추가적인 다운로드 및 특정 검색 키워드를 백그라운드 방식을 이용하여 포털 사이트 게시글의 검색 순위를 조작하는 것으로 추정되는 IniCD 프로그램에 대해 살펴보도록 하겠습니다.
해당 프로그램의 설치 파일(MD5 : 203546aada31aba51e9f11165a6b305b)에 대하여 AhnLab V3 보안 제품에서는 Adware/Win32.KorAd (VT : 5/46) 진단명으로 진단되고 있습니다.
▶ <2011년~2012년 관련 정보> 이니텍(INITECH) 프로그램으로 위장한 IniCert 프로그램 유포 주의 (2012.12.28) 외 6종
▷ 국내 악성코드 : RealWeb (2013.3.24)
위와 유사성이 강한 다수의 프로그램들이 2011년경부터 지속적으로 발견되고 있으므로 참고하시기 바랍니다.
이번에 확인된 파일은 2013년 1월경에 소개한 InICD 악성 프로그램(1.5.3.1 버전)의 업데이트 버전(1.5.3.2 버전)으로 보이며, 2013년 4월 중순경 배포가 이루어진 것으로 확인되고 있습니다.
프로그램 설치 과정에서는 사용자 Mac Address 값을 기반으로 홍콩(HongKong)에 위치한 서버(tyty9553.pnsweb.net)에 설치 정보를 전송합니다.
C:\Program Files\ENICD
C:\Program Files\ENICD\32pgu.exe :: 시작 프로그램 등록 파일
C:\Program Files\ENICD\rtv.exe :: 메모리 상주 프로세스
C:\Program Files\ENICD\UnInstall.exe :: 프로그램 삭제 파일
C:\Program Files\ENICD\32pgu.exe
- MD5 : 847824875f8308c8c4cee9767f74dc79
- nProtect : Trojan/W32.Agent.294912.AEI (VT : 5/47)
C:\Program Files\ENICD\rtv.exe
- MD5 : 6da04e9092a031b0ffaf7b040aa24aa8
- AhnLab V3 : Win-Adware/KorAd.245760.C (VT : 3/47)
해당 프로그램은 "C:\Program Files\ENICD" 폴더에 파일을 생성하며, Windows 시작시 ["C:\Program Files\ENICD\32pgu.exe" -a] 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.
자동 실행된 32pgu.exe 파일은 해외 서버에서 추가적인 업데이트를 통해 다음과 같은 파일 및 추가적인 프로그램을 설치할 수 있습니다.
- C:\Program Files\ENICD\rta.dll
- C:\Program Files\ENICD\rtb.dll
- C:\Program Files\ENICD\Temp
- C:\Program Files\RealWeb
테스트 시점에서는 추가적으로 "C:\Program Files\RealWeb" 폴더를 생성하지만, 기존에 소개한 유사한 기능을 하는 RealWeb 악성 프로그램은 정상적으로 설치되지 않고 있습니다.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\
Advanced
- Hidden = 2
또한 32pgu.exe 파일은 시스템 시작시마다 "숨김 파일 및 폴더" 항목을 "숨김 파일 및 폴더 표시 안 함(기본값)"으로 변경하여 추가적으로 다운로드되어 설치되는 숨김(H) 속성값을 가지는 악성 파일을 찾지 못하게 방해할 수 있습니다.
시작 프로그램으로 자동 실행된 32pgu.exe 파일은 실행 후 30초가 경과하면 "C:\Program Files\ENICD\rtv.exe" 파일을 로딩하며, 실행된 rtv.exe 파일은 홍콩(HongKong)에 위치한 웹 서버에서 다음과 같은 광고 구성값을 체크합니다.
등록된 검색 키워드 값(list_search_word12.asp)이 존재할 경우 일정 시간 동안 백그라운드 방식으로 포털 사이트 연결이 이루어지는 동작을 확인할 수 있습니다.
예를 들어 테스트 시점에서는 "포스온라인" 또는 "피파3" 검색 키워드 값이 등록되어 있는 부분을 확인할 수 있으며, 등록된 규칙은 "(검색 키워드 번호)#@(검색 목표치)#@(실시간 검색 카운트)"와 같은 패턴으로 추정됩니다.
이를 통해 실제 연결되는 부분을 확인해보면 네이버(Naver) 검색을 통해 특정 블로그 콘텐츠로 연결되는 것을 확인할 수 있습니다.
시각적으로 해당 동작을 살펴보면 네이버(Naver) 검색 키워드 값으로 "포스온라인"을 검색한 것처럼 조작하여 사전에 해당 온라인 게임에 대한 리뷰가 작성된 특정 네이버(Naver) 블로그로 연결이 이루어지고 있습니다.
이를 통해 해당 온라인 게임에 대한 검색 순위 상승 및 연결되는 블로그 게시글을 검색 상위에 노출시킬 수 있는 효과가 있을 것으로 판단됩니다.
해당 프로그램은 정상적인 삭제 기능을 제공하는 것처럼 사용자를 속이기 위하여 제어판에 "IniCD" 삭제 항목을 등록해 두었지만, 삭제를 진행하면 "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall
\INICD" 레지스트리 값만 삭제 처리할 뿐 프로그램은 전혀 삭제되지 않고 정상적인 동작이 이루어집니다.
그러므로 다음과 같은 절차에 따라 프로그램을 삭제하시기 바랍니다.
(1) Windows 작업 관리자를 실행하여 rtv.exe 프로세스를 찾아 수동으로 종료하시기 바랍니다.
(2) 윈도우 탐색기를 실행하여 "C:\Program Files\ENICD" 및 "C:\Program Files\RealWeb" 폴더를 찾아 수동으로 삭제하시기 바랍니다.
(3) 레지스트리 편집기(regedit)를 실행하여 다음의 값을 찾아 수동으로 삭제하시기 바랍니다.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- INICD = "C:\Program Files\ENICD\32pgu.exe" -a
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\INICD
해당 프로그램이 설치된 환경에서는 특정 시점에서 해외에 위치한 서버에서 검색 키워드 값을 받아 짧은 시간 동안 백그라운드 방식으로 포털 검색을 통한 특정 콘텐츠 연결 행위가 이루어집니다.
사용자 입장에서는 화면 상으로는 어떠한 동작도 확인되지 않고 있지만, 이런 광고 행위를 통해 상업적 목적의 검색 결과가 검색 상위에 노출되거나 검색 순위가 조작될 가능성이 존재합니다.
사이버 범죄자는 지속적으로 해외 웹 서버를 변경하여 다양한 이름의 프로그램을 배포하고 있으며, 이 과정에서 사용자의 부주의한 동의 과정을 얻고 있지만 삭제를 정상적으로 지원하지 않고 있으므로 주의하시기 바랍니다.