울지않는벌새 : Security, Movie & Society

국내 악성코드 : ezpopup code wepbob x86

벌새::Analysis

최초 "ezpopup client x86" 프로그램의 업데이트를 통해 설치된 후, 추가적인 업데이트 기능을 통해 사용자 몰래 다수의 수익성 프로그램 및 특정 온라인 게임을 노리는 악성코드를 설치하는 "ezpopup code wepbob x86" 프로그램에 대해 살펴보도록 하겠습니다.

 

해당 프로그램의 설치 파일(MD5 : 123d23719d647658cd24fac8ab7b767d)에 대하여 BitDefender 보안 제품에서는 Gen:Variant.Graftor.40591 (VirusTotal : 12/41) 진단명으로 진단되고 있습니다.

 

  제휴(스폰서) 프로그램 : ezpopup code wmapa x86 (2012.12.18)

 

또한 업데이트를 통해 추가적인 수익성 프로그램의 설치를 유도하는 기능을 가진 "ezpopup code wmapa x86" 프로그램의 변종 프로그램이므로 참고하시기 바랍니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Program Files\wepbob
C:\Program Files\wepbob\cns.dat
C:\Program Files\wepbob\uninst.exe :: 프로그램 삭제 파일
C:\Program Files\wepbob\wepbob.exe :: 시작 프로그램 등록 파일

 

[생성 파일 진단 정보]

 

C:\Program Files\wepbob\wepbob.exe
 - MD5 : 898b9020f0ae3f9d64710ec302a2bad2
 - Avira AntiVir : Adware/Kraddare.BP (VirusTotal : 13/46)

 

해당 프로그램은 "C:\Program Files\wepbob" 폴더에 파일을 생성하며, Windows 시작시 wepbob.exe 파일을 시작 프로그램으로 등록하여 자동 실행하도록 구성되어 있습니다.

자동 실행된 파일은 특정 로그(Log) 서버에 기록을 하며, 카페24(Cafe24)에 등록된 특정 서버로부터 업데이트 정보를 받아옵니다.

 

이 과정에서 등록된 프로그램이 존재할 경우 사용자 동의없이 자동으로 설치가 이루어지도록 제작되어 있습니다.

 

참고로 테스트 당시에는 총 4종(수익성 프로그램 3종 + 온라인 게임 표적 악성코드 1종)의 설치 파일이 다운로드 및 실행되는 동작을 확인할 수 있었습니다.

우선 해당 프로그램의 삭제는 제어판의 "ezpopup code wepbob x86 (remove only)" 삭제 항목을 이용하여 삭제할 수 있습니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\wepbob
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\wepbob.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - wepbob = C:\Program Files\wepbob\wepbob.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ezpopup code wepbob x86 (remove only)

 

이제 wepbob.exe 파일을 통해 추가적으로 다운로드되어 설치되는 부분에 대해 자세하게 살펴보도록 하겠습니다.

"ezpopup code wepbob x86" 프로그램의 레지스트리 값에는 "서치엔, 스피드다운, 외국어번역기, abece" 4종의 프로그램이 등록되어 있으며, 해당 프로그램들은 아래 그림과 같이 자동으로 다운로드가 이루어집니다.

다운로드되는 악성 프로그램 4종은 서로 다른 서버에서 각각 다운로드되어, "C:\Documents and Settings\(사용자 계정)\Local Settings\Temp" 폴더에 설치 파일을 생성하여 실행됩니다.

 

(1) 검색 도우미 : 서치엔(SearchN) - Sn_x32,x64 XML 1.0.0.1 (2012.11.26)

  • h**p://sear***.kr/1118/jonna.exe (MD5 : 86807bb5af7900740ef57bcda0c0b40e) - AVG : Generic5.NUI (VirusTotal : 4/44)

(2) 다운로드 도우미 : 스피드다운로드(SpeedDownload) - Windows SpeedDownload (2012.11.16)

  • h**p://****.speeddown****.co.kr/down/SpeedDownload_enco001.exe (MD5 : d94517a9f994e7658101abcbb2e87fbc) - Hauri ViRobot : Adware.Agent.921848.A (VirusTotal : 7/46)

(3) 검색 도우미 : MicroNames Multi Language Convert Service 3.0 + Windows multi Convert Retain (2012.9.16)

  • h**p://www.mic***ames.co.kr/download/App/3028/Translation.exe (MD5 : f9d30f26a58e1a759ad1ad874ea24e25) - Avira AntiVir : Adware/Hebogo.D (VirusTotal : 7/46)

해당 프로그램은 2개의 프로그램으로 나누어 설치가 이루어지며, 기존 분석 정보와 비교해보면 "MicroNames Multi Language Convert Service 3.0" 프로그램은 "C:\Documents and Settings\(사용자 계정)\Application Data\MicroLab\MyEngin\Common" 폴더에 파일을 생성하며 제어판을 통해 정상적으로 삭제를 지원합니다.

