글자수 세기 프로그램을 이용하여 설치를 유도한 후 마이크로소프트(Microsoft) 관련 업데이트로 위장하여 추가적인 수익성 프로그램 등을 설치하는 "Microupdate ninetip x86" 프로그램에 대해 살펴보도록 하겠습니다.
해당 프로그램의 설치 파일(MD5 : aa9c951e959d78e95c7fa33a6f812e9b)에 대하여 AhnLab V3 보안 제품에서는 Trojan/Win32.Alexa (VirusTotal : 19/41) 진단명으로 진단되고 있습니다.
▷ <Right Security Blog> 제휴(스폰서) 프로그램 : Microupdate ninetip x86 (2012.7.8)
참고로 예전부터 글자수 세기 프로그램을 이용한 다양한 이름의 프로그램이 배포되고 있으며, 확인된 정보를 바탕으로 추정해보면 동일한 이름의 프로그램의 경우에도 업데이트 기능이 유무에 따라 추가적인 다운로드 기능이 존재할 수도 있습니다.
이와 같은 배포 방식은 사용자에게 정상적인 프로그램으로 보이도록 할 목적과 프로그램 분석에 혼란을 주기 위함이 아닌가 생각됩니다.
▷ 제휴(스폰서) 프로그램 : MicroClient x86 (2012.5.26)
▷ 제휴(스폰서) 프로그램 : Microclient update service x86 (2012.5.27)
▷ 국내 악성코드 : alexa drv & Miclient service allupdate x86 (2012.6.27)
또한 마이크로소프트(Microsoft)사의 업데이트 프로그램처럼 이름을 유사하게 등록한 다양한 프로그램이 확인되고 있으므로 참고하시기 바랍니다.
해당 프로그램의 설치 파일을 이용하여 수동으로 설치할 때 제시되는 이용약관에서는 "문자열 세기 프로그램"으로 소개하고 있는 것을 확인할 수 있습니다.
C:\Documents and Settings\(사용자 계정)\Local Settings\Temporary Internet Files\Content.IE5\(Random)\barc[1].exe
C:\Program Files\ninetip
C:\Program Files\ninetip\cntkwbe.exe
C:\Program Files\ninetip\ninetip.exe
C:\Program Files\ninetip\ninetips.exe :: 글자수 세기 프로그램 실행 파일
C:\Program Files\ninetip\ninetipsvc.exe :: ninetip service 서비스 등록 파일
C:\Program Files\ninetip\uninst.exe :: 프로그램 삭제 파일
C:\Documents and Settings\(사용자 계정)\Local Settings\Temporary Internet Files\Content.IE5\(Random)\barc[1].exe
- MD5 : 0998f4c2550f47bb7c298aa27471af3a
- AhnLab V3 : Trojan/Win32.KorAd (VirusTotal : 3/41)
C:\Program Files\ninetip\cntkwbe.exe
- MD5 : 67f996c68f753a16d8cddb46410b0ddd
- AhnLab V3 : PUP/Win32.KorAd (VirusTotal : 17/41)
C:\Program Files\ninetip\ninetip.exe
- MD5 : c5618ffdf7e862ad7335501c64e14c26
- AhnLab V3 : Trojan/Win32.KorAd (VirusTotal : 8/41)
해당 프로그램은 "C:\Program Files\ninetip" 폴더에 파일을 생성하며, 프로그램 설치(삭제) 과정에서 "C:\Program Files\ninetip\cntkwbe.exe" 파일을 실행하여 카운터(Counter) 체크를 하도록 구성되어 있습니다.
GET /log/?modeAct=install&imac=(사용자 Mac Address)&icode=kwbe HTTP/1.1
Host: www.totallog.co.kr
설치된 프로그램은 "ninetip service(업데이트 서비스입니다.)" 서비스 항목을 등록하여 시스템 시작시 "C:\Program Files\ninetip\ninetipsvc.exe" 파일을 자동으로 실행하도록 제작되어 있습니다.
자동 실행된 ninetipsvc.exe 파일은 10초 경과 후 ninetip.exe 파일을 실행하여 특정 업데이트 서버에 등록된 수익성 프로그램이 존재할 경우 자동으로 인터넷 임시 폴더에 1차적으로 다운로드하는 동작을 확인할 수 있습니다.
