본문 바로가기

벌새::Analysis

국내 악성코드 : Windows enwpdscon x86

글자수 세기 프로그램(Windows jachget sys x86)의 업데이트를 통해 사용자 몰래 설치되어 "업데이트 설치"창을 생성하는 "Windows enwpdscon x86" 프로그램에 대해 살펴보도록 하겠습니다.

 

해당 프로그램의 설치 파일(MD5 : 0405b7aa297d19979d84c0b98c0853c2)에 대하여 BitDefender 보안 제품에서는 Gen:Variant.Graftor.40591 (VirusTotal : 10/44) 진단명으로 진단되고 있습니다. 

해당 설치 화면은 실제 배포 과정에서는 사용자에게 표시되지 않습니다.

해당 프로그램의 설치 파일을 이용하여 수동 설치를 진행할 경우에는 이용약관을 통해 "E.N.W Update controller"를 설치한다고 안내하고 있습니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Program Files\enwpdscon
C:\Program Files\enwpdscon\cns.dat
C:\Program Files\enwpdscon\enwpdscon.exe :: 시작 프로그램 등록 파일
C:\Program Files\enwpdscon\uninst.exe :: 프로그램 삭제 파일

 

[생성 파일 진단 정보]

 

C:\Program Files\enwpdscon\enwpdscon.exe
 - MD5 : 43b377b73812281b76f6111513784b0a
 - BitDefender : Gen:Variant.Graftor.40591 (VirusTotal : 8/44)

 

해당 프로그램은 "C:\Program Files\enwpdscon" 폴더에 파일을 생성하며, Windows 시작시 enwpdscon.exe 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.

 

프로그램이 최초 "Windows jachget sys x86" 프로그램을 통해 몰래 설치된 상태에서는 업데이트 창이 생성되지 않으며, 시스템 재부팅 이후에 업데이트 창이 1회 생성되도록 구성되어 있습니다. 

참고로 1회 생성되는 원리는 업데이트 창 생성 후 수익성 프로그램 설치 또는 업데이트 창 종료시 사용자 PC의 Mac Address 값을 기반으로 중복 설치가 되지 않도록 체크하는 동작을 확인할 수 있습니다.

 

하지만 차후 새로운 수익성 프로그램이 등록되는 경우에는 시스템 부팅 과정에서 업데이트 창이 재생성될 수 있으리라 판단됩니다. 

시스템 재부팅 과정에서 자동 실행된 enwpdscon.exe 파일은 특정 업데이트 서버에 등록된 다수의 수익성 프로그램을 체크하는 동작이 이루어집니다. 

이를 통해 "업데이트 설치"창을 생성하여 업데이트 권장 프로그램으로 체크된 7종의 수익성 프로그램(윈도우 확장 프로그램 업데이트, 윈도우 브라우저 추가 업데이트, 윈도우 검색어플 업데이트, 윈도우 파일함 탐색기, 개인정보보안 보안케이, 시작페이지 고정 업데이트, 윈도우 위너스팝)의 설치를 유도합니다.

 

사용자는 해당 업데이트 창에서 제시되는 프로그램 목록의 스크롤바를 내려서 체크된 프로그램 목록을 해제하지 않은 상태에 "확인" 버튼을 클릭할 경우 자동으로 설치가 이루어집니다. 

만약 체크 해제를 하지 않은 상태에서 "X 업데이트 설치""닫기(X)" 버튼을 클릭하면 다음과 같은 안내창을 추가로 생성하여, 업데이트 후에 종료하도록 유도를 하고 있습니다.

 

그러므로 반드시 "아니오" 버튼을 클릭하시기 바라며, 이런 류의 업데이트 창 생성을 통해 수익성 프로그램의 수법에서는 버튼의 좌우 위치를 변경하여 사용자에게 혼동을 유발하는 경우가 많으므로 침착하게 문구를 읽고 버튼 선택을 하시기 바랍니다. 

우선 업데이트 창을 생성하는 프로그램을 삭제하기 위해서는 제어판에 등록된 "windows enwpdscon x86 (remove only)" 삭제 항목을 이용하여 삭제할 수 있습니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\enwpdscon.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - enwpdscon = C:\Program Files\enwpdscon\enwpdscon.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
windows enwpdscon x86 (remove only)

 

만약 사용자의 부주의(실수)로 인하여 등록된 수익성 프로그램이 모두 설치되는 상황을 가정하여 어떤 프로그램이 설치되는지 살펴보도록 하겠습니다. 

