울지않는벌새 : Security, Movie & Society

국내 악성코드 : INSafe mode

벌새::Analysis

블로그 등 인터넷 게시판의 링크(URL)를 통해 P2P 공유 프로그램으로 유명한 µTorrent 설치 파일로 위장한 파일을 통해 사용자 몰래 국내에서 제작된 "INSafe mode" 프로그램 및 추가적인 제휴 프로그램을 설치하는 사례에 대해 살펴보도록 하겠습니다.

인터넷 상에서 다양한 스팸(Spam) 게시글을 통해 µTorrent 설치 파일 링크(URL)를 통해 특정 파일 자료실 서버로부터 utorrent.exe 파일(MD5 : 2df088866de30f3ef10276b365d0d3ab)을 다운로드하도록 할 것으로 추정됩니다.

 

해당 설치 파일에는 INSAFE 디지털 서명이 포함되어 있으며, 국내 INISafe 금융 보안 솔루션과 혼동을 유발할 수 있으므로 주의하시기 바랍니다.

다운로드된 파일을 실행하면 마치 Internet Explorer 웹 브라우저의 다운로드 창처럼 구성된 "파일 다운로드" 창이 생성되어 µTorrent 파일을 다운로드할 수 있도록 제작되어 있습니다.

 

또한 다운로드 창 하단에는 제휴 프로그램으로 "서비스매니저" 항목이 추가되어 있는 것을 확인할 수 있습니다.

 

이 과정에서 사용자가 기본값 그대로 실행 또는 저장 버튼을 클릭할 경우 또는 제휴 프로그램의 체크를 해제한 상태에서 실행 또는 저장 버튼을 클릭할 경우와 상관없이 INSafe mode 프로그램, µTorrent 설치 파일, 서비스매니저 제휴 프로그램이 자동으로 설치됩니다.

 

1. µTorrent 설치 파일 다운로드

우선 사용자가 µTorrent 파일을 다운로드할 목적으로 실행 또는 저장 버튼을 클릭하면 특정 파일 자료실 서버에서 µTorrent 설치 파일을 사용자가 지정한 임의의 폴더에 다운로드합니다.

다운로드된 µTorrent 설치 파일을 확인해보면 "BitTorrent Inc" 디지털 서명이 정상적으로 포함된 파일임을 확인할 수 있습니다.

 

2. INSafe mode 프로그램 설치

 

다운로드 과정에서 사용자 몰래 INSafe mode 프로그램을 사용자 몰래 설치하는 동작을 확인할 수 있습니다.

특정 파일 자료실 서버로부터 service.zip 압축 파일을 다운로드하여 "C:\Users\(사용자 계정)~1\AppData\Local\Temp" 임시 폴더에 압축 해제(service.exe, serviceuninst.exe)한 후 다음과 같은 파일을 생성합니다.

 

[생성 파일 등록 정보]

 

C:\Users\(사용자 계정)\AppData\Local\UtilFolder
C:\Users\(사용자 계정)\AppData\Local\UtilFolder\temp


C:\Windows\utupopds.exe :: 서비스(utupopds) 등록 파일

 - MD5 : ee975554dcf87fcf4ecd6b360b4034ff

 

C:\Windows\utupopds_uninstall.exe :: INSafe mode 프로그램 삭제 파일

 - MD5 : 2b6935ea6118fc87a22ed317c62439ba

 

[생성 레지스트리 등록 정보]

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
utupopds
HKEY_LOCAL_MACHINE\SOFTWARE\uninstall_utupopds
HKEY_LOCAL_MACHINE\SOFTWARE\utupopds
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\utupopds

생성된 파일은 사용자가 확인하기 어려운 Windows 폴더 내에 파일을 생성하며(※ Windows XP 운영 체제 환경에서는 "C:\WINDOWS\system32" 폴더에 생성될 수 있습니다.), "Service Manager"라는 속성값과 INSAFE 디지털 서명을 포함하고 있습니다.

설치된 INSafe mode 프로그램은 "utupopds(INSafe mode)" 서비스 항목을 등록하여 시스템 시작시 "C:\Windows\utupopds.exe" 파일을 자동 실행하도록 구성되어 있습니다.

자동 실행된 서비스 파일(utupopds.exe)은 특정 파일 자료실 서버에서 업데이트 정보(URL, 파일명, 파일 크기, 변수) 구성값을 체크하여, 특정 시스템 부팅 과정에서 추가적인 설치 행위가 있을 것으로 보입니다.(※ 파일 리소스를 확인해보면 업데이트를 통해 추가 다운로드가 이루어질 경우 화면상으로는 표시되지 않을 가능성이 높습니다.)

현재 해당 업데이트 기능을 가진 파일(C:\Windows\utupopds.exe)은 2013년 9월 13일경부터 유포가 확인되고 있으며, AhnLab Cloud 기준으로 20,000대 이상에서 발견되고 있습니다.

실제로 사용자 몰래 설치된 INSafe mode 프로그램은 보안 제품의 진단 정책을 우회할 목적으로 제어판에서 "INSafe mode" 삭제 항목을 등록하여 프로그램 삭제를 지원하고 있습니다.(※ 프로그램 이름이 INISafe 보안 솔루션 프로그램과 유사하여 사용자가 삭제하지 않도록 한다는 점이 핵심이라고 판단됩니다.)

