울지않는벌새 : Security, Movie & Society

제휴(스폰서) 프로그램 : Windows NCast Provide Engine

벌새::Analysis

인터넷 검색시 광고창이 생성되는 기능 이외에 업데이트 창을 통한 추가적인 수익성 프로그램의 설치를 유도할 것으로 추정되는 "Windows NCast Provide Engine" 프로그램에 대해 살펴보도록 하겠습니다.

 

해당 프로그램의 설치 파일(MD5 : 4f3343ef56711358ff148dce790e845f)에 대하여 AhnLab V3 보안 제품에서는 Downloader/Win32.Banload (VirusTotal : 27/45) 진단명으로 진단되고 있습니다.

 

  제휴(스폰서) 프로그램 : Windows NS Assist (2012.10.18)

 

기존에 "정규 업데이트 및 추가 프로그램 선택" 창을 생성하던 "Windows NS Assist" 프로그램과 유사성이 강하므로 참고하시기 바랍니다.

설치 과정을 살펴보면 배포 파일을 통해 설치가 진행되는 과정에서 특정 서버로부터 NCastMySetup.exe (MD5 : a013fb1fb89f98ab6bffb94037ee726a) 프로그램 설치 파일을 다운로드하여 "C:\Program Files\Wincast\NCastMySetup.exe" 위치에 생성하여 설치가 진행됩니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Program Files\Wincast
C:\Program Files\Wincast\category.dt
C:\Program Files\Wincast\div.exe :: 메모리 상주 프로세스
C:\Program Files\Wincast\NCastMySetup.exe
C:\Program Files\Wincast\nhopen.dll
C:\Program Files\Wincast\nmgch.exe
C:\Program Files\Wincast\nmgloc.dat
C:\Program Files\Wincast\nmgmain.exe
C:\Program Files\Wincast\nmgmgr.exe
C:\Program Files\Wincast\nmgopn.exe
C:\Program Files\Wincast\nmgsrv.exe :: 서비스(WinCast Controler Application) 등록 파일 / 메모리 상주 프로세스
C:\Program Files\Wincast\nmguninst.exe :: 프로그램 삭제 파일
C:\Program Files\Wincast\nmgvbl.dat

 

[생성 파일 진단 정보]

 

C:\Program Files\Wincast\div.exe
 - MD5 : 8d6f7d558b17add2a7e5fde9758d028b
 - AhnLab V3 : PUP/Win32.URLHelper (VirusTotal : 22/45)

 

C:\Program Files\Wincast\nmgsrv.exe
 - MD5 : 7e27af26c2399f171882d821dbd4ede2
 - AhnLab V3 : PUP/Win32.CastMy (VirusTotal : 14/45)

생성된 프로그램은 "C:\Program Files\Wincast" 폴더에 파일을 생성하며, "WinCast Controler(WinCast Controler Application)" 서비스 항목을 등록하여 시스템 시작시 "C:\Program Files\wincast\nmgsrv.exe" 파일을 자동 실행하도록 구성되어 있습니다.

자동 실행된 서비스 파일(nmgsrv.exe)은 nmgmgr.exe 파일을 추가 로딩하여 프로그램 버전 체크 및 다수의 수익성 프로그램 이용약관 정보를 체크하는 동작을 수행합니다.

 

이는 차후 시스템 시작 중 업데이트 창을 생성하여 악성코드 제거 프로그램, 개인정보 보안 솔루션, 바로가기 아이콘 생성 프로그램, 업데이트 창 생성 프로그램, 검색 도우미 등 수익성 프로그램의 설치를 유도할 가능성이 존재합니다.

"Windows NCast Provide Engine" 프로그램은 그 외에 부가적 기능으로 프로그램 설치 과정에서 nmgmgr.exe 파일을 통해 추가적인 파일(nmgopn.exe, div.exe, nhopen.dll, category.dt) 파일을 다운로드하여 설치를 진행합니다.

