울지않는벌새 : Security, Movie & Society

국내 악성코드 : WiseSearch version 1.0

벌새::Analysis

국내에서 제작되어 악성 서비스 파일로 등록된 aqlegfts.dll(MD5 : 7c0af11c37f73e56cfd33f30dc1e4a7b - AhnLab V3 : Trojan/Win32.KorAd (VirusTotal : 23/45)) 파일을 통해 사용자 몰래 설치가 이루어지고 있는 "WiseSearch version 1.0" 프로그램에 대해 살펴보도록 하겠습니다.

 

해당 프로그램의 설치 파일(MD5 : 8ee7066a8cfae8e32c0a5a0bf83aa83a - AhnLab V3 : Win-Downloader/KorAd.193320 (VirusTotal : 15/46))은 2013년 1월 4일경부터 유포가 시작되었으며, 안랩 클라우드(AhnLab Cloud) 파일 사용자 수는 현재 3,676 대의 감염 수준을 표시하고 있습니다.

 

  검색 도우미 : AD79 팝업 프로그램 - Retrieval Engine (2010.11.4)

 

  <2011년 관련 정보> 검색 도우미 : KeyPang version 1.0 + kpupdate version 1.0 (2011.7.16) 외 8종

 

  검색 도우미 : Atarget version 1.0 (2012.7.3)

 

해당 프로그램은 기존의 AD79 검색 도우미 프로그램의 변종으로 추정되므로 참고하시기 바랍니다.

 

최초 사용자 몰래 다운로드가 이루어진 설치 파일(MD5 : 8ee7066a8cfae8e32c0a5a0bf83aa83a)은 다음의 폴더에 파일 및 레지스트리 값을 등록합니다.

 

[생성 파일 및 진단 정보]

 

C:\Documents and Settings\(사용자 계정)\Application Data\temp\wisesearch2.exe
 - MD5 : e1f22ec0bd9d7c22a7e1e7085acf3d0b
 - Kaspersky : HEUR:Trojan-Downloader.Win32.Generic (VirusTotal : 13/46)

 

[생성 레지스트리 등록 정보]

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
 - wisesearch3 = "C:\Documents and Settings\(사용자 계정)\Application Data\temp\wisesearch2.exe"

임시 폴더에 생성된 wisesearch2.exe 파일은 바로 실행되지 않으며, RunOnce 레지스트리 값을 참조하여 시스템 재부팅 과정에서 1회용으로 실행 후 파일과 레지스트리 값은 삭제됩니다.(※ 이는 유포 과정을 단계별로 구분하여 사용자가 어떤 경로를 통해 설치되었는지 확인하기 어렵게 하며, 설치 이후에는 자가 삭제 방식으로 설치 관련 파일의 흔적을 제거합니다.)

 

[시스템 재부팅 이후 생성 파일 및 진단 정보]

 

C:\Documents and Settings\(사용자 계정)\Application Data\temp\wisesearch1.exe
 - MD5 : 5ab767165d6ce1408807c27dbf70c856
 - Kaspersky : HEUR:Trojan-Downloader.Win32.Generic (VirusTotal : 12/46)

 

사용자가 시스템 재부팅을 할 경우 wisesearch2.exe 파일은 임시 폴더에 wisesearch1.exe 파일을 생성하며, 해당 파일은 다음과 같은 추가 다운로드 동작을 한 후 자가 삭제 처리됩니다.

  • C:\Documents and Settings\(사용자 계정)\Application Data\temp\iws.exe (MD5 : da09a4d04b304295d8d575adf5f9684d) - AVG : Downloader.VB.ADIE (VirusTotal : 9/46)

임시 폴더에 다운로드된 iws.exe 파일은 다시 서버에서 "WiseSearch version 1.0" 프로그램의 설치 파일을 다운로드하여 "C:\swisesearch.exe" 파일로 생성하여 설치가 이루어지게 됩니다.

