울지않는벌새 : Security, Movie & Society

[삭제] Nexus20

벌새::Analysis

즐겨찾기, 바탕 화면, 명령 모음에 인터넷 쇼핑몰(11번가, G마켓, 옥션) 바로가기 아이콘을 생성하며, 인터넷 검색시 광고창을 생성하는 검색 도우미 Nexus20 프로그램(MD5 : 9e6a397372c1d9fa9e46a0b8c62b9dc1)에 대해 살펴보도록 하겠습니다.

 

  <2011년~2012년 관련 정보> 검색 도우미 : Windows Plus (2012.12.11) 외 10종

 

  [삭제] Rundownplay (2013.1.1)

 

  [삭제] Windowsoffice (2013.1.2)

 

  [삭제] Microsofts Winsrv64 (2013.1.3)

 

  검색 도우미 : Window Popmulticare (2013.1.15)

 

특히 해당 프로그램은 마이크로소프트(Microsoft) 관련 프로그램으로 위장하며, 제어판을 통한 프로그램 삭제 기능을 제공하지 않는 방식으로 이전부터 배포되고 있으므로 참고하시기 바랍니다.

배포용 설치 파일이 실행되면 특정 서버로부터 Nexus20 설치 파일(MD5 : bee04d3342d0e0cf120d427e2e0d7476)을 다운로드하여 "C:\Documents and Settings\All Users\Documents\nxs_02.exe" 폴더에 생성하여 설치가 이루어진 후 자가 삭제 처리가 됩니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Documents and Settings\(사용자 계정)\Application Data\Microsoft\nexus20
C:\Documents and Settings\(사용자 계정)\Application Data\Microsoft\nexus20\img
C:\Documents and Settings\(사용자 계정)\Application Data\Microsoft\nexus20\img\11st.ico
C:\Documents and Settings\(사용자 계정)\Application Data\Microsoft\nexus20\img\Auction.ico
C:\Documents and Settings\(사용자 계정)\Application Data\Microsoft\nexus20\img\Gmarket.ico
C:\Documents and Settings\(사용자 계정)\Application Data\Microsoft\nexus20\nexfree.exe
C:\Documents and Settings\(사용자 계정)\Application Data\Microsoft\nexus20\nexus.dat
C:\Documents and Settings\(사용자 계정)\Application Data\Microsoft\nexus20\nexus.exe :: 시작 프로그램 등록 파일
C:\Documents and Settings\(사용자 계정)\Application Data\Microsoft\nexus20\nxs20.dll :: BHO 등록 파일
C:\Documents and Settings\(사용자 계정)\Application Data\Microsoft\nexus20\unins000.dat
C:\Documents and Settings\(사용자 계정)\Application Data\Microsoft\nexus20\unins000.exe :: 프로그램 삭제 파일
C:\Documents and Settings\(사용자 계정)\Favorites\11번가 이동.URL
C:\Documents and Settings\(사용자 계정)\Favorites\G마켓 이동.URL
C:\Documents and Settings\(사용자 계정)\Favorites\옥션 이동.URL
C:\Documents and Settings\(사용자 계정)\바탕 화면\11번가 이동.URL
C:\Documents and Settings\(사용자 계정)\바탕 화면\G마켓 이동.URL
C:\Documents and Settings\(사용자 계정)\바탕 화면\옥션 이동.URL
C:\WINDOWS\system32\nexustool.exe :: 서비스(Nexus Network) 등록 파일

 

[생성 파일 진단 정보]

 

C:\Documents and Settings\(사용자 계정)\Application Data\Microsoft\nexus20\nexus.exe
 - MD5 : 94338d82bedc8dc7e6756c9dcbfba48e
 - AhnLab V3 : PUP/Win32.WindowsLiveProtect (VirusTotal : 2/37)

설치된 프로그램은 마이크로소프트(Microsoft) 관련 폴더 내에 "C:\Documents and Settings\(사용자 계정)\Application Data\Microsoft\nexus20" 폴더를 생성하여 파일을 추가하여 사용자 눈을 속이고 있습니다.

우선 Windows 시작시 "C:\Documents and Settings\(사용자 계정)\Application Data\Microsoft\nexus20\nexus.exe" 파일을 시작 프로그램으로 등록하여 자동 실행되며, 업데이트 서버로부터 업데이트를 위한 nexus.ts1 파일을 체크합니다.

또한 "nxsagent(Nexus Network)" 서비스 항목을 등록하여 시스템 시작시 "C:\WINDOWS\system32\nexustool.exe" 파일을 자동 실행하도록 구성되어 있습니다.

