본문 바로가기

벌새::Analysis

iSafePlus ver 2.0 설치시 추가되는 FGSVC32.exe 악성 파일 주의 (2013.6.30)

728x90
반응형

아이세이프플러스(iSafePlus) 유해 사이트 차단 프로그램이 설치되면서 사용자 몰래 FGSVC32(freeguService32) 악성 서비스를 추가하는 "iSafePlus ver 2.0 + FGSVC32.exe" 프로그램에 대해 살펴보도록 하겠습니다.

 

  "Internet Explorer ISafesvc" 유해 사이트 차단 프로그램을 이용한 광고 주의 (2013.6.8)

 

해당 프로그램은 기존에 소개한 "Internet Explorer ISafesvc" 프로그램의 변종이므로 참고하시기 바랍니다.

MD5 : f0828f330a6b5ea2579271a242584ef5 - nProtect : Adware/W32.KrAdword.483096 (VT : 29/47)

iSafePlus ver 2.0 프로그램의 배포 방식을 살펴보면 다양한 수익성 프로그램의 설치 목적으로 제작된 "Xecure speller Application" 프로그램(MD5 : f0828f330a6b5ea2579271a242584ef5)의 업데이트 기능을 통해 "스펠러(잠김복사) 업데이트" 창에 숨어있는 다수의 제휴(스폰서) 프로그램 중 "freegu"라는 이름으로 설치를 유도하고 있습니다.

사용자의 부주의한 동의를 얻어 설치가 진행되면 특정 서버로부터 파일을 다운로드하여 "C:\Program Files\Speller\temp\iSafePlusSetupV2.21302.exe" 파일로 생성 및 실행되며, 해당 파일(MD5 : 9a22ed8ef378ea982af42ee12a3af5a7)에 대하여 AhnLab V3 보안 제품에서는 Trojan/Win32.Agent.R72457 (VT : 21/47) 진단명으로 진단되고 있습니다.

 

이를 통해 다운로드된 해당 파일은 추가적으로 2개의 파일을 다운로드 및 실행하도록 구성되어 있습니다.

 

1. "FGSVC32(freeguService32)" 서비스 등록

다운로드된 파일은 특정 서버에서 사용자 몰래 FGSVC32.exe (MD5 : e71a83b81b702faa3e183bfc1180ca51) 파일을 다운로드하여 "C:\Program Files\freegu\FGSVC32.exe" 파일로 생성합니다.

 

참고로 해당 파일에 대하여 AhnLab V3 보안 제품에서는 Trojan/Win32.Agent (VT : 6/47) 진단명으로 진단되고 있습니다.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_FGSVC32
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\FGSVC32

생성된 파일은 "FGSVC32(freeguService32)" 서비스 항목을 등록하여 시스템 시작시 "C:\Program Files\freegu\FGSVC32.exe" 파일을 자동 실행하도록 구성되어 있습니다.(※ 서비스에 등록된 "Utility Speed Download Service" 설명을 통해 추가적인 다운로드 기능을 제공하는 것으로 추정할 수 있습니다.)

서비스에 등록된 파일(FGSVC32.exe)을 확인해보면 시스템 시작시 특정 서버에서 freeguService.dat 값을 체크하며, 등록된 추가적인 파일을 백그라운드 방식으로 사용자 몰래 다운로드 및 실행할 가능성이 존재합니다.

 

테스트 시점에서는 등록된 파일이 정상적으로 다운로드가 이루어지지 않고 있지만, 서버에 추가되어 있는 파일(MD5 : 38dc6971458710fff55f33e66ea4eea5 - Avira : TR/ATRAPS.Gen (VT : 4/46))은 다음과 같은 기능을 수행할 수 있습니다.

서버에 등록된 파일(MD5 : 38dc6971458710fff55f33e66ea4eea5)은 특정 서버에서 업데이트 정보를 체크하여 등록된 프로그램 파일이 존재할 경우 다운로드되어 실행될 수 있으며, 현재는 테스트 목적의 정상적인 파일만 등록되어 있는 상태입니다.

 

   알약(ALYac) 아이콘으로 위장한 Win-Trojan/Urelas 악성코드 유포 주의 (2013.7.3)

 

해당 악성 서비스는 2013년 7월 2일경 알약(ALYac) 아이콘으로 위장하여 온라인 게임 정보를 탈취할 목적으로 제작된 악성 파일을 유포한 부분을 추가적으로 확인하였습니다.

