본문 바로가기

벌새::Analysis

제휴(스폰서) 프로그램 : Window SoftwareUpdate

반응형

시스템 시작시 "소프트웨어 업데이트(Software-Update)" 창을 생성하여 사용자의 부주의한 동의를 얻어 다수의 수익성 프로그램을 설치할 목적으로 배포되고 있는 "Window SoftwareUpdate" 프로그램에 대해 살펴보도록 하겠습니다.

 

해당 프로그램의 설치 파일(MD5 : 7525c86c8f9e4ffc49e6a3340ec28aed)에 대하여 AhnLab V3 보안 제품에서는 Win-PUP/Helper.SoftwareUpdate.127000 (VT : 17/47) 진단명으로 진단되고 있습니다.

 

  <2011년~2012년 관련 정보> <Right Security Blog> 제휴(스폰서) 프로그램 : 인터넷 시스템(Internet System) (2012.2.12) 외 4종

 

  제휴(스폰서) 프로그램 : 마이크로서비스(Microservice) (2013.3.7)

 

  제휴(스폰서) 프로그램 : 업데이트 서비스(Update Service) (2013.3.27)

 

  제휴(스폰서) 프로그램 : Window System Service (2013.6.5)

 

  제휴(스폰서) 프로그램 : Window System Update (2013.6.6)

 

  제휴(스폰서) 프로그램 : Window Smart Update (2013.6.10)

 

  제휴(스폰서) 프로그램 : Window Live Service (2013.6.10)

 

업데이트 창 생성을 통한 수익성 프로그램 배포 목적으로 제작된 유사성이 강한 프로그램들이 다수 존재하므로 참고하시기 바랍니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Program Files\softwareupdate
C:\Program Files\softwareupdate\softwareupdate.exe :: 업데이트 창 생성 파일
C:\Program Files\softwareupdate\uninst_softwareupdate.exe :: 프로그램 삭제 파일
C:\WINDOWS\system32\softwareupdate-se.exe :: 서비스(softwareupdateservice) 등록 파일
C:\WINDOWS\system32\softwareupdateu.exe

 

[생성 파일 진단 정보]

 

C:\Program Files\softwareupdate\softwareupdate.exe
 - MD5 : 8f3237d2c87f0f35eacbd11b03f47af3
 - AhnLab V3 : Win-PUP/Helper.SoftwareUpdate.120328 (VT : 11/47)

 

C:\WINDOWS\system32\softwareupdateu.exe
 - MD5 : dec23db682c6439c95142e6239a586c2
 - AhnLab V3 : Trojan/Win32.ADH (VT : 31/47)

해당 프로그램은 "C:\Program Files\softwareupdate" 폴더와 시스템 폴더(C:\WINDOWS\system32)에 관련 파일을 생성하며, 시스템 시작시마다 다음과 같은 동작을 수행합니다.

"softwareupdateservice(softwareupdate service)" 서비스 항목을 등록하여 시스템 시작시 "C:\WINDOWS\system32\softwareupdate-se.exe" 파일을 자동 실행하며, 실행된 파일은 "C:\WINDOWS\system32\softwareupdateu.exe" 파일을 로딩하도록 구성되어 있습니다.

이를 통해 프로그램 버전 체크 및 제휴(스폰서) 프로그램이 등록되어 있는지 확인을 하며, 추가된 파일이 존재할 경우 "소프트웨어 업데이트(Software-Update)" 창을 생성하여 설치를 유도할 것으로 추정됩니다.

예상되는 업데이트 창에서는 "설치 구성요소 선택" 영역의 스크롤 바를 내릴 경우 숨어있는 다수의 제휴 프로그램들이 체크된 상태로 되어 있으며, 사용자가 제대로 확인하지 않고 "확인" 버튼을 클릭하거나 업데이트 창을 종료시 버튼 선택을 잘못할 경우 다수의 수익성 프로그램들이 백그라운드 방식으로 설치될 수 있습니다.

프로그램 삭제는 제어판에 등록된 "window softwareupdate" 삭제 항목을 이용하여 삭제할 수 있지만, 프로그램 삭제 이후에도 삭제되지 않는 서비스와 파일로 인하여 다음과 같은 문제가 유발될 수 있습니다.

제어판을 통한 프로그램 삭제 이후에도 등록된 "softwareupdateservice(softwareupdate service)" 서비스 항목과 관련 파일이 그대로 유지되어, 시스템 시작시 "C:\WINDOWS\system32\softwareupdate-se.exe""C:\WINDOWS\system32\softwareupdateu.exe" 파일이 자동으로 실행됩니다.