생성된 파일을 잠시 살펴보면 사용자가 "C:\Program Files\ninetip\ninetips.exe" 파일을 찾아서 수동으로 실행을 할 경우에만 글자수 세기 프로그램이 동작하므로, Microupdate ninetip x86 프로그램의 배포 목적은 수익성 프로그램의 전파를 목적으로 한다고 판단할 수 있습니다.
이렇게 Microupdate ninetip x86 프로그램이 설치된 환경에서 시스템 재부팅을 진행하면 서비스 등록을 통해 실행된 업데이트 기능을 통해 업데이트 권장 프로그램이 있다는 "알림"창을 생성합니다.
하지만 등록된 프로그램(bbsk Version 1.0.0.1)의 이용약관은 정상적으로 표시되지 않으며, 사용자는 프로그램 이름으로는 어떤 기능을 하는 프로그램인지 확인할 수가 없습니다.
C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\winbcode.exe
C:\Documents and Settings\(사용자 계정)\바탕 화면\11번가 - 고객 감동 11번가.lnk
C:\Documents and Settings\(사용자 계정)\바탕 화면\SMS,대량 문자는 메세지미.lnk
C:\Documents and Settings\(사용자 계정)\바탕 화면\놀라움을 쇼핑하다 지마켓.lnk
C:\Documents and Settings\(사용자 계정)\바탕 화면\옥션 - 앞으로의 인터넷쇼핑.lnk
C:\WINDOWS\1.ico
C:\WINDOWS\2.ico
C:\WINDOWS\3.ico
C:\WINDOWS\msg.ico
C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\winbcode.exe
- MD5 : 0998f4c2550f47bb7c298aa27471af3a
- AhnLab V3 : Trojan/Win32.KorAd (VirusTotal : 3/41)
- h**p://**link.co.kr/barc.exe (MD5 : 0998f4c2550f47bb7c298aa27471af3a) - AhnLab V3 : Trojan/Win32.KorAd (VirusTotal : 3/41)
사용자가 확인 버튼을 클릭하면 앞서 업데이트 기능을 통해 다운로드되는 것과 동일한 패턴으로 인터넷 임시 폴더에 barc.exe 파일을 다운로드하여 임시 폴더에 winbcode.exe 파일로 복사하여 바탕 화면에 11번가, G마켓, 옥션 등의 바로가기 아이콘을 생성합니다.
해당 바로가기 아이콘은 특정 광고 코드(cl.ilikeclick.com)를 포함하고 있으며, 사용자가 수동으로 삭제 후에도 차후 반복적으로 설치될 가능성이 존재합니다.
프로그램 삭제를 위해서는 제어판의 "Microupdate ninetip x86(remove only) ." 삭제 항목을 이용하여 삭제할 수 있으며, 사용자가 업데이트를 통해 추가적으로 설치한 프로그램(bbsk Version 1.0.0.1)은 수동으로 삭제를 하셔야 합니다.
- C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\winbcode.exe
- C:\Documents and Settings\(사용자 계정)\바탕 화면\11번가 - 고객 감동 11번가.lnk
- C:\Documents and Settings\(사용자 계정)\바탕 화면\SMS,대량 문자는 메세지미.lnk
- C:\Documents and Settings\(사용자 계정)\바탕 화면\놀라움을 쇼핑하다 지마켓.lnk
- C:\Documents and Settings\(사용자 계정)\바탕 화면\옥션 - 앞으로의 인터넷쇼핑.lnk
- C:\WINDOWS\1.ico
- C:\WINDOWS\2.ico
- C:\WINDOWS\3.ico
- C:\WINDOWS\msg.ico
HKEY_CURRENT_USER\Software\ninetip
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\Microupdate ninetip x86(remove only)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\ninetip.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
Microupdate ninetip x86(remove only)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NINETIP_SERVICE
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ninetip service
▷ 한게임 포커(Poker)를 노리는 백도어 유포 주의 (2012.7.12)
지속적으로 이와 유사한 방식의 다양한 이름으로 프로그램을 설치하여 시스템 시작시 업데이트 창 생성을 통해 다양한 수익성 프로그램 및 온라인 게임을 노리는 백도어(Backdoor)를 설치하는 동작도 확인되고 있으므로 주의하시기 바랍니다.