 

2. "iSafePlus ver 2.0" 프로그램 설치(※ 해당 프로그램의 이름은 "Internet Explorer ISPSvc"으로 변경된 것으로 확인되고 있습니다.)

최초 설치 파일(MD5 : 9a22ed8ef378ea982af42ee12a3af5a7)을 통해 "iSafePlus ver 2.0" 프로그램 설치를 목적으로 추가로 다운로드되는 iSafePlusSetupV2.21302.exe 파일(MD5 : bc75af5c3f516c57b807af05ef1fe7df)은 "C:\Documents and Settings\(사용자 계정)\My Documents\iSafePlusSetupV2.21302.exe" 파일로 생성 및 실행됩니다.

 

참고로 해당 파일(MD5 : bc75af5c3f516c57b807af05ef1fe7df)에 대하여 BitDefender 보안 제품에서는 Gen:Variant.Graftor.Elzob.15668 (VT : 15/47) 진단명으로 진단되고 있습니다.

실행된 파일은 다시 특정 서버에서 아이세이프플러스(iSafePlus) 설치 파일(MD5 : 137cde224e638f964b24a7c1666a5bc3)을 다운로드하여 최종적으로 다음과 같은 폴더(파일)를 생성합니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\LastTimeCK.dat
C:\Documents and Settings\(사용자 계정)\My Documents\iSafePlusSetupV2.21302.exe
C:\Program Files\ISPSvc
C:\Program Files\ISPSvc\gdata.dat
C:\Program Files\ISPSvc\ISafePlusSetupVer2S.exe
C:\Program Files\ISPSvc\ispch.exe
C:\Program Files\ISPSvc\isploc.dat
C:\Program Files\ISPSvc\ispmgr.exe :: 시작 프로그램 등록 파일
C:\Program Files\ISPSvc\ispnk.exe :: 메모리 상주 프로세스
C:\Program Files\ISPSvc\ispsetting.exe
C:\Program Files\ISPSvc\ispsf.dll
C:\Program Files\ISPSvc\ispsrv.exe
C:\Program Files\ISPSvc\isptad.dll
C:\Program Files\ISPSvc\ispuninst.exe :: 프로그램 삭제 파일
C:\Program Files\ISPSvc\napctr.exe :: 메모리 상주 프로세스
C:\Program Files\ISPSvc\sdata.dat

iSafePlus ver 2.0 프로그램은 "C:\Program Files\ISPSvc" 폴더에 파일을 생성하며, 기본적으로 3가지 기능을 포함하고 있습니다.

 

(1) iSafePlus 유해 사이트 차단 프로그램 기능

프로그램이 설치된 환경에서는 프로그램 목록에 iSafePlus 프로그램을 실행할 수 있는 메뉴를 제공하지 않으며, 사용자가 "C:\Program Files\ISPSvc\ispsetting.exe" 파일을 직접 찾아서 실행한 경우에만 iSafePlus 프로그램의 환경 설정에 접근하여 프로그램을 사용할 수 있도록 제작되어 있습니다.

 

만약 사용자에 의한 설정이 이루어지지 않은 환경에서는 iSafePlus 프로그램은 실행되지 않으며 광고 기능만 동작합니다.

 

(2) ISPSvcStart 시작 프로그램의 버그(Bug) 문제(※ 해당 내용은 iSafePlus 업체로부터 수정 요청을 받아 일부 내용이 변경되었습니다.)

 

iSafePlus ver 2.0 프로그램은 Windows 시작시 "C:\Program Files\ISPSvc\ispmgr.exe" 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - ISPSvcStart = C:\Program Files\ISPSvc\ispmgr.exe

하지만 iSafePlus ver 2.0 초기 버전에서는 프로그램의 버그(Bug) 문제로 인하여 프로그램 삭제 관련 기능을 담당하는 파일이 삭제되는 문제로 제어판을 통한 삭제가 이루어지지 않았다고 합니다.

이로 인하여 제어판에 등록된 "iSafePlus ver 2.0" 삭제 항목을 이용하여 프로그램 삭제를 시도하며 "제거 프로그램 오류" 창이 생성되어 프로그램이 삭제되지 않는 문제가 있었습니다.(※ 업체에서는 해당 문제는 업데이트를 통해 수정이 되었다고 합니다. 또한 현재는 "Internet Explorer ISPSvc" 이름으로 변경된 것으로 확인되고 있습니다.)

