울지않는벌새 : Security, Movie & Society

이니텍(INITECH) 프로그램으로 위장한 IniCert 프로그램 유포 주의 (2012.12.28)

벌새::Analysis

2012년 12월 24일 오후경 국내 제휴(스폰서) 프로그램 방식으로 설치가 이루어지고 있는 것으로 추정되는 삭제를 지원하지 않는 IniCert 프로그램에 대해 살펴보도록 하겠습니다.

해당 프로그램의 설치 파일(MD5 : 3f8937c3e85aed3198a562332d8fe1f1) 속성값을 살펴보면 "IniCert Application"으로 등록되어 있으며, 프로그램 이름이 금융권에서 많이 사용되는 INISAFE 보안 솔루션으로 유명한 이니텍(INITECH) 프로그램으로 오해를 유발할 수 있습니다.

 

  국내 악성코드 : wfindsearchc 1.00 (2011.7.21)

 

  AMD 파일로 위장한 국내 악성코드 유포 주의 (2012.3.21)

 

  NVIDIA 파일로 위장한 국내 악성코드 유포 주의 (2012.3.29)

 

  Microsoft Windows 데이타 Manager 파일로 위장한 악성코드 유포 주의 (2012.5.4)

 

  Safe Search 광고 프로그램으로 위장한 CB Optimization 프로그램 주의 (2012.8.20)

 

  Smart Bar 프로그램을 이용한 WTL75 프로그램 유포 주의 (2012.10.7)

 

또한 IniCert 프로그램은 기존에 중국(China) 웹 호스팅에 등록된 "pnsweb.net" 서버로부터 다양한 악성 프로그램을 다운로드하는 Trojan/Win32.Wjview 변종이므로 참고하시기 바랍니다.

최초 프로그램 설치 과정에서 중국(China)에 위치한 "pingkk8877.pnsweb.net" 서버에 설치 PC의 Mac Address 값을 기반으로 한 설치 카운터(Counter) 정보를 체크합니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Program Files\IniCert
C:\Program Files\IniCert\bxb.dat
C:\Program Files\IniCert\jqs.exe :: 메모리 상주 프로세스
C:\Program Files\IniCert\jqu.exe :: 시작 프로그램 등록 파일
C:\Program Files\IniCert\UnInstall.exe :: 프로그램 삭제 파일

 

해당 프로그램은 최초 "C:\Program Files\IniCert" 폴더에 파일을 생성하며, Windows 시작시 "C:\Program Files\IniCert\jqu.exe" 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.

프로그램이 설치된 이후 1분이 경과되면 자동 실행된 jqu.exe 파일이 서버로부터 bxa.dat 파일을 다운로드하여 업데이트를 진행합니다.(※ 현재 테스트 시점에서는 bxa.dat 파일을 통해 추가적인 다운로드는 이루어지지 않고 있으며, 만약 정상적인 다운로드가 이루어진다면 과거 사례로 추정해보면 숨김(H) 속성값을 가지는 폴더를 생성하여 내부에 악성 프로그램을 설치할 것으로 추정됩니다.)

  • C:\Program Files\IniCert\Temp
  • C:\Program Files\IniCert\bxa.dat

이를 통해 최종적으로 "C:\Program Files\IniCert" 폴더에 생성된 파일 정보는 그림과 같습니다.

  • h**p://pingkk8877.pnsweb.net/ls_init.asp
  • h**p://pingkk8877.pnsweb.net/ls_resettime.asp
  • h**p://pingkk8877.pnsweb.net/ls_cur_run.asp?mac=(사용자 Mac Address)&code=121207

그 후 30초가 경과하는 시점에서 "jqu.exe → jqs.exe" 파일로 로딩이 이루어지며, 실행된 jqs.exe 파일은 중국(China)에 위치한 웹 서버와 통신을 합니다.

