본문 바로가기

벌새::Analysis

국내 악성코드 : Windows upsevty sys x86

글자수 세기 프로그램으로 위장한 "Windows newupelev sys x86" 프로그램을 통해 사용자 몰래 설치가 이루어지고 있는 "Windows upsevty sys x86" 프로그램에 대해 살펴보도록 하겠습니다.

 

해당 프로그램의 설치 파일(MD5 : 9041c9f960bc0434107643f8cfc31150)에 대하여 AhnLab V3 보안 제품에서는 Win-Adware/KorAd.120219 (VirusTotal : 24/42) 진단명으로 진단되고 있습니다. 

해당 설치 화면은 실제 배포 과정에서는 사용자에게 표시되지 않습니다.

해당 프로그램은 설치 파일을 이용하여 수동 설치를 진행할 경우 그림과 같은 이용약관을 통해 "문자열 세기 프로그램"을 설치한다고 안내하고 있습니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Program Files\upsevty
C:\Program Files\upsevty\cns.dat
C:\Program Files\upsevty\uninst.exe :: 프로그램 삭제 파일
C:\Program Files\upsevty\upsevty.exe :: 글자수 세기 프로그램 실행 파일
C:\Program Files\upsevty\upsevtymds.exe :: 시작 프로그램 등록 파일

 

[생성 파일 진단 정보]

 

C:\Program Files\upsevty\upsevtymds.exe
 - MD5 : ed0dfb59661c174d41fbcefbcc2c4601
 - AhnLab V3 : Adware/Win32.KorAd (VirusTotal : 21/42)

 

설치된 프로그램은 "C:\Program Files\upsevty" 폴더에 파일을 생성하며, Windows 시작시 "C:\Program Files\upsevty\upsevtymds.exe" 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.

 

자동 실행된 upsevtymds.exe 파일은 2개의 서버에 연결하여 추가적인 업데이트를 통해 등록된 파일을 다운로드 및 실행하도록 구성되어 있습니다. 

우선 "Windows upsevty sys x86" 프로그램을 통해 생성된 파일을 살펴보면 사용자가 "C:\Program Files\upsevty\upsevty.exe" 파일을 직접 찾아 실행할 경우에만 "글자수 세기 프로그램"이 실행되도록 제작되어 있습니다.

 

그러므로 해당 프로그램의 실제 배포 목적은 업데이트 기능을 통한 추가적인 수익성 프로그램을 유포할 목적이라고 볼 수 있습니다. 

프로그램 삭제는 제어판의 "windows upsevty sys x86 (remove only) ." 삭제 항목을 이용하여 삭제할 수 있습니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\upsevty
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\upsevty.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - upsevtymds = C:\Program Files\upsevty\upsevtymds.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
windows upsevty sys x86 (remove only)

 

이제 시작 프로그램으로 등록된 upsevtymds.exe 파일을 통해 추가적으로 이루어지는 동작에 대해 살펴보도록 하겠습니다. 

 

우선 특정 서버(rootboan.co.kr)에 접속하여 체크하는 동작을 확인할 수 있으며, 추가적으로 등록된 파일이 존재할 경우 다운로드 및 실행이 이루어질 것으로 보입니다. 

그 외에 또 다른 서버에 접속하여 등록된 1개의 파일을 다운로드하여 사용자 몰래 설치가 이루어지는 동작을 확인할 수 있습니다.

 

■ "windows ntwyfor sys x86 (remove only) ." 프로그램 

  • h**p://update.greenkeep.kr/******/jach/setup-ntwyfor.exe (MD5 : 7c76584aaeef6cb3fbd2a2343d883474) - Kaspersky : Trojan-Downloader.Win32.Agent.wvdc (VirusTotal : 18/42)

해당 프로그램은 "C:\Program Files\ntwyfor" 폴더에 파일을 생성하며, 글자수 세기 프로그램으로 위장하여 업데이트를 통한 추가적인 프로그램을 사용자 몰래 설치하는 기능을 가지고 있습니다. 

프로그램의 삭제는 제어판의 "windows ntwyfor sys x86 (remove only) ." 삭제 항목을 이용하여 삭제할 수 있습니다.

 

그 외에 "Windows upsevty sys x86" 프로그램을 통한 다운로드 행위는 현재 테스트 시점에서는 1개의 프로그램(Windows ntwyfor sys x86)이 확인되고 있지만, 최근까지 개인정보 보안 솔루션, 악성코드 제거 프로그램 2종이 추가적으로 다운로드 되었던 것으로 파악되고 있습니다.

 

인정보 보안 솔루션 : 보안컵(BoanCup) (2012.9.25)

  • h**p://down.boancup.com/boancup_****.exe (MD5 : 3e10178a2882b3b267a2231508ecb78c) - Symantec : Trojan.ADH (VirusTotal : 11/43)

악성코드 제거 프로그램 : 비타백신(VitaVaccine) (2012.6.28)

  • h**p://update.greenkeep.kr/******/jach/VitaVaccine_gold.exe (MD5 : c1d58ee65fa59b02fd6939df981a8c48) - Hauri ViRobot : Adware.VitaVaccine.109032 (VirusTotal : 21/43)

그러므로 원치않는 프로그램이 사용자 동의없이 몰래 설치되는 것을 예방하기 위해서는 이들 프로그램을 찾아 삭제하시기 바랍니다.