 

프로그램 삭제 후에는 추가적으로 다음의 폴더(파일)를 찾아 수동으로 삭제하시기 바랍니다.

  • C:\Users\(사용자 계정)\AppData\Local\UtilFolder
  • C:\Users\(사용자 계정)\AppData\Local\UtilFolder\temp
  • C:\Windows\utupopds_uninstall.exe

3. "서비스매니저" 제휴 프로그램 설치

 

다운로드 창에 등록된 "서비스매니저" 제휴 프로그램은 사용자가 체크 해제를 한 상태에서 실행 또는 저장 버튼을 클릭할 경우에도 자동으로 설치 파일 다운로드 동작이 이루어집니다.

자동으로 다운로드된 서비스매니저 설치 파일은 "C:\Users\(사용자 계정)\AppData\Local\Temp\ins.exe" 파일<MD5 : 84c976b9263cb561cb3f325468795c76 - AhnLab V3 : PUP/Win32.iservicemgr.R82990 (VT : 5/47)>로 생성되며, 사용자 시스템 체크를 통해 조건이 맞을 경우에만 프로그램 설치가 이루어지도록 제작되어 있습니다.

임시 폴더에 다운로드된 서비스매니저 설치 파일을 확인해보면 숨김(H) 속성값을 가지고 있으며, JDK 디지털 서명이 포함되어 있는 것이 특징입니다. 

또한 파일 실행을 통해 프로그램 설치를 하기 이전에 암호화된 구성값을 체크하여 특정 조건에서만 프로그램 설치가 이루어지며, 이를 기반으로 추가적인 조사를 해보면 "Internet Service Manager" 또는 "Windows Internet Service Manager" 이름으로 등록된 프로그램을 "C:\Program Files\Windows Internet Service Manager" 폴더에 설치할 것으로 보입니다.

 

이를 통해 시스템 시작시 특정 파일을 자동 실행하여 업데이트 체크 및 인터넷 검색시 광고창 생성 등의 기능을 수행할 수 있습니다.

 

4. 제휴 프로그램 변종 정보

 

이 글에서는 "Internet Service Manager" 또는 "Windows Internet Service Manager" 이름으로 등록되는 제휴 프로그램이 설치될 수 있으며, 추가적인 조사에서는 유사한 변종이 발견되고 있습니다.

 

(1) "Windows mouse protection release" 프로그램

 

그 중에서 대표적으로 "Mouse Right Button Abler", "Release mouse r-button protection", "Windows mouse releaser", "Windows mouse protection release" 프로그램 이름으로 "C:\Program Files\nospell" 폴더에 설치될 수 있습니다.

  • C:\Program Files\nospell\nospell_sch.exe
  • C:\Program Files\nospell\nospell_uc.exe
  • C:\Windows\System32\Drivers\mouserelease_dd.sys
  • C:\Windows\System32\Drivers\nospell_dd.sys

특히 해당 프로그램들은 제어판을 통해 삭제를 시도할 경우 블루스크린(BSoD) 유발 등을 통해 정상적으로 삭제가 이루어지지 않는 경우가 있다고 알려져 있습니다.

 

(2) "Windows ToolTip v1.0 (remove only)" 프로그램

 

해당 프로그램은 "ToolTip v1.0" 이름으로도 배포된 것으로 보이며, "C:\Program Files\tooltip" 폴더에 파일을 생성하여 시스템 시작시 업데이트 체크 및 인터넷 검색시 광고창을 생성할 수 있습니다.

  • C:\Program Files\tooltip\tooltip.exe
  • C:\Program Files\tooltip\tooltip_mon.exe
  • C:\Program Files\tooltip\tooltip_uc.exe
  • C:\Windows\System32\Drivers\tooltip_dd.sys

(3) Intelligent 프로그램

 

Intelligent 프로그램으로 "C:\Program Files\Intelligent Client" 폴더에 파일을 생성하며, 확인된 유포 파일(MD5 : 3ea9f4c4a72da74728941599ff7c8d8b)에 대하여 AhnLab V3 보안 제품에서는 PUP/Win32.IntClient.R81745 (VT : 7/48) 진단명으로 진단되고 있습니다.

  • C:\Program Files\Intelligent Client\intelligent.exe
  • C:\Program Files\Intelligent Client\intelligent_uninst.exe
  • C:\Program Files\Intelligent Client\intelligents.exe
  • C:\Program Files\Intelligent Client\intelligentu.exe

이들 제휴 프로그램의 특징은 ① 정상적인 소프트웨어 이름과 유사하게 등록되어 있다는 점, ② JDK 디지털 서명을 포함하고 있다는 점, ③ 시작 프로그램 또는 서비스 등록을 통한 자동 실행 및 드라이버 파일을 생성한다는 점, ④ 프로세스 보호 기능, ⑤ 프로그램 삭제시 문제가 발생하므로 안전 모드(F8)로 삭제해야 한다는 점 등을 들 수 있습니다.

 

차후에도 위와 유사한 기능을 가진 다양한 이름의 변종 제휴 프로그램이 등장할 것으로 보이며, 사용자들은 블로그 등을 다운로드한 파일을 통해 제휴 프로그램이 자신도 모르게 설치되는 피해를 당할 수 있으므로 주의하시기 바랍니다.