본문 바로가기

벌새::Analysis

국내 악성코드 : Windows update mediasqcon

시스템 시작시 업데이트 창 생성을 통해 불필요한 프로그램(PUP) 등을 설치하도록 제작된 "Windows update mediasqcon" 프로그램에 대해 살펴보도록 하겠습니다.

해당 프로그램의 설치 파일(MD5 : 829771d2e77b618f511cfac8b090016d)은 2013년 4월 4일경 배포가 이루어진 것으로 추정되며, Kaspersky 보안 제품에서는 not-a-virus:AdWare.Win32.Kraddare.ah (VT : 19/45) 진단명으로 진단되고 있습니다.

 

  <2012년 관련 정보> 국내 악성코드 : ezpopup code wepbob x86 (2012.12.21) 외 다수

 

  <2013년 1월~6월 관련 정보> 제휴(스폰서) 프로그램 : Windows pdswater (2013.6.12) 외 10종

 

  제휴(스폰서) 프로그램 : Windows cnbarodcon (2013.7.17)

 

기존부터 시스템 시작시 다양한 업데이트 창을 통해 수익성 프로그램의 설치를 유도하던 변종이 발견되고 있었으므로 참고하시기 바랍니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Program Files\mediasqcon
C:\Program Files\mediasqcon\mediasqcon.exe :: 업데이트 창 생성 파일
C:\Program Files\mediasqcon\mediasqsvc.exe :: 서비스(mediasqcon) 등록 파일
C:\Program Files\mediasqcon\uninst.exe :: 프로그램 삭제 파일
C:\Windows\mdsqmanfx.ini

 

[생성 파일 진단 정보]

 

C:\Program Files\mediasqcon\mediasqcon.exe
 - MD5 : 727fcfa57c8d87b3c705b07407747c17
 - AhnLab V3 : Adware/Win32.Kraddare (VT : 8/46)

 

C:\Program Files\mediasqcon\mediasqsvc.exe
 - MD5 : c1679a7dddb1d52907784b0e578eae47
 - avast! : Win32:Adware-gen [Adw] (VT : 14/45)

해당 프로그램은 "C:\Program Files\mediasqcon" 폴더에 파일을 생성하며 시스템 시작시 다음과 같은 동작을 수행합니다.

"mediasqcon(mediasqcon SERVICE)" 서비스 항목을 등록하여 시스템 시작시 "C:\Program Files\mediasqcon\mediasqsvc.exe" 파일을 자동 실행하며, 실행된 서비스 파일(mediasqsvc.exe)은 "C:\Program Files\mediasqcon\mediasqcon.exe" 파일을 로딩합니다.

이를 통해 카페24(Cafe24) 웹 호스팅 서비스를 통해 등록된 "bitnet.pe.kr" 서버와 연결하여 등록된 프로그램이 존재할 경우 "업데이트 설치 프로그램 1.0" 업데이트 창을 생성하여 다수의 수익성 프로그램의 설치를 유도할 수 있습니다.

 

특히 업데이트 창에서는 "Microsoft Windows Service Pack 호환 프로그램 (build 2013)" 문구를 통해 마치 마이크로소프트(Microsoft) 관련 프로그램처럼 사용자를 속이고 있습니다.

프로그램 삭제는 제어판에 등록된 "Windows update mediasqcon" 삭제 항목을 이용하여 삭제할 수 있습니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\mediasqcon.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
Windows update mediasqcon
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\mediasqcon

 

시스템 시작시 업데이트 창을 통해 다양한 프로그램 설치를 유도하는 방식은 사용자의 실수를 유발하여 설치가 이루어지며 주의하시기 바랍니다.