울지않는벌새 : Security, Movie & Society

보안 패치를 제공하는 "Windows Service" 광고 프로그램

벌새::Analysis

작년(2012년)부터 발견되고 있는 바탕 화면에 광고 배너 및 바로가기 아이콘을 생성하는 광고 프로그램 중 마이크로소프트(Microsoft) 관련 파일처럼 등록한 사례를 소개한 적이 있습니다.

 

  검색 도우미 : wlndow update1 (2012.11.13)

 

  검색 도우미 : Window Service (2012.11.28)

 

  검색 도우미 : Lovebanana (2013.3.12)

 

이들 프로그램은 제어판에 등록된 이름도 상당수 윈도우(Windows) 관련 프로그램처럼 되어 있으며, 최근에 추가적으로 확인된 "Windows Service" 프로그램(MD5 : 549ae8448a42dd1b4d1ce2b6e17047ce) 역시 동일한 변종 프로그램입니다.

참고로 안랩 클라우드(AhnLab Cloud) 기준으로 Windows Service 프로그램은 2013년 2월 1일경 최초 발견되었습니다.

"Windows Service" 프로그램은 "C:\Program Files\windows service" 폴더에 파일을 생성하며, 이전과 마찬가지로 실행 파일이 마이크로소프트(Microsoft) 파일로 사용자를 속이고 있습니다.

프로그램 설치를 통해 특정 FTP 서버로부터 추가적인 광고 동작에 필요한 바로가기 아이콘 및 광고 배너 정보를 받아오는 행위는 발견되지 않고 있습니다.

 

그런데 해당 프로그램들은 공통적으로 다음과 같은 동작이 특정 조건에서 발생할 수 있었던 것으로 추정됩니다.

해당 "프로그램 보안 패치" 창은 특정 조건에서 생성되어 등록된 제휴(스폰서) 프로그램을 설치할 목적이 아니었을까 싶으며, 일부 사용자의 경우 마치 윈도우(Windows) 보안 패치로 착각하거나 실수에 의해 원치 않는 추가적인 다운로드를 진행할 수 있습니다.

"프로그램 보안 패치" 창이 생성되면 특정 FTP 서버로 로그인을 하게되며, 사용자가 만약 "동의함" 버튼을 클릭할 경우 다음과 같은 FTP 서버에 등록된 특정 파일을 받아올 것으로 추정됩니다.

현재 확인된 등록된 파일은 추가적인 바로가기 아이콘 및 테스트 실행 파일(Test.exe 등)이 2012년경에 다수 등록되어 있는 것을 확인할 수 있습니다.

비록 현재는 업데이트 기능이 실행될 경우 "WDGUpdate" 오류창이 발생하여 정상적인 동작은 이루어지지 않고 있지만, 이처럼 광고 프로그램 중에서는 마이크로소프트(Microsoft) 관련 프로그램으로 사용자를 속이기 위해 파일 속성값 뿐만 아니라 마치 보안 패치를 위한 업데이트 창까지 노출시키는 사례가 있으므로 주의하시기 바랍니다.

마지막으로 이번 프로그램의 삭제를 위해서는 제어판에 등록된 "windows service" 삭제 항목을 이용하여 삭제할 수 있습니다.