 

마지막으로 2분이 추가적으로 경과하는 시점에서 jqs.exe 파일은 "h**p://pingkk8877.pnsweb.net/ls_word12.asp" 서버에서 특정값을 체크하는 동작이 이루어집니다.

시작 프로그램으로 등록된 "C:\Program Files\IniCert\jqu.exe" 파일은 "IniCert Update" 속성값을 가지고 있으며, 시스템 시작시마다 자동 실행되어 업데이트 체크를 통해 추가적인 다운로드를 시도합니다.

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\
Advanced
 - Hidden = 2 :: 기본값

특히 이 과정에서 폴더 옵션의 "숨김 파일 및 폴더 표시 안 함" 항목으로 변경되도록 레지스트리 값을 반복적으로 수정하는 동작을 확인할 수 있습니다.

 

그 이유는 추가적인 업데이트를 통해 설치되는 악성 프로그램이 숨김(H) 속성값을 가진 폴더 내에 설치되도록 제작되어 있으므로, 사용자가 Windows 탐색기를 이용하여 폴더를 찾지 못하게 방해할 목적입니다.

그러므로 숨김 폴더(파일)를 찾기 위해서는 폴더 옵션의 "숨김 파일 및 폴더 표시" 항목에 체크를 하시기 바랍니다.

시작 프로그램으로 자동 실행된 jqu.exe 파일은 실행 후 1분 30초가 경과하는 시점에서 "C:\Program Files\IniCert\jqs.exe" 파일을 메모리에 상주시킵니다.

 

jqs.exe 파일 속성값을 확인해보면 "IniCert Corp Ltd" 업체에서 제작되었다고 등록되어 있으며, 해당 파일명은 Oracle Java 프로그램에서 사용되는 jqs.exe(Java Quick Starter Service) 파일과 동일하므로 혼동하지 않도록 하시기 바랍니다.

프로그램은 제어판의 "IniCert" 삭제 항목을 통해 삭제할 수 있는 것처럼 등록되어 있지만, 실제 삭제를 해보면 전혀 삭제되지 않고 정상적인 기능을 지속적으로 수행합니다.

 

그러므로 프로그램 삭제를 위해서는 다음과 같은 절차에 따라 수동으로 삭제를 진행하시기 바랍니다.

 

(1) Windows 작업 관리자를 실행하여 jqs.exe 프로세스를 찾아 수동으로 종료하시기 바랍니다.

 

(2) Windows 탐색기를 실행하여 다음의 폴더(파일)를 찾아 수동으로 삭제하시기 바랍니다.

  • C:\Program Files\IniCert
  • C:\Program Files\IniCert\Temp
  • C:\Program Files\IniCert\bxa.dat
  • C:\Program Files\IniCert\bxb.dat
  • C:\Program Files\IniCert\jqs.exe
  • C:\Program Files\IniCert\jqu.exe
  • C:\Program Files\IniCert\UnInstall.exe

(3) 레지스트리 편집기(regedit)를 실행하여 다음의 값을 찾아 삭제하시기 바랍니다.

 

HKEY_CURRENT_USER\Software\IniCert
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - IniCert = "C:\Program Files\IniCert\jqu.exe" -a
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\IniCert

 

해당 악성 프로그램은 과거부터 유명 프로그램 또는 광고 프로그램 이름으로 등록하여 사용자 몰래 추가적인 프로그램을 설치하여 금전적 수익을 창출할 목적으로 유포가 이루어지고 있습니다.

 

특히 숨김(H) 폴더와 파일을 사용자가 찾기 못하게 레지스트리 값을 시스템 시작시마다 변경하는 동작으로 자신을 숨기려 하므로, 단순히 해당 프로그램만 찾아 삭제할 것이 아니라 추가적으로 설치된 프로그램이 있는지 확인할 필요가 있습니다.(※ 만약 추가적인 다운로드를 통해 설치된 프로그램의 경우에는 제어판을 통한 삭제 기능을 제공하지 않습니다.)