이를 통해 다음(Daum) 서버에 쿼리 전송을 통한 네트워크 연결 체크와 특정 서버에서 제휴 프로그램 정보를 체크하는 동작이 정상적으로 이루어질 수 있으며, 만약 등록된 제휴 프로그램이 존재할 경우 자동 다운로드가 이루어질 가능성이 존재합니다.

 

그러므로 제어판을 통해 "Window SoftwareUpdate" 프로그램을 삭제한 후에는 추가적으로 다음과 같은 절차에 따라 삭제를 진행하시기 바랍니다.

 

(1) 실행창에 [sc delete "softwareupdateservice"] 명령어를 입력 및 실행하여 서비스를 삭제하시기 바랍니다.

 

(2) 다음의 파일을 찾아 삭제하시기 바라며, 레지스트리 편집기(regedit)를 실행하여 생성된 값이 존재할 경우 삭제하시기 바랍니다.

 

  • C:\WINDOWS\system32\softwareupdate-se.exe
  • C:\WINDOWS\system32\softwareupdateu.exe
[생성 레지스트리 등록 정보]

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\softwareupdate
HKEY_LOCAL_MACHINE\SOFTWARE\softwareupdate
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SOFTWAREUPDATESERVICE
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\softwareupdateservice

 

"Window SoftwareUpdate" 프로그램은 특정 시점에서 시스템 시작시 업데이트 창을 통해 원치 않는 다수의 수익성 프로그램의 설치를 유도하며, 프로그램 삭제 이후에도 핵심적인 기능이 여전히 동작하는 문제가 있으므로 주의하시기 바랍니다.

728x90
반응형
  • 비밀댓글입니다

    • 안녕하세요.

      우선 말씀처럼 해당 스크립트가 티스토리쪽에 임의로 추가가 되었다면 컴터맨님 이외에도 유사한 일이 많이 발생하였을 것으로 보입니다.

      그러므로 지금까지는 위와 관련된 부분에 대한 이슈를 보지 못하여 외부에서 티스토리쪽의 취약점을 이용한 SQL Injection과 같은 공격은 아닐 것이라 생각됩니다.

      우선적으로 본인이 해당 코드를 추가한 것은 아닌게 분명하시니, 티스토리의 기본 정보에 보시면 로그인 정보를 통해 외부 접속 흔적이 있는지 체크해 보시기 바랍니다.

      만약 계정 정보 노출을 통한 코드 추가가 아닌 경우에는 다음측에 이 부분에 대해 정밀 검토를 분명하게 요청해 보시기 바랍니다.

      알려지신 코드를 봐서는 극히 정상적인 코드는 아닌 것 같고, 현재 다운로드가 되지 않는 것으로 보아 한국무역협회쪽 서버에 등록된 스크립트가 제거된 것으로 보입니다.

      해당 스크립트에 대해서는 개인적으로 알아보도록 하겠으며, 차후 공개 가치가 있는 정보가 있으면 블로그를 통해 공개하도록 하겠습니다.

      감사합니다.

    • 2013.06.11 20:04 댓글주소 수정/삭제

      비밀댓글입니다

    • 2013.06.11 20:05 댓글주소 수정/삭제

      비밀댓글입니다

    • 2013.06.11 20:10 댓글주소 수정/삭제

      비밀댓글입니다

    • 추가적인 확인을 해봐서는 해당 스크립트 URL 정보에서는 과거 또는 현재는 악의적으로 사용된 이력은 없는 것 같습니다.

      또한 알려주신 소스에서도 해당 스크립트를 통해서는 어떤 시스템 감염을 위한 동작은 없습니다.

      특히 payload.js 부분은 구글 애드센스와 연관된 부분으로 추정되며, worm.js 부분은 특정 조건에 대한 변수로 보입니다.

      이런 부분을 고려한다면 사용자가 기존에 넣은 소스가 정말 수정된 것인지는 확실하지 않지만, 원래 티스토리에서 제공하는 소스에서 사용자가 추가적인 플러그인 또는 외부 서비스를 입력하는 과정에서 이미 포함되어 있었던 것으로 보입니다. 단, 외부 로그인 행위가 없다는 가정하에!

      그러다가 어떤 이유로 인해 해당 스크립트가 오해의 소지가 되지 않았나도 싶습니다.