  국내 악성코드 : OpenPot - Sysmax.exe (2012.1.29)

 

  <Right Security Blog> 무료 시스템 최적화 프로그램 MyPC 에 숨어 있는 OpenPot 광고 파일 (2012.3.28)

 

  [삭제] bounce.exe (2012.6.16)

 

  검색 도우미 : Internet gold-bar Client (2012.6.17)

 

  <Right Security Blog> 무료 개인정보 유출 진단 인포스캔(InfoScan)에 포함된 OpenPot 광고 파일 (2012.6.21)

 

  프리리슨(FreeListen)에 포함된 FreeListenManager.exe 광고 파일 (2012.6.26)

 

  검색 도우미 : 웹코어스(WebCores) - media help webcores (2012.11.17)

 

이를 통해 추가된 파일은 OpenPot으로 소개한 광고창 생성 기능을 가진 파일임을 확인할 수 있습니다.

 

해당 파일은 시스템 시작시 자동 실행된 nmgsrv.exe 서비스 파일이 "nmgopn.exe → div.exe" 실행을 통해 메모리에 상주하는 방식으로 동작합니다.

실제 광고 동작을 살펴보면 사용자가 인터넷 검색을 통해 검색 결과 사이트를 오픈하는 과정에서 최소 2개의 광고창이 자동으로 생성되는 동작을 확인할 수 있습니다.

해당 광고창 생성시에는 특정 광고 서버(ad.openmatch.co.kr)에서 정보를 받아오는 것을 확인할 수 있습니다.

광고 행위 중지 및 프로그램 삭제를 위해서는 Windows 작업 관리자를 실행하여 div.exe 프로세스를 수동으로 종료하시기 바라며, 실행 중인 서비스는 실행창에 [sc stop "WinCast Controler"] 명령어를 입력하여 nmgsrv.exe 서비스 파일을 종료하시기 바랍니다.

프로그램 삭제는 제어판의 "Windows NCast Provide Engine" 삭제 항목을 이용하여 삭제할 수 있으며, 프로그램 삭제 후에는 추가적으로 다음의 폴더(파일)를 수동으로 삭제하시기 바랍니다.

  • C:\Program Files\Wincast
  • C:\Program Files\Wincast\nhopen.dll
  • C:\Program Files\Wincast\nmguninst.exe
[생성 폴더 / 파일 등록 정보]

 

HKEY_CURRENT_USER\Software\div
HKEY_CURRENT_USER\Software\div\AD
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
NCastMy_is1
HKEY_LOCAL_MACHINE\SOFTWARE\wincast
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINCAST_
CONTROLER
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinCast Controler

 

해당 프로그램은 광고창 생성 동작 이외에 특정 시점에서는 업데이트 창을 생성하여 다수의 수익성 프로그램을 설치하도록 유도하는 동작이 있을 수 있으므로 주의하시기 바랍니다.

 

 "Windows NCast Provide Engine" 프로그램 추가 정보 (2012.12.1)

 

최초 해당 프로그램은 2012년 8월 9일경 배포가 이루어진 동일한 기능을 수행하는 "NCastMy ver 1.0" 프로그램이며, 그 후(2012년 10월 26일 또는 11월 13일경) "WinCast 업데이트"를 통해 "Windows NCast Provide Engine" 프로그램으로 변경이 이루어졌습니다.

당시 업데이트를 살펴보면 시스템 시작 과정에서 nmgmgr.exe 파일을 통해 "CM Program Update" 창을 생성하여 "WinCast 업데이트" 항목을 통해 "NCastMy ver 1.0" 프로그램을 "Windows NCast Provide Engine" 프로그램으로 이름을 변경하게 됩니다.(※ 원래 "NCastMy ver 1.0" 프로그램 역시 "C:\Program Files\Wincast" 폴더에 파일을 생성합니다.)

 

그 외에 "PCMaster, NewsWide, 멀티미디어랩, Tabchoic, Guidegreen, Privacystop, Realcon" 수익성 프로그램 다수를 사용자 눈에 보이지 않는 영역에 추가하여 설치를 유도하는 행위를 확인할 수 있습니다.(※ 해당 프로그램에 대한 추가적인 정보는 공개될 예정입니다.)

 

그러므로 "Windows NCast Provide Engine" 프로그램 역시 차후 위와 같은 업데이트 창을 통해 프로그램 이름 변경 및 추가적인 수익성 프로그램의 설치를 유도할 수 있으므로 주의하시기 바랍니다.