자동 실행된 서비스 파일(nexustool.exe)은 업데이트 서버로부터 nexus.ts3(nexus.exe) 파일의 버전 체크를 하며, 암호화된 압축 파일(nexus.ts2)을 다운로드하여 즐겨찾기에 등록된 인터넷 쇼핑몰 바로가기 아이콘을 업데이트합니다.

이렇게 설치된 Nexus20 프로그램은 즐겨찾기, 명령 모음, 바탕 화면에 11번가, G마켓, 옥션 바로가기 아이콘을 생성합니다.

참고로 해당 바로가기 아이콘에는 광고 코드(cl.ilikeclick.com)가 추가되어 있지만, 테스트 시점에서는 모두 그림과 같이 코드 문제로 인해 연결이 정상적으로 이루어지지 않고 있습니다.

그 외의 광고 기능으로는 사용자가 인터넷 검색을 통해 11번가, G마켓, 옥션에 접속하는 과정에서 동일한 인터넷 쇼핑몰 창을 추가로 생성하는 동작을 확인할 수 있습니다.

이 과정에서 추가된 광고 코드(click.dot***.co.kr)는 다른 방법으로 연결되고 있는 것을 확인할 수 있습니다.

[추가 기능 관리 : 도구 모음 및 확장 프로그램]

 

이름 : nexus20 Object

게시자 : Gongkam

유형 : 브라우저 도우미 개체

CLSID : {60781F6D-1B11-4F20-B744-8F65F8F28981}

파일 : C:\Documents and Settings\(사용자 계정)\Application Data\Microsoft\nexus20\nxs20.dll

 

이름 : G마켓 이동

유형 : 브라우저 확장

CLSID : {000000A1-CA93-46BB-9D4A-DBD498CB8944}

 

이름 : 옥션 이동

유형 : 브라우저 확장

CLSID : {000000A2-F93E-4C0B-87D5-490AEF45ADD3}

 

이름 : 11번가 이동

유형 : 브라우저 확장

CLSID : {000000A3-57A6-49EA-B96B-1428070E5924}

 

해당 동작은 Internet Explorer 웹 브라우저 실행시 nxs20.dll 파일을 브라우저 도우미 개체(BHO)로 등록하여 광고창 생성이 이루어지므로, 광고 동작 중지 및 명령 모음에 등록된 인터넷 쇼핑몰 바로가기 아이콘을 표시되지 않도록 하기 위해서는 추가 기능 관리에 등록된 "nexus20 Object", "G마켓 이동", "옥션 이동", "11번가 이동" 항목을 선택하여 "사용 안 함"으로 변경하시기 바랍니다.

 

Nexus20 프로그램은 사용자에 의한 삭제를 방해할 목적으로 제어판을 통한 삭제 기능을 제공하지 않는 반면, 보안 제품의 진단을 우회할 목적으로 삭제 파일은 제공하고 있습니다.

 

그러므로 프로그램 삭제를 위해서는 Internet Explorer 웹 브라우저를 모두 종료한 상태에서 "C:\Documents and Settings\(사용자 계정)\Application Data\Microsoft\nexus20\unins000.exe" 파일을 찾아 직접 실행하시기 바랍니다.

참고로 파일을 실행하면 Error 창이 생성되지만 "OK" 버튼을 클릭하시면 제거창이 생성되는 것을 확인되고 있습니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Extensions\{000000A1-CA93-46BB-9D4A-DBD498CB8944}
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Extensions\{000000A2-F93E-4C0B-87D5-490AEF45ADD3}
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Extensions\{000000A3-57A6-49EA-B96B-1428070E5924}
HKEY_LOCAL_MACHINE\SOFTWARE\AppDataLow
 - nxs = 0
HKEY_LOCAL_MACHINE\SOFTWARE\AppDataLow\nxs20
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{60781F6D-1B11-4F20-B744-8F65F8F28981}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{5772731B-CBA2-143A-AAFC-B1D1B7B261AA}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\nxs20.nxsTools
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{610E4D1E-1F3D-A5CD-A12D-C495013E3AAC}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{60781F6D-1B11-4F20-B744-8F65F8F28981}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - nexus20 = C:\Documents and Settings\(사용자 계정)\Application Data\Microsoft\nexus20\nexus.exe
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NXSAGENT
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\nxsagent

 

Nexus20 프로그램은 사용자가 쉽게 찾을 수 없는 정상적인 폴더 내에 프로그램을 설치하며, 삭제 기능을 정상적으로 제공하지 않는 방식으로 지속적인 수익 창출 행위를 하므로 주의하시기 바랍니다.