인터넷 검색시 자동으로 추가적인 광고창을 생성하는 검색 도우미 ISyncz 프로그램의 유포 방식과 동작에 대해 살펴보도록 하겠습니다.
대표적인 유포 방식은 국내 대부분의 광고 프로그램이 애용하는 대량의 스팸(Spam) 블로그를 통해 첨부 파일 또는 파일 자료실 관련 링크를 통해 설치 파일을 다운로드하도록 되어 있습니다.
그 중에서도 흥미로운 유포 방식으로는 블로그 첨부 파일을 비밀번호(1111)로 보호된 ZIP 압축 파일로 제작한 부분에 대해 살펴보도록 하겠습니다.
다운로드된 압축 파일(프로세스클린_다운.zip)을 해제할 때에는 블로그에서 제공하는 비밀번호(1111)를 입력하도록 되어 있으며, 이는 최초 파일을 다운로드할 때 보안 제품 또는 웹 브라우저에서 차단하는 것을 예방할 목적이 아닌가 싶습니다.
▷ <Right Security Blog> 해외 압축 프로그램을 이용한 스폰서 프로그램 유포 (2012.1.10)
▷ 클릭 투 트윅(Click To Tweak) 도메인을 이용한 제휴(스폰서) 프로그램 유포 사례 (2012.5.14)
▷ 제휴(스폰서) 프로그램 : 윈도우 유틸리티 업데이트(Windows Utility Update) (2013.2.9)
압축 해제된 파일(프로세스클린.exe)의 속성을 확인해보면 "POSTMEDIA Co.,Ltd" 디지털 서명이 포함된 유틸탑(UtilTop) 파일로, 국내에서는 다양한 제휴 프로그램을 배포할 목적으로 마치 프로그램의 설치 파일처럼 위장하여 실행을 유도하고 있습니다.
참고로 해당 파일(MD5 : a917dece4a8949492bca671ff3d2883f)에 대하여 nProtect 보안 제품에서는 Adware/W32.KrAdword.1895824 (VT : 4/47) 진단명으로 진단되고 있습니다.
파일을 실행하면 사용자가 원하는 파일을 다운로드할 수 있도록 Internet Explorer 웹 브라우저의 다운로드 창을 모방한 "파일 다운로드" 창이 생성되며, 창 하단에는 사용자가 제대로 인지할 수 없는 20종의 제휴 프로그램을 숨기고 있습니다.
이를 통해 사용자가 제휴 프로그램의 체크 박스를 해제하지 않은 상태로 파일 다운로드를 실행할 경우 자동으로 설치되며, 그 중 "ISyncz" 검색 도우미 프로그램에 대해 자세하게 살펴보도록 하겠습니다.
- h**p://svc.isy***.co.kr/launcher/inst_launcher_isyncz002.exe (MD5 : 949bae557f4fb85e966d542f0f06ed69)
ISyncz 프로그램은 설치를 위해 특정 서버로부터 드랍퍼(Dropper) 파일을 다운로드하여 "C:\Users\(사용자 계정)\AppData\Local\Temp\inst_launcher_isyncz002.exe" 파일로 생성한 후 실행이 됩니다.
- h**p://svc.isy***.co.kr/spdf/check_iscz.exe (MD5 : fce15d8755c0f4643ff2732b1afbcede) :: (= iscz_setup.exe)
실행된 파일은 다시 특정 서버에서 ISyncz 프로그램의 설치 파일을 다운로드하여 "C:\Users\(사용자 계정)\AppData\Local\Temp\iscz_setup.exe" 파일로 생성한 후 설치를 진행합니다.
이 과정에서 프로그램 설치시 사용자 PC 환경을 체크하여 특정 조건(※ 반복 설치, 수동 설치 등)에서는 프로그램이 설치되지 않도록 방해하는 행위가 있으며, 이로 인하여 실제 설치가 안되고 중지되는 경우도 발생할 수 있습니다.
만약 설치 파일(iscz_setup.exe)을 사용자가 직접 실행한 경우에는 NSIS 오류창 생성을 통해 설치가 이루어지지 않고 있으며, 정상적인 프로그램 설치를 위해서는 위와 같은 배포 과정과 환경 조건을 만족시켜서 설치를 진행해야 합니다.
