본문 바로가기

벌새::Analysis

국내 악성코드 : StickADs

Windows 시작시 사용자 몰래 백그라운드 방식으로 네이버(Naver) 검색 엔진에 특정 검색 키워드를 전송하는 검색 도우미 StickADs 프로그램에 대해 살펴보도록 하겠습니다.

해당 프로그램의 설치 파일(MD5 : 975546b0822784d7173bd3e09630edc7)에 대하여 Kaspersky 보안 제품에서는 Trojan.Win32.Scar.hhna (VirusTotal : 17/46) 진단명으로 진단되고 있습니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\Applications
C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\Applications\windowstatus.exe :: 시작 프로그램(windowstatus) 등록 파일
C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\Stickads
C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\Stickads\stickads.exe :: 시작 프로그램(stickads) 등록 파일 / 프로그램 삭제 파일
C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\Stickads\stickads.ini
C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\IXP000.TMP\stickads.exe
C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\IXP001.TMP\Searcher.exe

 

[생성 파일 진단 정보]

 

C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\Stickads\stickads.exe
C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\IXP000.TMP\stickads.exe
 - MD5 : eed2e2d4ccdb7664020da6352d035b78
 - Kaspersky : Trojan.Win32.Scar.hhna  (VirusTotal : 21/46)

 

StickADs 프로그램은 사용자가 확인하기 어려운 "C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\Applications" 폴더와 "C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\Stickads" 폴더에 파일을 각각 생성합니다.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
 - wextract_cleanup0 = rundll32.exe C:\WINDOWS\system32\advpack.dll,DelNodeRunDLL32 "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\IXP001.TMP\"

프로그램이 최초 설치 완료된 환경에서 1회 실행을 목적으로 한 RunOnce 레지스트리 값을 등록하여 시스템 재부팅시 다음의 폴더와 파일을 자가 삭제한 후 자신(wextract_cleanup0)도 삭제 처리되도록 등록되어 있습니다.

  • C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\IXP001.TMP
  • C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\IXP001.TMP\Searcher.exe (MD5 : 4B0A82B910FA4786FB8E8614634BD1A9)

그렇다면 왜 Searcher.exe 파일을 시스템 시작시 삭제를 하는지 이유와 StickADs 프로그램의 배포 목적에 대해 확인해 보도록 하겠습니다.

 

1. stickads.exe 파일 기능

StickADs 프로그램은 Windows 시작시 "C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\Stickads\stickads.exe" 파일을 시작 프로그램으로 등록하여 자동 실행하도록 구성되어 있습니다.

자동 실행된 stickads.exe 파일은 특정 서버로부터 stickads.ini 파일 구성값을 받아와 체크한 후 자동으로 종료되는 업데이트 기능을 수행합니다.

 

stickads.ini 파일의 구성 정보를 확인해보면 실행(Counter), 버전(Version), 파일(windowstatus.exe) 등에 대한 체크를 하는 것을 확인할 수 있습니다.

 

2. windowstatus.exe 파일 기능

Windows 시작시 "C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\Applications\windowstatus.exe" 파일을 시작 프로그램으로 등록하여 자동 실행되며, 파일 내부에 압축되어 있는 Searcher.exe 파일을 압축 해제하여 다음의 위치에 생성하니다.

 

  • C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\IXP001.TMP
  • C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\IXP001.TMP\Searcher.exe

임시 폴더(IXP001.TMP)에 생성된 Searcher.exe 파일은 특정 서버에서 검색 관련 행위를 위한 체크를 한 후, 네이버(Naver) 검색 엔진에 특정 검색 키워드를 이용하여 검색 행위를 백그라운드 방식으로 진행합니다.

해당 동작에 대한 프로세스 정보를 우선 살펴보면 시작 프로그램으로 등록된 windowstatus.exe 파일이 압축 해제한 Searcher.exe 파일이 실행되어 화면상에는 노출되지 않는 iexplore.exe 프로세스(Internet Explorer 웹 브라우저)를 실행하여 다음과 같은 검색 활동을 진행합니다.

해당 검색 활동은 시스템 시작시마다 반복적으로 진행이 되며, 다양한 검색 키워드 활동이 확인되고 있습니다.

대표적인 검색 키워드 사례로 "마구더리얼", "어이없네"와 같은 키워드는 최근에 홍보가 이루어지고 있다는 점에서 광고 프로그램을 통해 기계적인 검색어 상승을 노리는 행위로 추정됩니다.

 

해당 검색 활동이 완료되면 자동으로 생성되었던 "C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\IXP001.TMP\Searcher.exe" 파일과 해당 폴더는 자가 삭제 처리가 이루어집니다.

사용자가 프로그램에서 제공하는 삭제 기능을 이용하여 프로그램을 삭제할 경우를 확인해보면 제어판에 등록된 "Stickads Remove" 삭제 항목을 이용하여 삭제할 수 있는 것처럼 구성되어 있습니다.

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\Stickads
 - (기본값) =
 - DisplayName = Stickads Remove
 - UnInstallString = C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\Stickads\stickads -D

하지만 등록된 삭제 기능에서는 "C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\Applications" 폴더와 내부 파일(windowstatus.exe)만을 삭제 처리합니다.

이로 인하여 StickADs 프로그램을 삭제한 이후에도 시작 프로그램(Run) 레지스트리 값에는 여전히 "windowstatus" 항목이 등록되어 있으며, 삭제되지 않은 "C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\Applications\windowstatus.exe" 파일은 시스템 시작시마다 자동 실행되어 "C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\IXP001.TMP\Searcher.exe" 파일 생성을 통해 네이버 검색 행위를 진행합니다.

 

그러므로 StickADs 프로그램의 깨끗한 삭제를 위해서는 제어판에 등록된 "Stickads Remove" 삭제 항목을 통한 프로그램 삭제 이후에도 다음의 폴더(파일) 및 레지스트리 값을 찾아 수동으로 삭제하시기 바랍니다.

 

  • C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\Applications
  • C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\Applications\windowstatus.exe
  • C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\IXP000.TMP\stickads.exe
[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - stickads = C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\Stickads\stickads.exe
 - windowstatus = C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\Applications\windowstatus.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\Stickads
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
 - wextract_cleanup0 = rundll32.exe C:\WINDOWS\system32\advpack.dll,DelNodeRunDLL32 "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\IXP001.TMP\"

 

StickADs 프로그램이 설치된 환경에서는 외형적으로 광고 행위가 노출되지 않지만, 시스템 시작시마다 Searcher.exe 파일을 임시로 생성하여 네이버(Naver) 검색 엔진이 상업적 목적으로 검색어 노출을 위한 동작이 이루어지며 자가 삭제되는 방식을 취하고 있습니다.

 

이로 인해 실제 사용자들이 직접 입력한 검색어가 아닌 기계적으로 조작된 검색어가 상위에 노출될 가능성이 존재하리라 판단되므로 주의하시기 바랍니다.