      앞서 언급한 것처럼 전체 티스토리 사용자 또는 일부 문제였다면 말이 나왔을 법한 부분이지만, 그런 것도 아니고 스크립트 자체도 파일명은 의심되지만 실제 소스는 그렇지 않기에 일시적인 충돌 등의 알 수 없는 원인 같습니다.

      그러므로 현재 할 수 있는 방법은 사용자가 추가한 소스를 재확인하여 수정하시고, 티스토리 계정 비밀번호를 교체하는 것 외에는 없을 것으로 보입니다.

      감사합니다. 좋은 밤 되세요.

    • 답변 감사합니다.
      일단 로그인 기록을 꼼꼼히 확인해봤는데, 외부인의 침입으로 보이는 접속 기록은 없는 상황이었습니다.

      해당 코드에 별 문제 징후가 없다고 말씀해주시니 가슴을 쓸어내리게 됩니다.

      다만, 제 Google analytics UA와는 전혀 관련없는 'UA-30633223-1'라는 UA가 제 블로그에 삽입되었다는 점, 그 코드가 antispam이란 서브도메인을 달고 무역협회 URL로 그 코드가 올라와 있는 상황에 여전히 의문이 남습니다.

      거기에 제 블로그 HTML 소스코드가 엔터가 사라지는 최적화(?)가 강제로 이루어졌고 애드센스 코드의 일부도 바뀌면서 화면에 표시되지 않는 문제가 발생한 것인데요, 이런 일련의 상황이 그야말로 우연히 겹쳐 발생한 것일까...싶어 찜찜합니다.

      참고로, 애드센스 코드가 바뀌었다는 것은 원래 코드가 이랬는데,
      <script type="text/javascript"
      src="http://pagead2.googlesyndication.com/pagead/show_ads.js"></script>

      엔터가 모두 사라지는 일련의 작업후에는
      <script src="http://pagead2.googlesyndication.com/pagead/show_ads.js" type="text/javascript"> </script>
      로 바뀌면서 애드센스가 표시되지 않는 상황이었습니다. 핀번호 등이 바뀐 것은 아니고 텍스트 형식이 일부 바뀌면서 문제가 발생했네요.

      비밀번호 유출이 아닌 상황에서 해당 코드가 추가되었다면(티스토리 측도 해당 소스가 플러그 인 등으로 사용된적이 없다고 하고 저 역시 직접 추가한 적이 없고, 로그인 흔적도 없어 자꾸 외부에서 추가된 쪽을 의심하게 되는군요) 티스토리 사용자 DB 중 일부가 해킹이 되었고, 해당 코드가 삽입되는 과정에서 엔터가 제거되는 일련의 작업이 진행되었다는 시나리오는, 너무 과민 반응일까요?

      해당 코드가 별 문제 없다는, 벌새님의 말씀에 안심하면서도 별다른 문제가 없던 블로그에 갑자기 복합적인 문제를 한꺼번에 겪고보니 상상의 나래를 펼치게 되는군요^^;;

      도움주셔서 감사합니다. 즐거운 하루되셨으면 합니다^^

    • 2013.06.12 09:46 댓글주소 수정/삭제

      비밀댓글입니다

    • 필터링 처리된 댓글은 다시 복원했습니다. 죄송합니다.

  • 감사합니다. 막연하게 소프트웨어 업데이트라고만 뜨길래 수상해서 보니 역시나... 게다가 제어판에서 지워도 시늉만 하고 그대로 남는군요. 이 악랄한놈들 같으니. 가족들이 설치한듯한데 이런 프로그램은 대체 어떤 경로로 설치되는 걸까요?

    • 이런 프로그램도 저런 또다른 유사한 프로그램이나 블로그 첨부 파일 등을 통해 설치됩니다.

      엄밀하게 말해서 사용자의 부주의한 실수를 통해 설치되게 하는 것 같습니다.

      그렇게 당하는 사람들이 수백만이라는게 함정이죠.ㅠㅠ

  • Versa 2013.11.16 15:46 댓글주소 수정/삭제 댓글쓰기

    sc delete
    명령어로 서비스 삭제가 안되는데 어떻게 해야될까요?ㅠㅠ

    • 이 글은 Windows XP 운영 체제 기준이며 Windows 7에서는 보조 프로그램의 명령 프롬프트를 관리자 권한으로 실행하여 해당 명령어를 통해 서비스를 삭제할 수 있습니다.

  • Thank you 2013.12.28 02:00 댓글주소 수정/삭제 댓글쓰기

    제휴 프로그램 때문에 정말 고생했는데 이렇게 유익한 정보 공유해 주셔서 감사합니다.