 

(3) "ispnk.exe + isptad.dll + napctr.exe" 광고 기능 : ISafePlus Ex Program

 

이전에 살펴본 "Internet Explorer ISafesvc" 프로그램은 오픈매치(OpenMatch) 광고 기능을 이용하여 광고창 생성이 이루어진 반면, "iSafePlus ver 2.0" 프로그램은 변화된 방식으로 광고 기능을 수행하고 있습니다.

우선 Windows 시작시 시작 프로그램으로 등록된 "C:\Program Files\ISPSvc\ispmgr.exe" 파일은 자동 실행되어, 프로그램 업데이트(vs.dat) 체크 및 이용약관 정보를 확인합니다.

 

그 후 ispmgr.exe 파일은 "C:\Program Files\ISPSvc\ispnk.exe" 파일을 로딩하며, 해당 파일은 서버에서 광고 구성값 체크를 통해 "C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\LastTimeCK.dat" 파일 생성이 이루어집니다.

 

또한 추가적으로 "C:\Program Files\ISPSvc\napctr.exe" 파일을 로딩하여 특정 광고 서버에 연결을 시도합니다.

이를 통해 최종적으로 ispnk.exe, napctr.exe 2개의 프로세스는 메모리에 상주하며, 특히 napctr.exe 프로세스는 주기적으로 국내 특정 IP 광고 서버와 통신을 시도하는 모습을 확인할 수 있습니다.

실제 확인된 광고 동작은 사용자가 인터넷 검색을 통해 웹 브라우저를 사용한 후 종료하는 시점에서 검색 키워드 값을 참조하여 후팝업 방식으로 제휴 코드가 추가된 광고창을 자동으로 생성하는 방식을 확인할 수 있었습니다.

 

3. 프로그램 삭제

 

아이세이프플러스(iSafePlus) 프로그램 삭제 및 사용자 몰래 추가적으로 설치되는 악성 파일(FGSVC32.exe)은 다음과 같은 절차에 따라 삭제를 진행하시기 바라며, 추가적인 조사에 따르면 악성 파일에 의해 알약(ALYac) 아이콘으로 위장한 악성 파일이 설치되므로 관련 정보를 참고하시기 바랍니다.

 

(1) 실행창에 [sc delete "FGSVC32"] 명령어 입력 및 실행을 통해 서비스 삭제를 하시기 바랍니다.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_FGSVC32
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\FGSVC32

서비스 삭제 이후에는 다음의 폴더(파일)를 찾아 수동으로 삭제하시기 바랍니다.

 

  • C:\freeguService32-201306.log
  • C:\Program Files\freegu
  • C:\Program Files\freegu\FGSVC32.exe

(2) Windows 작업 관리자를 실행하여 ispnk.exe, napctr.exe 2개의 프로세스를 찾아 수동으로 종료한 후, Windows 탐색기를 실행하여 "C:\Program Files\ISPSvc\ispuninst.exe" 파일을 찾아 실행하시기 바랍니다.

"C:\Program Files\ISPSvc\ispuninst.exe" 파일을 직접 실행하여 생성된 "ISafePlus Uninstall" 창의 "Delete program agreed" 체크 박스에 체크를 한 후 "Uninstall" 버튼을 클릭하여 삭제를 진행하시기 바랍니다.

 

프로그램 삭제 이후에는 다음의 폴더(파일)를 찾아 수동으로 삭제하시기 바랍니다.

 

  • C:\Documents and Settings\(사용자 계정)\My Documents\iSafePlusSetupV2.21302.exe
  • C:\Program Files\ISPSvc
  • C:\Program Files\ISPSvc\ispuninst.exe
[생성 레지스트리 등록 정보]

 

HKEY_LOCAL_MACHINE\SOFTWARE\ISPService
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - ISPSvcStart = C:\Program Files\ISPSvc\ispmgr.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\iSafePlus_is1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NAP

 

iSafePlus ver 2.0 프로그램은 유해 사이트 차단 프로그램 설정을 사용자가 지정하지 않을 경우에는 광고 기능만 수행되며, 배포 파일 중에서는 사용자 몰래 추가적인 악성 파일을 등록하여 금전적 피해를 유발하는 문제가 확인되었으므로 주의하시기 바랍니다.

 

 
728x90
반응형