"오늘의 쇼핑" 광고창을 생성하던 "Windows todayx86" 프로그램의 변종으로 배포가 이루어지고 있는 "Windows ctpop" 프로그램에 대해 살펴보도록 하겠습니다.
해당 프로그램의 배포 방식은 기존과는 매우 다르게 변조된 유명 소프트웨어 설치 파일을 통해 프로그램을 설치하는 과정에서 사용자 몰래 설치가 이루어지고 있는 것으로 확인되고 있습니다.
배포처를 확인해보면 네이버(Naver) 블로그의 첨부 파일 형태로 패스트핑 4.0(FastPing 4.0) 설치 파일로 배포가 이루어지고 있습니다.
해당 첨부 파일은 2013년 1월 30일경부터 유포가 이루어졌으며, 안랩 클라우드(AhnLab Cloud) 기준으로 12,000대 정도에서 발견되고 있습니다.
다운로드된 파일을 확인해보면 패스트핑(FastPing) 프로그램의 설치 파일과 아이콘 모양은 동일하지만, 디지털 서명이 존재하지 않으며 7-Zip SFX 파일로 제작되어 있는 것을 확인할 수 있습니다.
- FastPing_Install.exe : 패스트핑(FastPing) 공식 설치 파일
- part08.exe (MD5 : 446e0ca684539231e8495f54a0748c2d) - avast! : Win32:Adware-AJV [Adw] (VirusTotal : 10/45) : Windows ctpop 프로그램
- updater.exe (MD5 : 960264558cf20241692a34ec6bc990cd) - Microsoft : Trojan:Win32/Urelas.C (VirusTotal : 13/45) : 해당 악성코드는 baduki.exe, highlow2.exe, LASPOKER.exe, poker7.exe, Baduki.exe, HOOLA3.EXE, DuelPoker.exe, FNF.exe 온라인 게임을 표적으로 한 정보 유출형 악성코드입니다.
해당 파일 내부에는 패스트핑(FastPing) 설치 파일 이외에 2종의 악성 프로그램을 설치할 목적으로 추가된 파일을 확인할 수 있습니다.(※ 이 글에서는 part08.exe 파일을 통해 설치되는 "Windows ctpop" 프로그램에 대해서만 다루도록 하겠습니다.)
사용자가 다운로드된 파일을 실행할 경우 화면상으로는 패스트핑(FastPing) 설치 화면으로 연결되며, 다음과 같은 백그라운드 방식으로 "Windows ctpop" 프로그램이 사용자 몰래 설치됩니다.
우선 설치를 위해서 "C:\NewFolder\part08.exe" 폴더와 파일을 생성한 후 "Windows ctpop" 프로그램을 설치와 함께 자신은 자가 삭제 처리가 이루어집니다.
C:\Documents and Settings\(사용자 계정)\시작 메뉴\프로그램\ctpop
C:\Program Files\ctpop
C:\Program Files\ctpop\ctpop.exe :: 메모리 상주 프로세스
C:\Program Files\ctpop\ctpopsvc.exe :: 서비스(ctwopop) 등록 파일
C:\Program Files\ctpop\uninst.exe :: 프로그램 삭제 파일
C:\WINDOWS\cdap.data
C:\Program Files\ctpop\ctpop.exe
- MD5 : c8ecdcb8dbe9885733e93a9bf1613134
- AhnLab V3 : PUP/Win32.Ctpop (VirusTotal : 8/45)
C:\Program Files\ctpop\ctpopsvc.exe
- MD5 : d00c064ac0945f7a056b88b2ff62ae08
- AhnLab V3 : Win-PUP/Helper.Ctpop.98365 (VirusTotal : 1/45)
설치된 "Windows ctpop" 프로그램은 "C:\Program Files\ctpop" 폴더에 파일을 생성합니다.
동작 방식을 살펴보면 "ctwopop(ctwopop svc)" 서비스 항목을 등록하여 시스템 시작시 "C:\Program Files\ctpop\ctpopsvc.exe" 파일을 자동으로 실행하며, 실행된 파일은 "C:\Program Files\ctpop\ctpop.exe" 파일을 로딩하도록 구성되어 있습니다.
일정 시간이 경과하면 카페24(Cafe24)에 등록된 특정 계정 서버로 설치 관련 로그를 체크한 후 메모리에 상주합니다.
이전에 소개한 "Windows todayx86" 프로그램의 경우에는 이후 "오늘의 쇼핑" 광고창 생성 등의 광고 동작이 있었지만, 현재 "Windows ctpop" 프로그램에서는 추가적인 행위는 발견되지 않고 있습니다.
하지만 ctpop.exe 파일에서는 특정 데이터 정보에 따라 컴퓨터(PC) 판매 관련 쇼핑몰을 오픈하는 팝업 광고를 목적으로 제작된 것으로 보입니다.
프로그램이 실행되면 ctpop.exe 프로세스가 메모리에 상주하며, Windows 작업 관리자의 "응용 프로그램" 탭에서는 "DB업데이트" 작업으로 표시되고 있습니다.
그러므로 프로그램 삭제시에는 ctpop.exe 프로세스를 찾아 수동으로 종료한 후 삭제를 진행하시기 바랍니다.
프로그램 삭제는 제어판의 "windows ctpop (remove only) ," 삭제 항목을 이용하여 삭제할 수 있습니다.
하지만 프로그램 삭제 후에도 서비스 관련 파일(ctpopsvc.exe) 및 레지스트리 값이 여전히 등록되어 있으므로 다음의 절차에 따라 수동으로 제거하시기 바랍니다.
(1) 실행창에 [sc delete "ctwopop"] 명령어를 입력하여 삭제되지 않은 서비스 값을 제거하시기 바랍니다.
(2) 다음의 폴더(파일), 레지스트리 값을 찾아 수동으로 삭제하시기 바랍니다.
- C:\Documents and Settings\(사용자 계정)\시작 메뉴\프로그램\ctpop
- C:\Program Files\ctpop
- C:\Program Files\ctpop\ctpopsvc.exe
- C:\WINDOWS\cdap.data
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\ctpopsvc.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\windows ctpop (remove only)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CTWOPOP
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ctwopop
위와 같이 악성 파일 유포에 광고 프로그램이 함께 포함되어 있는 경우도 발견이 되고 있으므로 인터넷 검색시 노출되는 블로그 첨부 파일 또는 링크 파일은 절대로 다운로드하여 실행하는 일이 없도록 하시기 바랍니다.