국내 인터넷 사용자를 대상으로 다양한 응용 프로그램을 설치하는 과정에서 사용자 몰래 추가되는 서비스 값을 통해 시스템 시작시 업데이트 기능을 통해 수익성 프로그램을 배포하는 방식에 대해 소개한 적이 있었습니다.
▷ 용(龍)TV를 이용한 악성코드 유포 주의 (2012.6.28)
최근 위와 유사한 방식의 서비스 등록을 통해 다운로드된 signup3.exe (MD5 : e26ee80b6a2613aed8df0bfae31a43fa) 파일을 이용하여 몇 단계를 거쳐 signup 검색 도우미 프로그램을 사용자 몰래 설치하는 동작을 확인하였습니다.
참고로 해당 파일에 대하여 Hauri ViRobot 보안 제품에서는 Trojan.Win32.A.Agent.463803 (VirusTotal : 17/41) 진단명으로 진단되고 있습니다.
C:\Documents and Settings\(사용자 계정)\Application Data\temp\signup2.exe
- MD5 : MD5 : 0dee7bcb7e25fb936b1eda823194c12e
- Kaspersky : Trojan.Win32.Agent.srmc (VirusTotal : 9/42)
[signup3.exe : 생성 레지스트리 등록 정보]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
- signup3 = "C:\Documents and Settings\(사용자 계정)\Application Data\temp\signup2.exe"
다운로드된 signup3.exe 파일은 임시 폴더에 signup2.exe 파일을 생성하며, 1회성 시작 프로그램(RunOnce)에 등록하여 시스템 시작시 자동 실행되도록 구성되어 있습니다.
이를 통해 시스템 재부팅 과정에서 "C:\Documents and Settings\(사용자 계정)\Application Data\temp\signup1.exe" 파일을 생성하여 "C:\Documents and Settings\(사용자 계정)\Application Data\temp\signup.exe" 파일을 사용자 몰래 설치하는 동작으로 연결되며 자신은 자가 삭제 처리 됩니다.
참고로 signup1.exe 파일(MD5 : 073dd45e122c10de782dc8fdd827ae13)에 대하여 Avira AntiVir 보안 제품에서는 TR/Agent.srmc.3 (VirusTotal : 9/42) 진단명으로 진단되고 있습니다.
[signup 프로그램 : 생성 폴더 / 파일 등록 정보]
C:\Documents and Settings\(사용자 계정)\Application Data\temp\signup.exe
C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\signup :: 숨김(H) 속성 폴더
C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\signup\ie_signup.exe :: 시작 프로그램 등록 파일 / 메모리 상주 프로세스
C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\signup\signup.exe
C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\signup\sudelete.exe :: 프로그램 삭제 파일
생성된 "C:\Documents and Settings\(사용자 계정)\Application Data\temp\signup.exe" 파일은 특정 서버로부터 ie_signup.exe 파일을 다운로드하며, 다운로드된 ie_signup.exe 파일은 1분이 경과하면 버전 체크를 통해 추가적인 업데이트를 진행합니다.
GET /****/signup.dat HTTP/1.1
Content-Type: text/html
Host: down.sign**.kr
Accept: text/html, */*
User-Agent: IE9
이렇게 생성된 프로그램은 사용자가 확인하기 어려운 숨김(H) 속성값을 가진 폴더 내의 "C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\signup" 폴더에 파일을 생성하며, ie_signup.exe 파일을 시작 프로그램으로 등록하여 업데이트 체크 및 메모리에 상주하도록 제작되어 있습니다.
▷ 검색 도우미 : Keymatch (2012.6.5)
참고로 signup 검색 도우미 프로그램 파일에서 사용된 디지털 서명(JAMIcommunication)은 기존의 Keymatch 검색 도우미 프로그램에서 확인할 수 있습니다.
해당 프로그램은 Internet Explorer 웹 브라우저의 주소 표시줄에 검색어를 입력할 경우 네이버(Naver) 검색 결과로 연결되는 동작이 있습니다.
▷ 검색 도우미 : FindLock (2012.4.2)
이 과정에서 기존에 살펴본 FindLock 검색 도우미 프로그램과 관련된 광고 서버를 경유하며, 프로그램 배포자 ID, 사용자 Mac Address, 검색 키워드 값 등을 체크하도록 구성되어 있습니다.
이렇게 연결된 네이버(Naver) 검색 결과의 바로가기 연결을 클릭할 경우 네이버(Naver)에서 제공하는 연결창은 탭(Tab) 방식으로 생성하며, signup 검색 도우미 프로그램은 새 창 방식으로 동일한 사이트를 오픈하게 됩니다.
이 과정에서 사용자 몰래 특정 광고 코드(click.clickstory.co.kr)를 추가하여 조건을 만족시킬 경우 프로그램 제작자(배포자)에게 금전적 수익이 발생할 것으로 보입니다.
그 외에도 포털 사이트 검색을 시도할 경우 그림과 같이 signup 검색 도우미 프로그램을 통해 자동으로 광고창이 생성되는 동작을 확인할 수 있습니다.
해당 광고 동작은 메모리에 상주하는 ie_signup.exe 프로세스를 통해 이루어지므로, 광고 동작 중지 및 프로그램 삭제시에는 Windows 작업 관리자를 실행하여 해당 프로세스를 찾아 수동으로 종료하시기 바랍니다.
프로그램 삭제는 제어판의 "signup" 삭제 항목을 이용하여 삭제할 수 있으며, 프로그램 삭제 후에는 추가적으로 "C:\Documents and Settings\(사용자 계정)\Application Data\temp\signup.exe" 파일을 찾아 수동으로 삭제하시기 바랍니다.
HKEY_CURRENT_USER\Software\iesignup
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- signup = C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\signup\ie_signup.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\signup
해당 프로그램은 사용자 몰래 설치를 유도하는 악성 파일을 통해 최종적으로 설치가 이루어지고 있으며, 인터넷 이용시 원치 않는 광고창 생성으로 불편을 유발할 수 있으므로 주의하시기 바랍니다.