과거 위와 동일한 방식으로 유포가 이루어진 광고 프로그램으로는 "WinsManager, WinsPop, WinScare, WinRun, WinsRun, Mobinz, WinAny, WebEdit, Wizeni" 등 다양한 사례가 있었습니다.(※ 해당 프로그램 시리즈 이전에는 클라우드웹(CloudWeb), 마인필터(MineFilter), 모던플러스(ModernPlus)로 이어지는 광고 프로그램이 있었던 것으로 추정됩니다.)
[생성 폴더 / 파일 등록 정보]
C:\Program Files\ISyncz
C:\Program Files\ISyncz\Ex7z.dll
C:\Program Files\ISyncz\info.cfg
C:\Program Files\ISyncz\isynczex.exe :: 메모리 상주 프로세스
C:\Program Files\ISyncz\isynczs.dll
C:\Program Files\ISyncz\isynczt.exe
C:\Program Files\ISyncz\uninst.exe :: 프로그램 삭제 파일
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ISyncz
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ISyncz\ISyncz Home.url
C:\Users\(사용자 계정)\AppData\LocalLow\ISyncz
C:\Users\(사용자 계정)\AppData\LocalLow\ISyncz\G0_D_prohibit.bin
C:\Users\(사용자 계정)\AppData\LocalLow\ISyncz\G0_K_prohibit.bin
C:\Users\(사용자 계정)\AppData\LocalLow\ISyncz\G0_keyword1.bin
C:\Users\(사용자 계정)\AppData\LocalLow\ISyncz\G0_keyword10.bin
C:\Users\(사용자 계정)\AppData\LocalLow\ISyncz\G0_keyword4.bin
C:\Users\(사용자 계정)\AppData\LocalLow\ISyncz\G0_keyword6.bin
C:\Users\(사용자 계정)\AppData\LocalLow\ISyncz\G0_keyword8.bin
C:\Users\(사용자 계정)\AppData\LocalLow\ISyncz\G0_MatchURL2.bin
C:\Users\(사용자 계정)\AppData\LocalLow\ISyncz\G0_MatchURL3.bin
C:\Users\(사용자 계정)\AppData\LocalLow\ISyncz\G0_MatchURL5.bin
C:\Users\(사용자 계정)\AppData\LocalLow\ISyncz\G0_MatchURL7.bin
C:\Users\(사용자 계정)\AppData\LocalLow\ISyncz\G0_MatchURL9.bin
C:\Users\(사용자 계정)\AppData\LocalLow\ISyncz\info_adpt.cfg
C:\Users\(사용자 계정)\AppData\LocalLow\ISyncz\info_rcf.cfg
C:\Users\(사용자 계정)\AppData\LocalLow\ISyncz\info_s.cfg
C:\Windows\System32\svcisynczwin.exe :: 서비스(ISyncz Service) 등록 파일, 메모리 상주 프로세스
C:\Windows\System32\wdrisynczsvc.exe :: 서비스(Windows ISyncz Diagnostics Service) 등록 파일, 메모리 상주 프로세스
[생성 파일 진단 정보]
C:\Program Files\ISyncz\isynczex.exe
- MD5 : 2fef5324c166b20992eb5e62dd3ce8dc
- AhnLab V3 : PUP/Win32.WinAgir (VT : 1/47)
C:\Program Files\ISyncz\isynczs.dll
- MD5 : 2228995534477b8ea9e6461b47494132
- Kaspersky : not-a-virus:AdWare.Win32.WinAgir.phh (VT : 2/47)
C:\Program Files\ISyncz\isynczt.exe
- MD5 : f62daa39d0a15f0f80970c7dcb212094
- avast! : Win32:Malware-gen (VT : 1/47)
C:\Windows\System32\svcisynczwin.exe
- MD5 : d0aa0ab9820225737fc905bfbc690642
- AhnLab V3 : PUP/Win32.WinAgir (VT : 12/47)
C:\Windows\System32\wdrisynczsvc.exe
- MD5 : 0243c96e6765a44269c92ee9bf94dd2a
- avast! : Win32:Dropper-LAS [Drp] (VT : 12/47)
▷ 검색 도우미 : 윈아지르(WinAgir) (2011.6.24)
▷ 국내 악성코드 : ImageCodecPlus + IGImageCodec (2013.4.28)
생성된 파일의 구성 및 보안 제품의 진단 정보를 보면 기존의 윈아지르(WinAgir) 계열의 프로그램과 유사성이 강하다는 것을 엿볼 수 있습니다.
