최근 제휴(스폰서) 프로그램을 통해 설치가 이루어지고 있는 "Smart Bar" 프로그램을 통해 사용자 몰래 추가적인 수익성 프로그램 WTL75 프로그램을 설치하는 행위가 확인되고 있습니다.
▷ 국내 악성코드 : wfindsearchc 1.00 (2011.7.21)
▷ AMD 파일로 위장한 국내 악성코드 유포 주의 (2012.3.21)
▷ NVIDIA 파일로 위장한 국내 악성코드 유포 주의 (2012.3.29)
▷ Microsoft Windows 데이타 Manager 파일로 위장한 악성코드 유포 주의 (2012.5.4)
▷ Safe Search 광고 프로그램으로 위장한 CB Optimization 프로그램 주의 (2012.8.20)
해당 프로그램은 2011년 7월경 블로그에 최초로 소개한 적이 있으며, 지속적인 변형된 프로그램을 통해 수익을 추구하는 것으로 보입니다.
이번에 살펴볼 프로그램은 Smart Bar 검색 도우미 프로그램으로 소개되어 설치를 유도하고 있으며, 해당 설치 파일(MD5 : 61fda798a424abd5264829caadcbd5e9)에 대하여 AhnLab V3 보안 제품에서는 Trojan/Win32.Wjview (VirusTotal : 2/43) 진단명으로 진단되고 있습니다.
설치 파일(tnuset.exe) 속성값에서는 "INET Optimization" 파일로 등록되어 있는 것이 특징입니다.
C:\Documents and Settings\(사용자 계정)\My Documents\BinarySoft :: 숨김(H) 속성
C:\Documents and Settings\(사용자 계정)\My Documents\BinarySoft\tnb.dll
C:\Documents and Settings\(사용자 계정)\My Documents\BinarySoft\tnu.exe :: 시작 프로그램 등록 파일 / 메모리 상주 프로세스(10분)
C:\Documents and Settings\(사용자 계정)\My Documents\BinarySoft\UnInstall.exe :: 프로그램 삭제 파일
C:\Documents and Settings\(사용자 계정)\My Documents\BinarySoft\tnu.exe
- MD5 : 361304724339e8e35db255475e07470d
- AhnLab V3 : Trojan/Win32.Wjview (VirusTotal : 2/43)
최초 프로그램이 설치되면 사용자가 확인하기 어려운 숨김(H) 속성값을 가지는 "C:\Documents and Settings\(사용자 계정)\My Documents\BinarySoft" 폴더에 파일을 생성하며, tnu.exe 파일을 시작 프로그램으로 등록하여 Windows 시작시 자동 실행되도록 구성되어 있습니다.
시작 프로그램으로 등록된 tnu.exe 파일 속성값에서는 "Windows Safe Search" 파일로 등록되어 있으며, 회사명에는 "TN Corp Ltd"로 표시되어 있습니다.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
- Hidden = 2 :: 기본값(숨김 파일 및 폴더 표시 안 함)
해당 파일은 실행시마다 "숨김 파일 및 폴더" 값을 표시하지 않도록 기본값(표시 안 함)으로 변경하여, 자신이 생성한 숨김(H) 속성값을 가진 "C:\Documents and Settings\(사용자 계정)\My Documents\BinarySoft" 폴더가 보이지 않도록 하고 있습니다.
또한 자동 실행된 tnu.exe 파일은 메모리에 상주한 상태로 10분을 유지하다가 다음과 같은 추가적인 다운로드를 진행합니다.
- h**p://gdeet88.pnsweb.net/ls_install.asp?mac=(사용자 Mac Address)&code=A1115
- h**p://gdeet88.pnsweb.net/xp_install.asp?mac=(사용자 Mac Address)&code=A1115
tnu.exe 파일은 중국(China)에 웹 서버를 둔 "gdeet88.pnsweb.net(183.62.139.26)"에서 업데이트 구성값 체크를 통해 wtset.zip(wtset.exe) 압축 파일을 다운로드하여 다음과 같은 프로그램을 설치합니다.
C:\Documents and Settings\(사용자 계정)\My Documents\BinarySoft\Temp
C:\Documents and Settings\(사용자 계정)\My Documents\BinarySoft\tna.dll
C:\Documents and Settings\(사용자 계정)\My Documents\BinarySoft\wtset.exe :: WTL75 프로그램 설치 파일
C:\Documents and Settings\(사용자 계정)\My Documents\WTL75 :: 숨김(H) 속성
C:\Documents and Settings\(사용자 계정)\My Documents\WTL75\Temp
C:\Documents and Settings\(사용자 계정)\My Documents\WTL75\wta.dll
C:\Documents and Settings\(사용자 계정)\My Documents\WTL75\wtb.dll
C:\Documents and Settings\(사용자 계정)\My Documents\WTL75\wtl75.exe :: 메모리 상주 프로세스
C:\Documents and Settings\(사용자 계정)\My Documents\WTL75\wtu.exe :: 시작 프로그램 등록 파일
C:\Documents and Settings\(사용자 계정)\My Documents\BinarySoft\wtset.exe
- MD5 : 8b568dbb37a5518217163d6e99d174db
- avast! : Win32:Downloader-NZY [Trj] (VirusTotal : 3/43)
C:\Documents and Settings\(사용자 계정)\My Documents\WTL75\wtl75.exe
- MD5 : 72d79508fa04705874b7d7139f520ce8
- AhnLab V3 : Trojan/Win32.Wjview (VirusTotal : 4/43)
C:\Documents and Settings\(사용자 계정)\My Documents\WTL75\wtu.exe
- MD5 : c535ece0262d1c975635d5875847ee5d
- AhnLab V3 : ASD.Prevention (VirusTotal : 1/43)
다운로드된 wtset.zip 파일은 "C:\Documents and Settings\(사용자 계정)\My Documents\BinarySoft\wtset.exe" 파일로 압축 해제하여, 추가적으로 숨김(H) 속성값을 가지는 "C:\Documents and Settings\(사용자 계정)\My Documents\WTL75" 폴더에 파일을 생성합니다.
