본문 바로가기

벌새::Analysis

국내 악성코드 : Windows nbupwesys x86

2012년 7월 24일을 기점으로 업데이트 기능을 통해 추가적인 수익성 프로그램을 배포했던 것으로 추정되는 글자수 세기 프로그램으로 위장한 "Windows nbupwesys x86" 프로그램에 대해 살펴보도록 하겠습니다.

 

해당 프로그램의 설치 파일(MD5 : 613a4967d4add0c3f0a294ff3e9573f2)에 대하여 nProtect 보안 제품에서는 Trojan.Generic.7640741 (VirusTotal : 23/43) 진단명으로 진단되고 있습니다.

 

  국내 악성코드 : Windows nupjinsys x86 (2012.9.7)

 

  국내 악성코드 : Windows newupserv sys x86 (2012.9.11)

 

  국내 악성코드 : Windows newupteserv sys x86 (2012.9.14)

 

  국내 악성코드 : Windows newupelev sys x86 (2012.9.19)

 

  국내 악성코드 : Windows upsevty sys x86 (2012.9.29)

 

  국내 악성코드 : Windows ntwyfor sys x86 (2012.9.29)

 

  글자수 세기 프로그램을 이용한 온라인 게임핵 유포 주의 (2012.10.9)

 

  국내 악성코드 : Windows njaeighty sys x86 (2012.10.13)

 

  국내 악성코드 : Windows nbuponsys x86 (2012.10.14)

 

해당 프로그램은 유사한 기능을 가진 다양한 이름의 프로그램이 존재하였으므로 참고하시기 바랍니다. 

해당 설치 화면은 실제 배포 과정에서는 사용자에게 표시되지 않습니다.

설치 파일을 이용하여 수동 설치를 진행할 경우에는 이용약관 창을 통해 "문자열 세기 프로그램"이 설치된다고 안내를 합니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Program Files\nbupwe
C:\Program Files\nbupwe\cns.dat
C:\Program Files\nbupwe\cntnbupwec.exe
C:\Program Files\nbupwe\nbupwe.exe :: 글자수 세기 프로그램 실행 파일
C:\Program Files\nbupwe\nbupwemds.exe
C:\Program Files\nbupwe\nbupwesvc.exe :: 서비스(nbupwe SERVICE) 등록 파일
C:\Program Files\nbupwe\uninst.exe :: 프로그램 삭제 파일

 

[생성 파일 진단 정보]

 

C:\Program Files\nbupwe\nbupwemds.exe
 - MD5 : 7beb6495e74d6afdc4993d5f8240100d
 - BitDefender : Gen:Variant.Graftor.40591 (VirusTotal : 7/43)

 

C:\Program Files\nbupwe\nbupwesvc.exe
 - MD5 : 53406c6e4a2045a47d4065bea206270c
 - AhnLab V3 : Adware/Win32.KorAd (VirusTotal : 11/43)

 

프로그램은 "C:\Program Files\nbupwe" 폴더에 파일을 생성하며, 프로그램 설치(삭제) 과정에서 "C:\Program Files\nbupwe\cntnbupwec.exe" 파일을 통해 다음과 같은 연결을 시도합니다.

GET /log/?modeAct=install&iMAC=(사용자 Mac Address)&iPID=wema HTTP/1.1
Host: w120724.countset.com

해당 연결은 프로그램 설치 PC의 Mac Address 값을 기반으로 설치 및 삭제 카운터(Counter)를 체크하는 연결입니다. 

설치된 프로그램은 "nbupwe SVC(nbupwe SERVICE)" 서비스 항목을 등록하여 시스템 시작시 "C:\Program Files\nbupwe\nbupwesvc.exe" 파일을 자동으로 실행하도록 구성되어 있습니다. 

자동 실행된 nbupwesvc.exe 파일은 "C:\Program Files\nbupwe\nbupwemds.exe" 파일을 로딩하여 특정 서버에서 업데이트 체크를 통해 등록된 수익성 프로그램(악성코드 제거 프로그램, 글자수 세기 프로그램, 개인정보 보안 솔루션 추정)을 사용자 몰래 다운로드 및 실행하도록 제작되어 있습니다.(※ 현재 해당 서버는 완전히 서비스가 종료된 것으로 보입니다.) 

생성된 파일을 살펴보면 사용자가 "C:\Program Files\nbupwe\nbupwe.exe" 파일을 수동으로 실행한 경우에만 "글자수 세기 프로그램"이 동작하는 방식이므로, 해당 프로그램의 배포 목적은 업데이트 기능을 통한 수익성 프로그램 설치라고 볼 수 있습니다. 

프로그램 삭제는 제어판의 "windows nbupwesys x86 (remove only) ." 삭제 항목을 이용하여 삭제할 수 있습니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\nbupwe.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
windows nbupwesys x86 (remove only)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NBUPWE_SVC
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\nbupwe SVC

 

위와 비슷한 형태의 다양한 이름으로 사용자 몰래 수익성 프로그램을 설치하는 행위가 최근까지 지속되고 있으므로 "windows (Random 이름) x86 (remove only) ." 이름으로 등록된 프로그램이 존재할 경우 반드시 삭제하시기 바랍니다.