본문 바로가기

벌새::Analysis

국내 악성코드 : Windows newupelev sys x86

반응형

국내에서 제작된 "Windows newupteserv sys x86" 프로그램의 업데이트 기능을 통해 사용자 몰래 설치가 이루어지는 "Windows newupelev sys x86" 프로그램에 대해 살펴보도록 하겠습니다.

 

해당 프로그램의 설치 파일(MD5 : 6bba6325a16b01905195bc982d062709)에 대하여 AhnLab V3 보안 제품에서는 Win-Adware/Newpelev.120064 (VirusTotal : 25/41) 진단명으로 진단되고 있습니다. 

해당 설치 화면은 실제 배포 과정에서는 사용자에게 제시되지 않습니다.

해당 프로그램의 설치 파일을 이용하여 수동 설치를 진행하면 그림과 같은 이용약관을 통해 "문자열 세기 프로그램"을 설치한다고 안내하고 있습니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Program Files\newupelev
C:\Program Files\newupelev\cns.dat
C:\Program Files\newupelev\newupelev.exe :: 글자수 세기 프로그램 실행 파일
C:\Program Files\newupelev\newupelevmds.exe :: 시작 프로그램 등록 파일
C:\Program Files\newupelev\uninst.exe :: 프로그램 삭제 파일

 

[생성 파일 진단 정보]

 

C:\Program Files\newupelev\newupelevmds.exe
 - MD5 : 63cbc936ad22f5482ce1bb0ffca96d9a
 - AhnLab V3 : Downloader/Win32.Agent (VirusTotal : 20/43)

 

설치된 "Windows newupelev sys x86" 프로그램은 "C:\Program Files\newupelev" 폴더에 파일을 생성하며, Windows 시작시 newupelevmds.exe 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.

 

자동 실행된 newupelevmds.exe 파일은 2개의 특정 서버에 접속하여 업데이트 체크를 통해 등록된 파일이 존재할 경우, 사용자 동의없이 다운로드 및 실행이 되며 자세한 내용은 하단에서 살펴보도록 하겠습니다. 

생성된 파일을 살펴보면 사용자가 "C:\Program Files\newupelev\newupelev.exe" 파일을 찾아 직접 실행할 경우에만 "글자수 세기 프로그램"이 동작하며, 이는 "Windows newupelev sys x86" 프로그램의 목적이 시작 프로그램으로 등록된 newupelevmds.exe 파일 실행을 통한 추가적인 업데이트 기능에 있다고 볼 수 있습니다. 

프로그램 삭제는 제어판의 "windows newupelev sys x86 (remove only) ." 삭제 항목을 이용하여 삭제할 수 있습니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\newupelev
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\newupelev.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - newupelevmds = C:\Program Files\newupelev\newupelevmds.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
windows newupelev sys x86 (remove only)

 

이제 시스템 시작시 자동으로 실행되는 newupelevmds.exe 파일의 기능을 살펴보도록 하겠습니다. 

해당 파일은 특정 서버에 접속하여 업데이트 정보를 체크하고 있으며, 현재 테스트 시점에서는 연결되지 않는 것으로 보입니다.

또한 추가적으로 특정 서버에 접속하여 등록된 3종의 수익성 프로그램을 다운로드하여 사용자 동의없이 설치를 진행합니다.

 

1. "windows upsevty sys x86 (remove only) ." 프로그램 

  • h**p://update.greenkeep.kr/******/jach/setup-upsevty.exe (MD5 : 9041c9f960bc0434107643f8cfc31150) - BitDefender : Gen:Variant.Graftor.40591 (VirusTotal : 19/43)

해당 프로그램은 "C:\Program Files\upsevty" 폴더에 파일을 생성하며, 글자수 세기 프로그램을 이용한 업데이트 기능을 통해 추가적인 수익성 프로그램을 배포할 목적으로 제작되어 있습니다.

 

2. 개인정보 보안 솔루션 : 보안서비스(BoanService) (2012.9.18) 

  • h**p://down.boanservice.com/boanservice_****.exe (MD5 : 02543f1731d70f4e13237996fc79ba12) - BitDefender : Application.Generic.406854 (VirusTotal : 16/43)

해당 프로그램은 PC 사용 흔적 검사를 통한 유료 결제를 유도하는 프로그램입니다.

 

3. 악성코드 제거 프로그램 : 파일백신(FileVaccine) 

  • h**p://update.greenkeep.kr/******/jach/FileVaccine_gold.exe (MD5 : f2036df7f3408eb242f3d76bf8cb899a) - Hauri ViRobot : Adware.FileVaccine.109120 (VirusTotal : 18/43)

해당 프로그램은 악성코드 검사를 통해 유료 결제를 유도하는 프로그램입니다. 

이들 프로그램의 삭제를 위해서는 제어판의 "boanservice", "FileVaccine", "windows upsevty sys x86 (remove only) ." 삭제 항목을 이용하여 각각 삭제할 수 있습니다.

 

사용자 몰래 설치되는 다양한 수익성 프로그램은 정상적인 프로그램으로 위장하여 특정 시점에서 설치가 이루어지는 경우가 많으며, 사용자는 어떤 프로그램을 통해 설치가 이루어지는지 제대로 확인하기 어려우므로 주의하시기 바랍니다.

728x90
반응형
  • 이거참 눈팅하면서보고있었는대 대단하시군요 역관광(???)이 .. 악성코드의 역관광방법을 잘알아갑니다^^ 저는 티스토리는아니고 걍 네이버에 잡다한블로그 주인장입니다;..하핫.. 티스토리와는 다르개 프로그래밍따위는필요없다는.. 어쩃든.. 프로그래밍과 보안쪽에 조금 관심이있어서 글읽고있습니다^^

  • ㅠㅠ 2012.09.24 20:02 댓글주소 수정/삭제 댓글쓰기

    제 컴터에 제가 모르는 사이에 위의 upsevty가 깔려졌어요. V3가 악성코드라며 차단하길래 지우려고 하는데 안 지워지네요. 권한이 없다고 해서 권한 수정하려고 하면 엑세스가 거부되었습니다 창이 계속 뜨네요. 위의 삭제방법으로는 아예 인스톨러가 실행이 되질 않고요. 0바이트 0파일이라고는 하는데 심히 의심이 가고요. 어떻게 지우죠? 복사도 안되요 ㅠㅠ

    • 아마 실행 중이거나 백신으로 실시간으로 차단해서 발생하는 문제가 아닌가 싶습니다.

      이런 경우에는 안전모드로 접속하여 생성 폴더(파일), 레지스트리 정보를 참고하여 삭제를 하시는 것도 방법입니다.