본문 바로가기

벌새::Analysis

국내 악성코드 : Windows newupteserv sys x86

국내에서 제작된 "Windows newupserv sys x86" 프로그램을 통해 사용자 몰래 설치가 이루어지는 "Windows newupteserv sys x86" 프로그램에 대해 살펴보도록 하겠습니다.

 

해당 프로그램의 설치 파일(MD5 : 2ce14500e020b4c6927b52bc71ba1948)에 대하여 AhnLab V3 보안 제품에서는 Downloader/Win32.Agent (VirusTotal : 22/40) 진단명으로 진단되고 있습니다. 

해당 설치 화면은 실제 배포 과정에서는 사용자에게 제시되지 않습니다.

 

해당 프로그램의 설치 파일을 이용하여 수동 설치를 진행하면 그림과 같은 이용약관을 통해 "문자열 세기 프로그램"을 설치한다고 안내하고 있습니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Program Files\upteserv
C:\Program Files\upteserv\cns.dat
C:\Program Files\upteserv\uninst.exe :: 프로그램 삭제 파일
C:\Program Files\upteserv\upteserv.exe :: 글자수 세기 프로그램 실행 파일
C:\Program Files\upteserv\upteservmds.exe :: 시작 프로그램 등록 파일

 

[생성 파일 진단 정보]

 

C:\Program Files\upteserv\upteservmds.exe
 - MD5 : 8a680b313cd15c081556b253cee50940
 - avast! : Win32:Dropper-LRL [Drp] (VirusTotal : 13/41)

 

해당 프로그램은 "C:\Program Files\upteserv" 폴더에 파일을 생성하며, Windows 시작시 upteservmds.exe 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.

 

자동 실행된 upteservmds.exe 파일은 2개의 업데이트 서버에 연결하여 추가된 파일이 존재할 경우 사용자 동의없이 다운로드 및 실행하도록 구성되어 있습니다. 

 

"Windows newupteserv sys x86" 프로그램의 파일을 살펴보면 사용자가 "C:\Program Files\upteserv\upteserv.exe" 파일을 찾아 수동으로 실행한 경우에만 "글자수 세기 프로그램"이 동작합니다.

 

이는 해당 프로그램의 배포 목적이 글자수 세기 프로그램 기능 제공이 아닌 사용자 몰래 수익성 프로그램을 설치할 목적임을 알 수 있습니다. 

프로그램 삭제는 제어판의 "windows newupteserv sys x86 (remove only) ." 삭제 항목을 이용하여 삭제할 수 있습니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\upteserv
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\upteserv.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - upteservmds = C:\Program Files\upteserv\upteservmds.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
windows newupteserv sys x86 (remove only)

이제 "Windows newupteserv sys x86" 프로그램을 통해 사용자 몰래 설치되는 3종의 수익성 프로그램에 대해 살펴보도록 하겠습니다.

GET /check/upcnt.xml HTTP/1.1
Accept: */*
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0; .NET CLR 1.1.4322; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; .NET4.0C)
Host:
www.rootboan.co.kr
Connection: Keep-Alive

참고로 테스트 시점에서는 2개의 업데이트 서버 중 한 곳에서는 정상적인 연결이 이루어지지 않는 상태입니다.

 

1. windows newupelev sys x86 (remove only) . 

  • h**p://update.greenkeep.kr/******/jach/setup-newupelev_B.exe (MD5 : 6bba6325a16b01905195bc982d062709) - Hauri ViRobot : Trojan.Win32.A.Downloader.120064.A (VirusTotal : 21/42)

해당 프로그램은 "C:\Program Files\newupelev" 폴더에 파일을 생성하며, "Windows newupteserv sys x86" 프로그램과 마찬가지로 글자수 세기 프로그램을 이용한 수익성 프로그램 배포 기능을 합니다.

 

2. 개인정보 보안 솔루션 : 디스크보안(DiskBoan) (2012.9.11)

  • h**p://down.diskboan.com/diskboan_****.exe (MD5 : 85dd3ad7d83eb73325d2bed2d5e02b1c) - BitDefender : Trojan.Fakealert.CZJ (VirusTotal : 14/42)

해당 프로그램은 PC 사용 흔적 검사를 통해 유료 결제를 유도하는 프로그램입니다.

 

3. 악성코드 제거 프로그램 : 클리어백신(ClearVaccine) (2012.6.12)

  • h**p://update.greenkeep.kr/******/jach/ClearVaccine_gold.exe (MD5 : 57dc6979c13f2ee1175ea812d72b3254) - Hauri ViRobot : Trojan.Win32.S.Onescan.109120 (VirusTotal : 11/41)

해당 클리어백신(ClearVaccine 또는 Clear-Vaccine) 프로그램은 악성코드 검사를 통해 유료 결제를 유도하는 프로그램입니다. 

이들 프로그램의 삭제를 위해서는 제어판의 "ClearVaccine", "diskboan", "windows newupelev sys x86 (remove only) ." 삭제 항목을 통해 삭제할 수 있습니다.

 

다양한 수익성 프로그램을 사용자 동의없이 설치할 목적으로 배포되는 "Windows newupteserv sys x86" 프로그램과 같은 시리즈물은 주기적으로 프로그램을 변형하여 유포되고 있으므로 설치되지 않도록 각별히 주의하시기 바랍니다.