본문 바로가기

벌새::Analysis

국내 악성코드 : signup

728x90
반응형

국내 인터넷 사용자를 대상으로 다양한 응용 프로그램을 설치하는 과정에서 사용자 몰래 추가되는 서비스 값을 통해 시스템 시작시 업데이트 기능을 통해 수익성 프로그램을 배포하는 방식에 대해 소개한 적이 있었습니다.

 

  용(龍)TV를 이용한 악성코드 유포 주의 (2012.6.28)

 

최근 위와 유사한 방식의 서비스 등록을 통해 다운로드된 signup3.exe (MD5 : e26ee80b6a2613aed8df0bfae31a43fa) 파일을 이용하여 몇 단계를 거쳐 signup 검색 도우미 프로그램을 사용자 몰래 설치하는 동작을 확인하였습니다.

 

참고로 해당 파일에 대하여 Hauri ViRobot 보안 제품에서는 Trojan.Win32.A.Agent.463803 (VirusTotal : 17/41) 진단명으로 진단되고 있습니다.

 

[signup3.exe : 생성 파일 등록 정보]

 

C:\Documents and Settings\(사용자 계정)\Application Data\temp\signup2.exe

 - MD5 : MD5 : 0dee7bcb7e25fb936b1eda823194c12e

 - Kaspersky : Trojan.Win32.Agent.srmc (VirusTotal : 9/42)

 

[signup3.exe : 생성 레지스트리 등록 정보]

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
 - signup3 = "C:\Documents and Settings\(사용자 계정)\Application Data\temp\signup2.exe"

 

다운로드된 signup3.exe 파일은 임시 폴더에 signup2.exe 파일을 생성하며, 1회성 시작 프로그램(RunOnce)에 등록하여 시스템 시작시 자동 실행되도록 구성되어 있습니다.

 

이를 통해 시스템 재부팅 과정에서 "C:\Documents and Settings\(사용자 계정)\Application Data\temp\signup1.exe" 파일을 생성하여 "C:\Documents and Settings\(사용자 계정)\Application Data\temp\signup.exe" 파일을 사용자 몰래 설치하는 동작으로 연결되며 자신은 자가 삭제 처리 됩니다.

 

참고로 signup1.exe 파일(MD5 : 073dd45e122c10de782dc8fdd827ae13)에 대하여 Avira AntiVir 보안 제품에서는 TR/Agent.srmc.3 (VirusTotal : 9/42) 진단명으로 진단되고 있습니다.

 

[signup 프로그램 : 생성 폴더 / 파일 등록 정보]

 

C:\Documents and Settings\(사용자 계정)\Application Data\temp\signup.exe
C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\signup :: 숨김(H) 속성 폴더
C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\signup\ie_signup.exe :: 시작 프로그램 등록 파일 / 메모리 상주 프로세스
C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\signup\signup.exe
C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\signup\sudelete.exe :: 프로그램 삭제 파일

 

생성된 "C:\Documents and Settings\(사용자 계정)\Application Data\temp\signup.exe" 파일은 특정 서버로부터 ie_signup.exe 파일을 다운로드하며, 다운로드된 ie_signup.exe 파일은 1분이 경과하면 버전 체크를 통해 추가적인 업데이트를 진행합니다.

 

GET /****/signup.dat HTTP/1.1
Content-Type: text/html
Host: down.sign**.kr
Accept: text/html, */*
User-Agent: IE9

 

이렇게 생성된 프로그램은 사용자가 확인하기 어려운 숨김(H) 속성값을 가진 폴더 내의 "C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\signup" 폴더에 파일을 생성하며, ie_signup.exe 파일을 시작 프로그램으로 등록하여 업데이트 체크 및 메모리에 상주하도록 제작되어 있습니다.

 

  검색 도우미 : Keymatch (2012.6.5)

 

참고로 signup 검색 도우미 프로그램 파일에서 사용된 디지털 서명(JAMIcommunication)은 기존의 Keymatch 검색 도우미 프로그램에서 확인할 수 있습니다. 

해당 프로그램은 Internet Explorer 웹 브라우저의 주소 표시줄에 검색어를 입력할 경우 네이버(Naver) 검색 결과로 연결되는 동작이 있습니다. 

  검색 도우미 : FindLock (2012.4.2)

 

이 과정에서 기존에 살펴본 FindLock 검색 도우미 프로그램과 관련된 광고 서버를 경유하며, 프로그램 배포자 ID, 사용자 Mac Address, 검색 키워드 값 등을 체크하도록 구성되어 있습니다. 

이렇게 연결된 네이버(Naver) 검색 결과의 바로가기 연결을 클릭할 경우 네이버(Naver)에서 제공하는 연결창은 탭(Tab) 방식으로 생성하며, signup 검색 도우미 프로그램은 새 창 방식으로 동일한 사이트를 오픈하게 됩니다.

 

이 과정에서 사용자 몰래 특정 광고 코드(click.clickstory.co.kr)를 추가하여 조건을 만족시킬 경우 프로그램 제작자(배포자)에게 금전적 수익이 발생할 것으로 보입니다. 

그 외에도 포털 사이트 검색을 시도할 경우 그림과 같이 signup 검색 도우미 프로그램을 통해 자동으로 광고창이 생성되는 동작을 확인할 수 있습니다. 

해당 광고 동작은 메모리에 상주하는 ie_signup.exe 프로세스를 통해 이루어지므로, 광고 동작 중지 및 프로그램 삭제시에는 Windows 작업 관리자를 실행하여 해당 프로세스를 찾아 수동으로 종료하시기 바랍니다. 

프로그램 삭제는 제어판의 "signup" 삭제 항목을 이용하여 삭제할 수 있으며, 프로그램 삭제 후에는 추가적으로 "C:\Documents and Settings\(사용자 계정)\Application Data\temp\signup.exe" 파일을 찾아 수동으로 삭제하시기 바랍니다.

 

[signup 프로그램 : 생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\iesignup
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - signup = C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\signup\ie_signup.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\signup

 

해당 프로그램은 사용자 몰래 설치를 유도하는 악성 파일을 통해 최종적으로 설치가 이루어지고 있으며, 인터넷 이용시 원치 않는 광고창 생성으로 불편을 유발할 수 있으므로 주의하시기 바랍니다.

728x90
반응형