설치된 ISyncz 프로그램은 "C:\Program Files\ISyncz" 폴더에 주요 파일을 생성하며, 시스템 시작시 다음과 같은 2개의 서비스 항목을 등록하여 자동 실행됩니다.
1. "ISyncz Service" 서비스
"ISyncz Service" 서비스 항목을 등록하여 시스템 시작시 "C:\Windows\System32\svcisynczwin.exe" 파일을 자동 실행하도록 구성되어 있으며, 실행된 서비스 파일은 "C:\Program Files\ISyncz\isynczex.exe" 파일을 로딩하여 메모리에 상주시킵니다.
이를 통해 isynczex.exe 파일은 특정 서버로부터 광고 구성값 정보(※ 광고가 금지된 URL 주소, 광고가 금지된 키워드 값, 광고 키워드 값, 광고 URL 값)를 "C:\Users\(사용자 계정)\AppData\LocalLow\ISyncz" 폴더에 다운로드 및 업데이트를 수행합니다.
2. "Windows ISyncz Diagnostics Service" 서비스
"Windows ISyncz Diagnostics Service" 서비스 항목을 등록하여 시스템 시작시 "C:\Windows\System32\wdrisynczsvc.exe" 파일을 자동 실행하여 메모리에 상주합니다.
3. 생성 프로세스 정보
이를 통해 시스템 시작 후에는 isynczex.exe, svcisynczwin.exe, wdrisynczsvc.exe 3개의 프로세스가 메모리에 상주하며, 사용자가 일반적으로 다음과 같은 PC 사용 중에 광고 동작이 발생할 수 있습니다.
사용자가 특정 검색 키워드 값을 이용하여 인터넷 검색을 수행하여 웹 사이트에 접속을 시도하면, 약간의 시간이 경과한 후 "C:\Program Files\ISyncz\isynczex.exe" 프로세스가 특정 광고 서버로부터 연결되는 웹 사이트를 자동으로 생성하는 동작을 확인할 수 있습니다.
이로 인하여 ISyncz 프로그램이 설치된 환경에서 인터넷 검색을 통해 웹 사이트 접속시마다 원치않는 다양한 광고창이 생성되는 문제를 유발합니다.
위와 같은 광고 동작 중지 및 프로그램 삭제시에는 "보조 프로그램 → 명령 프롬프트" 메뉴를 "관리자 권한으로 실행"하여 다음의 2개의 명령어를 차례대로 입력 및 실행하여 서비스를 중지하시기 바랍니다.
- sc stop "ISyncz Service"
- sc stop "Windows ISyncz Diagnostics Service"
그 후 Windows 작업 관리자를 실행하여 메모리에 상주하는 isynczex.exe 프로세스 찾아 추가적으로 종료하시기 바랍니다.
프로그램 삭제는 제어판에 등록된 "ISyncz" 삭제 항목을 이용하여 삭제할 수 있으며, 프로그램 삭제 후에는 추가적으로 "C:\Users\(사용자 계정)\AppData\LocalLow\ISyncz" 폴더를 찾아 수동으로 삭제하시기 바랍니다.
[생성 레지스트리 등록 정보]
HKEY_CURRENT_USER\Software\ISyncz
HKEY_LOCAL_MACHINE\SOFTWARE\ISyncz
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\ISyncz
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ISyncz
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WZCSVC
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\ISyncz Service
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Windows ISyncz Diagnostics Service
ISyncz 프로그램과 관련된 파일에는 "HDSoft" 디지털 서명이 포함되어 있지만, 해당 서명은 "파일에 서명한 인증서의 무결성을 인증할 수 없습니다. 인증서가 손상되었거나 변조되었을 수 있습니다."라는 메시지를 통해 유효하지 않은 디지털 서명을 사용하고 있는 부분도 발견되고 있습니다.
그러므로 위와 같은 프로그램이 설치되지 않도록 여전히 블로그 또는 신뢰할 수 없는 파일 자료실로부터 프로그램을 다운로드하여 아무 생각없이 실행하는 나쁜 습관을 고치시기 바랍니다.