 

하지만 추가적으로 생성되는 "Windows multi Convert Retain" 프로그램은 "C:\Documents and Settings\(사용자 계정)\Application Data\GuardSupport" 폴더에 파일을 생성하지만 제어판을 통한 삭제를 지원하지 않는 것으로 확인되고 있습니다.

그러므로 "C:\Documents and Settings\(사용자 계정)\Application Data\GuardSupport\Uninstall\Uninstall.exe" 파일을 찾아 수동으로 실행하여 "Windows multi Convert Retain" 프로그램을 삭제하시기 바랍니다.

해당 3종의 수익성 프로그램의 삭제는 제어판의 "MicroNames Multi Language Convert Service", "Sn_x32,x64 XML 1.0.0.1", "Windows SpeedDownload" 3개의 삭제 항목을 이용하여 삭제할 수 있습니다.

 

(4) 온라인 게임 표적 악성코드

  • h**p://yuri****.cafe24.com/down/abece.exe (MD5 : e3cecd5d10cb77808eb8eb051d332363) - Hauri ViRobot : Dropper.U.Agent.1520704.A (VirusTotal : 16/45)

해당 악성코드는 "글자수 세기 프로그램을 이용한 온라인 게임핵 유포 주의 (2012.10.9)"에서 소개한 내용과 유사하며, 다운로드된 abece.exe 파일이 "C:\WINDOWS\system32\WindowsDriver.dll" 파일을 생성하여 추가적인 악성 파일의 다운로드를 시도합니다.

 

[생성 파일 및 진단 정보]

 

C:\WINDOWS\system32\WindowsDriver.dll

 - MD5 : a6514b3a9668851bfce74ce5ae5def84

 - AhnLab V3 : Win-Trojan/Agent.79125504

시스템 폴더에 생성된 WindowsDriver.dll 파일은 안티 바이러스(Anti-Virus) 제품의 진단을 우회할 목적으로 79,125,504 Bytes 파일 크기를 가지고 있으며, 숨김(H) 속성값을 지정하여 Windows 탐색기 기본값에서 보이지 않게 하고 있습니다.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINDOWSDRIVER
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WindowsDriver

감염이 이루어지면 "WindowsDriver" 서비스 항목을 등록하여 시스템 시작시 svchost.exe 서비스 파일에 WindowsDriver.dll 파일을 인젝션하여 다음과 같은 추가적인 다운로드를 시도합니다.

연결된 서버(ciygqn2.vicp.net / 112.175.100.228)에서 xxx.exe 파일을 다운로드 시도하고 있지만, 현재 시점에서는 파일이 제거되어 정상적인 다운로드는 이루어지지 않고 있습니다.

해당 악성코드를 제거하기 위해서는 안티 바이러스(Anti-Virus) 제품을 이용한 정밀 검사 또는 실행창에 [sc stop "WindowsDriver"] 명령어를 입력하여 동작 중인 서비스를 중지할 수 있습니다.

 

이후 [sc delete "WindowsDriver"] 명령어로 생성 레지스트리 값을 삭제한 후 생성 파일(WindowsDriver.dll)을 찾아 삭제하시기 바랍니다.

 

참고로 이미 감염된 사용자 중에서는 추가적인 악성 파일 다운로드 등의 동작이 있을 수 있으므로 보안 제품을 통한 정밀 검사를 권장합니다.

 

결론적으로 "ezpopup code wepbob x86" 프로그램은 사용자 몰래 다수의 악성 프로그램을 설치하여 금전적 피해까지 유발할 수 있으며, 설치된 프로그램은 차후 추가적인 프로그램을 지속적으로 다운로드할 수 있는 통로로 활용되므로 주의하시기 바랍니다.