장장 4시간여에 걸쳐 드뎌 sign up 플그램 삭제가 됬어요 ㅠ.ㅠ
    신랑이 이상한거 깔고 다닌다고 한 소리 하는통에 날 잡아서 자력으로 해결하리라..
    라고 맘 먹고 덤볐는데..무지 질긴 프로그램이더군요.

    백신 프로그램 설치해서 돌려도 잡아내질 못하더라구요.
    레지스트리 지우길 몇 번을 반복했는지..삭제해도 금새 도로 나타나더라구요.
    결국 삭제는 됬으니 ㅎㅎㅎ 이제 컴 쓸때 스트레스 받지 않아도 되겠어요.
    광고창이 서너개씩 뜨는 통에 정말 스트레스 풀~ 이였거든요.

    진심으로 감사해요 ^^
    주말 즐겁게 보내시구요.
    항상 행복한 일이 가득하시길 빌어요!!!

  • 낮달 2012.09.09 21:49 댓글주소 수정/삭제 댓글쓰기

    드디어 성공,,, 눈물겹게,,,
    저는 윈도우 7 사용자 입니다. ie_signup 프로세스 종료가 안되서, 꼼수로 해봤습니다.
    원리는 2개의 파일이 초단위로 업데이트되는 것을 발견, 이것들의 읽기 쓰기 권한을 거부하여 자동업데이트를 막는 방법입니다.
    1. 위의 문제의 폴더(signup폴더)에 있는 2개의 파일을 찾아냅니다. (본문참조)
    2. 2개 파일을 선택한 상태에서 우측마우스 눌러, 속성을 선택합니다
    3. 속성창에서 위의 보안탭으로 이동합니다.
    4. system, 사용자계정(각기다름 컴퓨터이름으로 되있겠죠) 을 각기 선택하여 편집을 누릅니다
    5. 권한 설정에서 우측의 거부를 체크합니다. 읽기쓰기 뭐~ 모든 권한 거부죠...
    6. 적용, 확인 누르고 나면, 이제 2개의 파일이 삭제가 됩니다.
    7. 작업관리자의 프로세스에서 ie_signup 프로세스 종료가 이제 됩니다.
    8. 레지스트리 편집창에서 해당 파일 삭제가 되며 더이상 업데이트 생성되지 않습니다.
    여러분들 성공하시길 바랩니다~~

  • 드디어 ㅜㅜ 2012.09.15 13:57 댓글주소 수정/삭제 댓글쓰기

    진짜 너무 감사드려요 제가 엄청 스트레스 받았는데 위에 벌새님과 낮달님 특히 감사드립니다 드디어 삭제했어요 감격의순간..!!
    심지어 서비스 센터 원격지원받았는데도 못고쳤거든요.. 완전 감사드립니다

  • 없앴다 2012.09.15 14:44 댓글주소 수정/삭제 댓글쓰기

    프로세스 트리 끝내기를 그 파일 이름이 어디 가기전에 눌러야 되는거 같아요
    저도 이 악성코드 걸렸는데 방금 고쳤군요
    우클릭-T-Enter를 1초내에 눌러야되는거 같아요
    이거 보고 찾았습니다 ㄳ

  • 감사감사 2012.10.20 09:01 댓글주소 수정/삭제 댓글쓰기

    계속 광고창이 뜨고 해서 정말 짜증나고 화났었는데. 말끔하게 해결 되었습니다.
    정말 감사합니다... 요런건 만든놈들, 진짜 나쁜놈들....

  • sing up 찾기 2012.11.23 10:20 댓글주소 수정/삭제 댓글쓰기

    제어판에 sing up 이라는 게 있어서 검색하고 이글 보고 일단 제어판에서는 지웠는데요 ㅜㅜ window 7 인데 (사용자)/AppData/Roaming/temp 안에 singup.exe가 있길래 지웠는데 ie_singup 이거는 어디있는지 안보이네요 ㅜㅜ 제대로 못지운거 같은데... 도와주세요 ㅜㅜ

    • Windows 7 환경에서 확인하지 못해서 정확한 답변을 드리기 어렵습니다.

      단지 폴더명 비교로 보면 아마 "C:/Users/(사용자 계정)/AppData/Local/signup" 폴더가 아닐까 싶습니다.