본문 바로가기

벌새::Analysis

제휴(스폰서) 프로그램 : 마이크로서비스(Microservice)

반응형

시스템 시작시 업데이트 창을 생성하여 추가적인 수익성 프로그램의 설치를 유도할 것으로 추정되는 "마이크로서비스(Microservice)" 프로그램에 대해 살펴보도록 하겠습니다.

 

해당 프로그램의 설치 파일(MD5 : 9b4b030972a1abbc37484f9e29fa72ee)에 대하여 BitDefender 보안 제품에서는 Gen:Variant.Symmi.5744 (VirusTotal : 13/46) 진단명으로 진단되고 있습니다.

 

  제휴(스폰서) 프로그램 : 마이크로팝(MicroPop) (2011.4.20)

 

  <Right Security Blog> 제휴(스폰서) 프로그램 : 시스템뷰(SystemView) (2012.2.3)

 

  <Right Security Blog> 제휴(스폰서) 프로그램 : 인터넷 서비스(Internet Service) (2012.2.4)

 

  <Right Security Blog> 제휴(스폰서) 프로그램 : 인터넷 시스템(Internet System) (2012.2.12)

 

또한 불특정 시간대에 업데이트 창을 생성하여 수익성 프로그램의 설치를 유도하는 유사성이 강한 프로그램이 있으므로 참고하시기 바랍니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Program Files\microservice
C:\Program Files\microservice\microservice-se.exe :: 서비스(microserviceservice) 등록 파일
C:\Program Files\microservice\microservice.exe
C:\Program Files\microservice\microserviceu.exe
C:\Program Files\microservice\uninst_microservice.exe :: 프로그램 삭제 파일

 

[생성 파일 진단 정보]

 

C:\Program Files\microservice\microserviceu.exe
 - MD5 : daa3f538ef83721518f23f5270e5c16e
 - Kaspersky : HEUR:Trojan-FakeAV.Win32.Onescan.gen (VirusTotal : 12/46)

해당 프로그램은 "C:\Program Files\microservice" 폴더에 파일을 생성하며, 시스템 시작시마다 다음과 같은 동작만을 하도록 제작되어 있습니다.

시스템 시작시 "microserviceservice(microservice service)" 서비스 항목으로 등록된 "C:\Program Files\microservice\microservice-se.exe" 파일을 자동 실행하여 microserviceu.exe 파일을 로딩하도록 제작되어 있습니다.

이를 통해 ① 다음(Daum) 서버에 쿼리 전송 ② 마이크로서비스(Microservice) 프로그램 버전 체크 ③ 추가적인 번들(Bundle) 프로그램 체크를 진행합니다.

만약 이 과정에서 추가적으로 등록된 수익성 프로그램이 존재할 경우 microservice.exe 프로세스를 통해 업데이트 창이 생성되어, 프로그램 업데이트 및 제휴 프로그램 설치를 유도할 것으로 추정됩니다.

 

또한 등록된 수익성 프로그램이 존재하지 않을 경우에는 업데이트 창 생성 동작은 노출되지 않으며, microservice.exe 프로세스는 실행 후 1분이 경과하는 시점에서 자동 종료됩니다.

프로그램 삭제는 제어판에 등록된 "Microservice" 삭제 항목을 이용하여 삭제할 수 있습니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_LOCAL_MACHINE\SOFTWARE\microservice
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer
 - microservice_util = 1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Application Compatibility
 - mcsrc = (6자리 숫자)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\microservice
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MICROSERVICESERVICE
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\microserviceservice

 

해당 프로그램은 마이크로소프트(Microsoft) 관련 프로그램으로 오해할 수 있으며, 프로그램 기능은 업데이트 창에 숨어있는 추가적인 제휴 프로그램 배포 통로로 이용되므로 원치 않는 프로그램이 설치되지 않도록 주의하시기 바랍니다.

728x90
반응형