울지않는벌새 : Security, Movie & Society

제휴(스폰서) 프로그램 : Window Fortune

벌새::Analysis

"별자리 사주팔자 프로그램"을 이용하여 시스템 시작시 마이크로소프트(Microsoft)사의 윈도우 업데이트(Windows Update)와 유사한 창을 생성하여 추가적인 수익성 프로그램의 설치를 유도하는 "Window Fortune" 프로그램(MD5 : 595a93bdce8f82d5bc45e4f8634644ac)에 대해 살펴보도록 하겠습니다.

 

  제휴(스폰서) 프로그램 : Window Alarm (2012.12.14)

 

  제휴(스폰서) 프로그램 : Window SysCheck (2012.12.18)

 

해당 프로그램과 동일한 방식으로 추가적인 수익성 프로그램의 설치를 유도하던 다양한 프로그램들이 존재하였으므로 참고하시기 바랍니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Program Files\Window Fortune
C:\Program Files\Window Fortune\excel_new.jpg
C:\Program Files\Window Fortune\exit.jpg
C:\Program Files\Window Fortune\print_cmd.jpg
C:\Program Files\Window Fortune\star_back.jpg
C:\Program Files\Window Fortune\star_cmd.jpg
C:\Program Files\Window Fortune\Starcode.mdb
C:\Program Files\Window Fortune\Uninstall.exe :: 프로그램 삭제 파일
C:\Program Files\Window Fortune\wfortune.exe :: 별자리 사주팔자 프로그램 실행 파일
C:\Program Files\Window Fortune\WinForTuneUp.exe :: 시작 프로그램 등록 파일
C:\Program Files\Window Fortune\게자리.jpg
C:\Program Files\Window Fortune\물고기자리.jpg
C:\Program Files\Window Fortune\물병자리.jpg
C:\Program Files\Window Fortune\사수자리.jpg
C:\Program Files\Window Fortune\사자자리.jpg
C:\Program Files\Window Fortune\쌍동이자리.jpg
C:\Program Files\Window Fortune\양자리.jpg
C:\Program Files\Window Fortune\염소자리.jpg
C:\Program Files\Window Fortune\전갈자리.jpg
C:\Program Files\Window Fortune\처녀자리.jpg
C:\Program Files\Window Fortune\천칭자리.jpg
C:\Program Files\Window Fortune\황소자리.jpg
C:\WINDOWS\system32\VB5DB.DLL
C:\WINDOWS\system32\VB6KO.DLL

해당 프로그램은 "C:\Program Files\Window Fortune" 폴더에 파일을 생성하지만, 프로그램 실행을 위한 바로가기 아이콘을 생성하지 않아 사용자는 설치 여부를 제대로 확인할 수 없습니다.

프로그램 배포시에는 "윈도우 별점운세"로 등록되어 있으며, 사용자가 "C:\Program Files\Window Fortune\wfortune.exe" 파일을 찾아서 직접 실행한 경우에만 "별자리 사주팔자 프로그램(별자리 운세, 혈액형 운세)"이 실행되는 것을 확인할 수 있습니다.

 

그렇다면 "Window Fortune" 프로그램의 숨겨진 배포 목적에 대해 살펴보도록 하겠습니다.

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - wfortune = "C:\Program Files\Window Fortune\WinForTuneUp.exe" /Set

"Window Fortune" 프로그램이 최초 설치되면 WinForTuneUp.exe 파일을 시작 프로그램(wfortune)으로 등록하여 시스템 시작시 자동 실행되도록 구성되어 있습니다.

자동 실행된 WinForTuneUp.exe 파일은 특정 서버에서 wfortune_20120501.exe (MD5 : cf63807cd7b9ebd81df34c994a4dcc23) 파일을 다운로드하여 다음과 같은 파일을 추가 생성합니다.