또한 설치 과정에서는 추가적으로 skpupdate.exe 파일을 다운로드 시도하고 있지만, 분석 시점에서는 "404 Not Found" 상태로 다운로드가 이루어지지 않고 있습니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Documents and Settings\(사용자 계정)\Application Data\temp\iws.exe
C:\Program Files\WiseSearch
C:\Program Files\WiseSearch\move.exe
C:\Program Files\WiseSearch\rws.exe
C:\Program Files\WiseSearch\unins000.dat
C:\Program Files\WiseSearch\unins000.exe :: WiseSearch version 1.0 프로그램 삭제 파일
C:\Program Files\WiseSearch\wgo.exe
C:\Program Files\WiseSearch\wisesearch.exe :: 시작 프로그램(WiseSearch) 등록 파일 / 메모리 상주 프로세스
C:\skpupdate.exe :: 0 Byte
C:\swisesearch.exe :: WiseSearch version 1.0 프로그램 설치 파일
C:\WINDOWS\kppath.log
C:\WINDOWS\kpps.log
C:\WINDOWS\kppu.log

 

※ 프로그램 설치 완료 이후 시스템 재부팅 중 iws.exe, rws.exe, swisesearch.exe 파일 및 로그(log) 파일은 자가 삭제 처리가 됩니다.

 

[생성 파일 진단 정보]

 

C:\swisesearch.exe
 - MD5 : 2354d95a507f491f4e4b6a398664b1b0
 - Avira : TR/VB.Downloader.Gen (VirusTotal : 2/46)

 

"WiseSearch version 1.0" 프로그램은 "C:\Program Files\WiseSearch" 폴더에 파일을 생성하며, Windows 시작시 wisesearch.exe 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.

자동 실행된 wisesearch.exe 파일은 프로그램 버전, 사용자 Mac Address 값 체크를 통한 실행 등을 체크하며, 1분이 경과하는 시점에서 추가적인 정보를 체크합니다.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - Kp = C:\Program Files\kpupdate\kpupdate.exe

또한 시작 프로그램(Run) 레지스트리 값에 "Kp" 값을 등록하여 생성되지 않은 "C:\Program Files\kpupdate\kpupdate.exe" 파일을 자동 실행되도록 등록합니다.

 

이는 앞서 프로그램 설치 과정에서 다운로드되지 않는 skpupdate.exe 파일을 통해 설치되는 프로그램의 위치가 "C:\Program Files\kpupdate" 폴더로 추정됩니다.

 

  검색 도우미 : KeyPang version 1.0 + kpupdate version 1.0 (2011.7.16)

 

해당 폴더는 "kpupdate version 1.0" 프로그램이 사용하였던 사례가 존재하므로 참고하시기 바랍니다.

특히 자동 실행되어 메모리에 상주하는 wisesearch.exe 파일은 "Kp" 시작 프로그램 레지스트리 값을 보호하여 사용자가 삭제를 시도할 경우 실시간으로 재생성되도록 제작되어 있습니다.

이렇게 설치된 프로그램 사용자가 인터넷 검색을 하는 과정에서 특정 검색 키워드에 따라 추가적인 광고창이 노출되는 동작을 확인할 수 있습니다.

프로그램 삭제를 위해서는 Windows 작업 관리자를 실행하여 wisesearch.exe 프로세스를 수동으로 종료한 후, 제어판의 "WiseSearch version 1.0" 삭제 항목을 이용하여 삭제할 수 있습니다.

 

프로그램 삭제 과정에서 "Keypang Uninstall" 창 생성을 통해 제시되는 4자리 PW 값을 확인하여 공란에 입력하시면 삭제가 진행됩니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - Kp = C:\Program Files\kpupdate\kpupdate.exe
 - WiseSearch = "C:\Program Files\WiseSearch\wisesearch.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
{0E037DBD-0FC6-4A5C-8FDF-5521DD40515C}_is1

 

해당 프로그램은 배포 방식이 악성 파일을 통해 사용자 동의없이 몰래 설치되며, 추가적인 프로그램(kpupdate version 1.0)의 설치가 있을 수 있으므로 주의하시기 바랍니다.