사용자 몰래 생성된 WTL75 프로그램은 Windows 시작시 wtu.exe 파일을 시작 프로그램으로 등록하여 자동 실행되며, 실행된 파일은 1분이 경과할 경우 추가 업데이트를 통해 wta.dll, wtl75.exe 파일을 생성하는 방식으로 프로그램 설치가 완료됩니다.
참고로 시작 프로그램으로 등록된 wtu.exe 파일 속성값을 확인해보면 "Windows Safe Internet"으로 등록되어 있으며, 회사는 "Work Cross Corp Ltd..."로 표시되어 있습니다.
해당 파일 역시 Smart Bar 프로그램의 시작 프로그램 파일(C:\Documents and Settings\(사용자 계정)\My Documents\BinarySoft\tnu.exe)과 마찬가지로 시스템 시작시마다 "숨김 파일 및 폴더" 값을 기본값(표시 안 함)으로 변경하여 숨김(H) 속성값을 가진 "C:\Documents and Settings\(사용자 계정)\My Documents\BinarySoft", "C:\Documents and Settings\(사용자 계정)\My Documents\WTL75" 폴더가 보이지 않도록 보호하고 있습니다.
자동 실행된 wtu.exe 파일은 1분이 경과하면 최종적으로 "C:\Documents and Settings\(사용자 계정)\My Documents\WTL75\wtl75.exe" 파일을 실행한 후 종료되며, 실행된 wtl75.exe 파일은 사용자가 인터넷을 이용하는 과정에서 중국(China)에 위치한 특정 서버와 연결을 하는 동작을 확인할 수 있습니다.
또한 list_search_init.asp, list_search_resettime.asp, list_search_cur_run.asp?mac=(사용자 Mac Address)&code=120925 값 체크를 통해 프로그램 실행 및 검색 구성값 등을 체크하는 것으로 보입니다.
실제 다음(Daum), 네이버(Naver) 포털 사이트 이용 중 사용자 검색 키워드를 참조하여 인터넷 쇼핑몰 접속시 광고 코드 추가 또는 광고 생성 등의 수익 활동이 이루어질 것으로 추정됩니다.
결론적으로 현재 제휴(스폰서) 프로그램으로 배포가 이루어지고 있는 "Smart Bar" 프로그램(C:\Documents and Settings\(사용자 계정)\My Documents\BinarySoft)은 사용자 몰래 "C:\Documents and Settings\(사용자 계정)\My Documents\WTL75" 프로그램을 설치하며, 이를 통해 인터넷을 이용하는 과정에서 수익을 낼 것으로 보입니다.
프로그램 삭제시에는 Windows 작업 관리자를 실행하여 tnu.exe, wtl75.exe 프로세스가 존재할 경우 수동으로 종료한 후, 제어판의 "Smart Bar" 삭제 항목을 이용하여 "C:\Documents and Settings\(사용자 계정)\My Documents\BinarySoft" 프로그램을 삭제할 수 있습니다.
그 후 폴더 옵션에서 "숨김 파일 및 폴더 표시" 항목에 체크를 하고, 다음의 폴더(파일), 레지스트리 값을 찾아 수동으로 삭제하시기 바랍니다.
- C:\Documents and Settings\(사용자 계정)\My Documents\BinarySoft
- C:\Documents and Settings\(사용자 계정)\My Documents\BinarySoft\UnIstall.exe
- C:\Documents and Settings\(사용자 계정)\My Documents\WTL75
- C:\Documents and Settings\(사용자 계정)\My Documents\WTL75\Temp
- C:\Documents and Settings\(사용자 계정)\My Documents\WTL75\wta.dll
- C:\Documents and Settings\(사용자 계정)\My Documents\WTL75\wtb.dll
- C:\Documents and Settings\(사용자 계정)\My Documents\WTL75\wtl75.exe
- C:\Documents and Settings\(사용자 계정)\My Documents\WTL75\wtu.exe
HKEY_CURRENT_USER\Software\INUA
HKEY_CURRENT_USER\Software\INUB
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\SafeInet
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- TNU32 = "C:\Documents and Settings\(사용자 계정)\My Documents\BinarySoft\tnu.exe" -a
- wtl75 = "C:\Documents and Settings\(사용자 계정)\My Documents\WTL75\wtu.exe" -a
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\SafeInet
사용자 동의를 얻어 설치가 이루어지는 제휴(스폰서) 프로그램 중에서는 위와 같이 사용자 몰래 추가적인 프로그램 설치 등을 통해 지속적으로 수익을 내는 행위가 목격되고 있으므로, 신뢰할 수 없는 프로그램은 함부로 설치하지 않도록 주의하시기 바랍니다.