울지않는벌새 : Security, Movie & Society

국내 악성코드 : RealWeb

벌새::Analysis

사용자의 부주의한 동의를 얻어 설치된 후 추가적인 다운로드 및 수익 추구 행위를 할 것으로 추정되는 RealWeb 프로그램에 대해 살펴보도록 하겠습니다.

  • 2013년 1월 28일 (MD5 : bc96e3d3c4ff58b7a08891329f7c40e6) - Hauri ViRobot : Adware.Agent.425984.B (VirusTotal : 16/46)
  • 2013년 3월 22일 (MD5 : e93c023655205f59447fa304372cf86c) - AhnLab V3 : PUP/Win32.RealWeb (VirusTotal : 3/46)

RealWeb 프로그램명으로 배포가 이루어진 횟수는 최소 2~3 차례로 추정되고 있으며, 이 글에서는 최근 배포된 파일을 통해 확인하였습니다.

현재 배포가 이루어지고 있는 설치 파일(realset.exe)에는 디지털 서명 및 서비스 제공 웹 사이트(업체)를 확인할 수 없습니다.

파일이 실행되면 홍콩(HongKong)에 위치한 "gdeet88.pnsweb.net" 서버로 사용자 Mac Address 값 등을 기반으로 한 설치 카운터를 체크하는 부분을 확인할 수 있습니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Program Files\RealWeb
C:\Program Files\RealWeb\axis.exe :: 메모리 상주 프로세스
C:\Program Files\RealWeb\skcu.exe :: 시작 프로그램 등록 파일
C:\Program Files\RealWeb\Temp
C:\Program Files\RealWeb\UnInstall.exe :: 프로그램 삭제 파일

 

프로그램이 설치되면 "C:\Program Files\RealWeb" 폴더에 파일을 생성하며, Windows 시작시 skcu.exe 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.

자동 실행된 skcu.exe 파일은 실행 후 1분이 경과하는 시점에서 해당 서버로부터 추가적인 업데이트를 진행하여 다음과 같은 파일을 생성합니다.

 

[추가 생성 파일 등록 정보]

 

C:\Program Files\RealWeb\axa.dll
C:\Program Files\RealWeb\axb.dll

C:\Program Files\RealWeb\Temp

 

이렇게 생성된 RealWeb 프로그램은 시스템 시작시마다 다음과 같은 동작을 진행합니다.

 

1. C:\Program Files\RealWeb\skcu.exe (시작 프로그램)

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\
Advanced
 - Hidden = 2

시작 프로그램으로 자동 실행된 skcu.exe 파일은 폴더 옵션의 "숨김 파일 및 폴더" 설정값을 매번 "숨김 파일 및 폴더 표시 안 함"(기본값)으로 변경을 시도합니다.

 

이는 차후 사용자 몰래 다운로드 및 설치가 이루어지는 프로그램의 속성을 숨김(H) 값으로 지정하여 사용자가 확인하지 못하도록 하기 위함입니다.

 

또한 skcu.exe 파일은 홍콩(HongKong)에 위치한 서버로부터 업데이트 체크를 통해 추가적인 프로그램을 다운로드할 수 있는 기능을 가지고 있습니다.

 

2. C:\Program Files\RealWeb\axis.exe

시작 프로그램으로 등록되어 자동 실행된 skcu.exe 프로세스는 30초가 경과하는 시점에서 axis.exe 파일을 로딩하며 자신은 종료합니다.

실행된 axis.exe 파일은 홍콩(HongKong)에 위치한 "gdeet88.pnsweb.net(183.90.188.37)" 서버로부터 특정 설정값을 체크하며, 그 후 2분이 경과하면 "list_search_word12.asp" 값을 체크하며 통신을 종료합니다.

메모리에 상주하는 axis.exe 파일은 국내 포털 사이트를 통해 인터넷 검색시 광고 행위를 할 것으로 추정되며, 테스트 시점에서는 외형적인 다운로드 및 광고 행위는 발견되지 않고 있습니다.

 

3. 프로그램 삭제 방법

RealWeb 프로그램은 제어판에 등록된 "RealWeb" 삭제 항목을 통해 정상적으로 삭제를 지원하는 것처럼 구성되어 있지만, 해당 삭제 기능은 실제 프로그램 삭제를 지원하지 않고 있습니다.

 

그러므로 다음과 같은 절차에 따라 프로그램의 삭제를 수동으로 진행하시기 바랍니다.

 

(1) Windows 작업 관리자를 실행하여 axis.exe 프로세스를 찾아 수동으로 종료하시기 바랍니다.

 

(2) Windows 탐색기를 실행하여 "C:\Program Files\RealWeb" 폴더 및 내부 파일을 모두 삭제하시기 바랍니다.

 

(3) 레지스트리 편집기(regedit)를 실행하여 다음의 레지스트리 값을 찾아 삭제하시기 바랍니다.

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - RealWeb = "C:\Program Files\RealWeb\skcu.exe" -a
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\RealWeb
HKEY_CURRENT_USER\Software\RealWeb

 

추가적으로 해당 프로그램은 또 다른 프로그램을 설치할 수 있으므로 국내외 유명 보안 제품을 이용하여 정밀 검사를 해보시길 권장합니다.

 

  국내 악성코드 : wfindsearchc 1.00 (2011.7.21)

 

  AMD 파일로 위장한 국내 악성코드 유포 주의 (2012.3.21)

 

  NVIDIA 파일로 위장한 국내 악성코드 유포 주의 (2012.3.29)

 

  Microsoft Windows 데이타 Manager 파일로 위장한 악성코드 유포 주의 (2012.5.4)

 

  Safe Search 광고 프로그램으로 위장한 CB Optimization 프로그램 주의 (2012.8.20)

 

  Smart Bar 프로그램을 이용한 WTL75 프로그램 유포 주의 (2012.10.7)

 

  이니텍(INITECH) 프로그램으로 위장한 IniCert 프로그램 유포 주의 (2012.12.28)

 

  국내 악성코드 : InICD (2013.1.18)

 

또한 오래 전부터 해외 서버를 이용하여 다양한 프로그램 이름으로 배포가 이루어지고 있었으므로, 위와 같이 신뢰할 수 없는 프로그램이 설치되지 않도록 각별히 주의하시기 바랍니다.