본문 바로가기

벌새::Analysis

특정 타켓을 목표로하는 MatchPop 검색 도우미?

최근 특정 자료실에서 제공하는 파일 다운로더 프로그램에 추가된 제휴(스폰서) 프로그램을 통해 다양한 수익성 프로그램이 설치되는 과정에서 수상한 설치 파일이 확인되어 간단하게 살펴보도록 하겠습니다. 

해당 프로그램은 MatchPop 검색 도우미 프로그램으로 등록되어 있으며, 2012년 8월 20일경에 서버에 등록된 것으로 추정됩니다.

  • h**p://kse**.info/**/down/jinsa1.exe (MD5 : 40c5d3ada515e0a592cc6f4969fc1854) - AhnLab V3 : Adware/Win32.KorAD (VirusTotal : 4/42)
  • h**p://kse**.info/**/down/jinsa2.exe (MD5 : 62fbd3f27fb93e2ce9a76b192c1e36fb) - Kaspersky : Trojan-Downloader.Win32.Adload.dfnn (VirusTotal : 1/42)
  • h**p://kse**.info/**/down/jinsa3.exe (MD5 : 4f296d136b67763f7603a696588b545d) - AhnLab V3 : ASD.Prevention (VirusTotal : 5/42)

현재 확인된 변종은 3종으로 미국(USA)에 등록된 특정 서버로부터 파일을 다운로드하는 것으로 확인되고 있지만, 해당 도메인 등록자는 자신을 철저히 숨기고 있는 것으로 보입니다. 

이들 파일의 속성값을 확인해보면 제품(파일) 버전만 표시되어 있을 뿐 추가적인 특징은 발견되지 않고 있으며, UPX 패커를 통해 설치 파일이 제작되어 있습니다. 

파일을 실행하면 미국(USA)에 위치한 "drpo.info(211.44.250.216)" 서버와 통신을 하는 동작을 확인할 수 있으며 이 과정에서 다음과 같은 정보를 체크합니다. 

우선 설치 PC의 IP 정보를 체크하여 프로그램 배포자가 설치를 원하는 IP 대역인지를 체크합니다. 

또한 추가적으로 특정값(암호화 추정)을 수집하여 해당 서버로 전송하는 동작을 확인할 수 있습니다. 

그 이후에는 "C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\c1lr1i$n1sx.bat" 파일을 생성하여, 다운로드된 설치 파일을 삭제한 후 자신도 삭제 처리되는 동작으로 마무리 됩니다.

 

  개인 사용자 PC는 광고 프로그램의 돈줄인가? (2012.3.10)

 

기존의 사례를 확인해보면 일부 광고 프로그램 중에서는 법적 문제를 우려하여 PC방 관리 프로그램이 설치된 환경에서는 설치시 체크를 통해 프로그램이 설치되지 않도록 하는 동작은 확인된 적이 있었습니다.

 

하지만 이번 사례와 같이 광고 프로그램으로 위장(?)하여 IP 체크를 통해 원하는 PC에만 설치를 유도하는 것으로 보이는 방식은 단순한 광고 프로그램이 아닐 것으로 추정됩니다.

005EE434  5C0053004F0046005400+       unicode '\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\',0000h
005EE4AC  44006900730070006C00+       unicode 'DisplayName',0000h
005EE4D0  55006E0069006E007300+       unicode 'UninstallString',0000h
005EE50C  45006400690074005000+       unicode 'EditPlus',0000h
005EE52C  570069006E0050006300+       unicode 'WinPcap',0000h
005EE548  46006900640064006C00+       unicode 'Fiddler',0000h
005EE564  41005600410053005400+       unicode 'AVAST',0000h
005EE57C  4D006900630072006F00+       unicode 'Microsoft Security Essentials',0000h

해당 설치 파일 내부를 확인해보면 파일 실행을 통한 사용자 PC에 설치된 응용 프로그램 정보(HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall)와 WinSock(HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2) 정보를 수집하는 것으로 추정됩니다.

 

특히 일부 분석 프로그램과 보안 프로그램의 설치 여부를 체크하는 것으로 보이며, 만약 유포자가 설치를 원하는 IP 대역인 경우 "/install /silent" 방식을 통해 tiptwinst.exe 파일을 추가로 다운로드하여 설치가 진행될 것으로 추정되고 있습니다.

 

이번 사례와 같이 다수의 수익성 프로그램이 설치되는 과정에서 악의적 기능을 포함한 파일이 존재할 수 있으므로 매우 주의하시기 바라며, 이런 유포는 결국 백신 프로그램에서 법(法)적 문제로 인한 진단을 제대로 할 수 없기에 지속적으로 발생하는 것이라고 생각됩니다.