본문 바로가기

벌새::Analysis

국내 악성코드 : Windows newupserv sys x86

국내에서 제작된 "Windows nupjinsys x86" 프로그램이 설치된 환경에서 사용자 몰래 추가적으로 설치가 이루어지는 "Windows newupserv sys x86" 프로그램에 대해 살펴보도록 하겠습니다.

 

해당 프로그램의 설치 파일(MD5 : dc8a981eba62c92ee46ca9938062df14)에 대하여 Hauri ViRobot 보안 제품에서는 Trojan.Win32.A.Downloader.125295 (VirusTotal : 23/40) 진단명으로 진단되고 있습니다. 

해당 설치 화면은 실제 배포 과정에서는 사용자에게 제시되지 않습니다.

해당 프로그램의 설치 파일을 이용하여 수동 설치를 진행하면 이용약관을 통해 "문자열 세기 프로그램"을 설치한다고 안내하고 있습니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Program Files\newupse
C:\Program Files\newupse\cns.dat
C:\Program Files\newupse\newupse.exe :: 글자수 세기 프로그램 실행 파일
C:\Program Files\newupse\newupsemds.exe
C:\Program Files\newupse\newupsesvc.exe :: 서비스(newupse services.) 등록 파일
C:\Program Files\newupse\uninst.exe :: 프로그램 삭제 파일

 

[생성 파일 진단 정보]

 

C:\Program Files\newupse\newupsemds.exe
 - MD5 : 6e46b0be3e55747227c9aa3d4a852231
 - Kaspersky : Trojan-Downloader.Win32.Agent.wrwz (VirusTotal : 15/41)

해당 프로그램은 "C:\Program Files\newupse" 폴더에 파일을 생성하며, "newupse(newupse services.)" 서비스 항목을 등록하여 시스템 시작시 "C:\Program Files\newupse\newupsesvc.exe" 파일을 자동으로 실행하도록 구성되어 있습니다.

이를 통해 "C:\Program Files\newupse\newupsemds.exe" 파일을 실행하여 특정 서버에 등록된 다수의 수익성 프로그램이 존재할 경우 사용자 동의없이 다운로드 및 실행하도록 제작되어 있습니다. 

"Windows newupserv sys x86" 프로그램을 살펴보면 사용자가 "C:\Program Files\newupse\newupse.exe" 파일을 찾아 직접 실행할 경우에만 "글자수 세기 프로그램"이 실행되는 것을 확인할 수 있습니다.

 

이는 프로그램의 목적이 업데이트 기능을 통한 추가적인 수익성 프로그램 배포가 목적이라고 볼 수 있습니다. 

프로그램 삭제는 제어판의 "windows newupserv sys x86 (remove only) ." 삭제 항목을 이용하여 삭제할 수 있습니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\newupse
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\newupse.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
windows newupserv sys x86 (remove only)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NEWUPSE
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\newupse

 

"Windows newupserv sys x86" 프로그램의 업데이트 기능을 통해 사용자 동의없이 추가적으로 다운로드 및 실행되는 2종의 프로그램에 대해 살펴보도록 하겠습니다.

 

1. windows newupteserv sys x86 (remove only) . 

  • h**p://update.greenkeep.kr/******/jach/setup-upteserv.exe (MD5 : 2ce14500e020b4c6927b52bc71ba1948) - Hauri ViRobot : Trojan.Win32.A.Downloader.120056 (VirusTotal : 20/40)

해당 프로그램은 "C:\Program Files\upteserv" 폴더에 파일을 생성하며, 글자수 세기 프로그램처럼 구성하여 업데이트 기능을 통해 추가적인 3종의 수익성 프로그램을 설치하는 것으로 확인되고 있습니다.

 

2. 개인정보 보안 솔루션 : 리얼보안(RealBoan) (2012.6.16)

  • h**p://down.realboan.com/realboan_****.exe (MD5 : b4466c91e8034b4639160aea80572f96) - AVG : Generic5.GCC (VirusTotal : 6/41)

해당 프로그램은 PC 사용 흔적 검사를 통해 유료 결제를 유도하는 프로그램입니다. 

이렇게 설치된 프로그램의 삭제는 제어판의 "realboan", "windows newupteserv sys x86 (remove only) ." 삭제 항목을 이용하여 삭제할 수 있습니다.

 

설치시에는 사용자에게 유용한 기능처럼 소개하지만 실제적으로는 수익 창출을 목적으로 다수의 프로그램을 사용자 동의없이 몰래 설치하는 경우가 많으므로 신뢰할 수 없는 프로그램은 함부로 설치되지 않도록 주의하시기 바랍니다.