수익성 프로그램의 설치가 진행되면 외부 서버에서 7종의 설치 파일을 다운로드하는 동작을 확인할 수 있습니다.

 

(1) 검색 도우미 : UtilZone (2012.3.20)

  • h**p://update.parisworld.kr/******/jach/UtilZone__UZ140.exe (MD5 : 32c57489c3b65c1ad6f9e820d2e494eb) - nProtect : Adware/W32.KrAdword.75520 (VirusTotal : 12/44)

해당 프로그램은 검색 키워드 값을 기반으로 웹 브라우저 상단에 광고바를 생성하여 검색 도우미 프로그램입니다.

 

(2) 검색 도우미 : WinPro (2012.3.21)

  • h**p://update.parisworld.kr/******/jach/WinPro__WP120.exe (MD5 : 4de20a876ab5298bb34548fd19d38169) - AhnLab V3 : PUP/Win32.NBiz (VirusTotal : 12/43)

해당 프로그램은 웹 브라우저 좌측 영역에 사이드바 광고창을 생성하는 검색 도우미 프로그램입니다.

 

(3) 검색 도우미 : IETab (2012.3.20)

  • h**p://update.parisworld.kr/******/jach/IETab__IE129.exe (MD5 : 3913c7e90372cc6e78163f7baedce0e1) - Hauri ViRobot : Trojan.Win32.Downloader.74520 (VirusTotal : 14/44)

해당 프로그램은 인터넷 검색시 광고창을 생성하는 검색 도우미 프로그램입니다.

 

(4) <Right Security Blog> 제휴(스폰서) 프로그램 : 파일함 탐색기 (2012.1.3)

  • h**p://update.parisworld.kr/******/jach/exad022.exe (MD5 : 6486ed5fc257737a9a1e7aa4df944536) - Symantec : Adware.Adpopup (VirusTotal : 5/44)

해당 프로그램은 시스템 시작시 웹하드 서비스 파일함(FileHam) 탐색기를 자동으로 실행시키는 프로그램입니다.

 

(5) 개인정보 보안 솔루션 : 보안K(BoanK) (2012.10.20)

  • h**p://down.boank.co.kr/boank_****.exe (MD5 : 8c468eec3333d4ce003a1713363a6d90) - ESET NOD32 : Win32/Adware.Kraddare (VirusTotal : 8/44)

해당 프로그램은 시스템 시작시 PC 사용 흔적 검사를 통해 유료 결제를 유도하는 프로그램입니다.

 

(6) 야후(Yahoo) 시작 페이지 변경

  • h**p://update.parisworld.kr/******/jach/YHPage20121004_127.exe (MD5 : e0cd1111a01c66d668bd2eca7c45ee1d) - BitDefender : Gen:Trojan.StartPage.guZ@aONmPgji (VirusTotal : 6/42)

 

해당 프로그램은 올해(2012년) 연말경 국내 철수가 확정된 야후 코리아(Yahoo Korea)를 홈 페이지(시작 페이지)로 변경하는 프로그램입니다.

 

그러므로 프로그램이 설치된 환경에서는 파일 생성은 추가적으로 없으므로 Internet Explorer 웹 브라우저의 인터넷 옵션에서 홈 페이지 정보를 "h**p://kr.yahoo.com/?ilc=127"에서 사용자가 원하는 주소로 변경하시기 바랍니다.(※ 망하는 순간까지 이러고 있으니...)

 

(7) 검색 도우미 : Windows Winerspop (2012.10.21)

  • h**p://update.parisworld.kr/******/jach/winspop_ctr.exe (MD5 : 844337d97e87195ee56ce237091809ed) - Hauri ViRobot : Adware.WindowsWinerspop.958480 (VirusTotal : 14/44)

해당 프로그램은 인터넷 검색시 광고창이 생성되는 검색 도우미 프로그램입니다.

 

자신도 모르게 시스템 시작 과정에서 업데이트 창이 생성되어 다수의 수익성 프로그램의 설치를 유도하는 경우에는 대부분 업데이트 창을 생성하는 프로세스가 생성되어 있습니다.

 

그러므로 마이크로소프트(Microsoft)사에서 제공하는 Process Explorer 툴을 이용하여 업데이트 생성 프로세스를 찾아 종료하시고, 해당 프로세스의 위치를 확인하여 관련 프로그램(파일)을 삭제하시기 바랍니다.