 

[추가 생성 파일 등록 정보]

 

C:\Program Files\Window Fortune\cli.dat
C:\Program Files\Window Fortune\gdata.ini
C:\Program Files\Window Fortune\update.exe :: 시작 프로그램 등록 파일

추가로 생성된 파일 중 update.exe 파일은 마이크로소프트(Microsoft)사의 윈도우 업데이트(Windows Update) 파일과 비슷한 아이콘을 가지고 있는 것이 특징입니다.

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - wfortune = "C:\Program Files\Window Fortune\update.exe" /up

이를 통해 기존의 시작 프로그램(wfortune) 등록값이 "WinForTuneUp.exe → update.exe" 파일로 변경이 이루어집니다.

이렇게 설치된 환경에서 또 다시 시스템 재부팅 동작 중 시작 프로그램으로 등록된 update.exe 파일은 특정 서버에서 버전 체크 및 추가적인 수익성 프로그램 정보를 확인하여 다음과 같은 "자동 업데이트" 창을 생성합니다.

해당 "자동 업데이트" 창은 Windows XP 운영 체제의 윈도우 업데이트(Windows Update)와 유사하게 제작되어 있어 일부 사용자들은 착각할 수 있습니다.

 

1. 빠른 설치(권장)

"빠른 설치" 단계로 진행하면 "로또 프로그램을 업데이트 할 준비가 되었습니다."라는 허위 정보를 표시하고 있습니다.(※ "업데이트 및 추가 구성 요소 확인" 문구를 클릭할 경우 설치되는 수익성 프로그램 목록을 확인할 수 있습니다.)

 

2. 사용자 정의 설치(고급)

"사용자 정의 설치" 단계에서는 추가로 설치되는 수익성 프로그램 목록을 제시하고 있으며, 테스트 시점에서 설치될 수 있는 프로그램은 다음과 같습니다.

 

(1) 검색 도우미 : WinPro (2012.3.21)

  • h**p://down.****tune.co.kr/download/winproeasyfile/winproeasyfile2010.exe (MD5 : a86ea144a4d03d92c7635d65b7219db9) - avast! : Win32:Nieguide-H [PUP] (VirusTotal : 27/46)

(2) 악성코드 제거 프로그램 : 백신스타(VaccineStar) (2012.11.4)

  • h**p://down.***arm.co.kr/download/vaccinestar/VaccineStar_cnc_win.exe (MD5 : 8e701fc8f75d613c72858779764da6f6) - avast! : Win32:FakeAV-EJO [PUP] (VirusTotal : 32/46)

(3) 개인정보 보안 솔루션 : 헬프인포(HelpInfo) (2013.2.28)

  • h**p://down.****tune.co.kr/download/helpinfo/HelpInfo_cnc_win.exe (MD5 : ae2bf05f8c5ba8149a5c404ae118d60c) - avast! : Win32:Adware-AKL [PUP] (VirusTotal : 26/46)

(4) 검색 도우미 : Windows Everlive (2012.11.27)

  • h**p://down.***arm.co.kr/download/winever/winver2010.exe (MD5 : 5205816a750cb86b88614ea22faa75b3)

위와 같은 몇 단계에 걸친 방식으로 시스템 시작시 자동으로 노출되는 업데이트 창으로 인해 사용자는 어떤 프로그램을 통해 생성되었는지 알 수 없으며, 자칫 윈도우(Windows) 관련 업데이트로 착각하여 원치 않는 프로그램들을 설치할 수 있습니다.

프로그램 삭제는 제어판에 등록된 "Window Fortune" 삭제 항목을 이용하여 삭제할 수 있습니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - wfortune = "C:\Program Files\Window Fortune\update.exe" /up
HKEY_CURRENT_USER\Software\wfortune
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
wfortune

 

수익성 프로그램을 설치하게 하기 위하여 위와 같은 사람들에게 호기심을 자극하는 정상적인 프로그램을 설치하게 한 후, 시스템 시작 또는 프로그램 동작 중 업데이트 창을 생성하여 설치를 유도하는 경우가 있으므로 매우 주의하시기 바랍니다.