2013년 6월경 최초 유포가 확인된 국내에서 제작된 SubShop 검색 도우미 프로그램은 인터넷 검색을 하는 과정에서 자동으로 광고창을 생성하는 전형적인 광고 프로그램이었습니다.
▷ 검색 도우미 : SubShop (2013.6.22)
하지만 당시 동적 분석 정보를 살펴보면 SubShop 프로그램 내부에는 일명 오픈매치(OpenMatch) 또는 오픈팟(OpenPot) 계열 광고 기능을 통해 광고창 생성 기능을 수행하였으며, SubShop 프로그램은 시스템 시작시 "ACoolerSvr" 서비스 항목을 통해 업데이트 체크 기능만을 수행하고 있었습니다.
이로 인하여 분석에서는 확인되지 않았지만 추가적인 프로그램 다운로드 등의 행위를 통해 수익 활동을 할 가능성에 대해서만 언급하였습니다.
그러던 중 최근 매우 공격적으로 SubShop 프로그램이 배포되는 부분이 확인되어 확인하던 과정에서 기존과 동일하면서 특이한 부분과 블로그를 통해 공개되지 않았던 SubShop 변종 프로그램에 대한 부분도 살펴보도록 하겠습니다.
대표적인 배포 방식은 스팸(Spam) 블로그를 통해 유명 소프트웨어 다운로드 파일로 위장하여 배포가 이루어지고 있으며, "Pacifics Co.,Ltd" 디지털 서명이 포함된 다운로드된 파일(MD5 : acf787f0d3b7bd1d2cb31b6b32f7ba87)에 대하여 ESET 보안 제품에서는 probably a variant of Win32/Adware.Kraddare.EZ (VT : 2/47) 진단명으로 진단됩니다.
다운로드된 파일을 실행하면 "위즈유틸 다운로더" 창이 생성되어 화면 하단의 좁은 영역에 등록된 18종의 제휴 프로그램 중 "서브샵" 항목을 통해 설치가 이루어집니다.
설치가 진행되면 특정 서버에서 "yearsoft" 디지털 서명이 포함된 SubShop 설치 파일(MD5 : 6b197142b1c470b38d016c360e5880aa)을 다운로드하여 "C:\Users\(사용자 계정)\AppData\Local\Temp\SubSSetup.exe" 파일로 생성한 후 설치가 이루어집니다.
매우 특이한 점은 일반적으로 위와 같은 유포 방식의 경우에는 제휴 프로그램의 설치 과정에서 화면상에 설치창을 제시하지 않는 경우가 대부분이지만, 최근 SubShop 프로그램과 같이 설치 화면을 제시하여 진행되는 경우가 발견되고 있습니다.
위와 같은 방식은 보안 제품에서 프로그램에 대한 진단을 예방하려는 제스처가 아닐까 생각됩니다.
C:\Users\(사용자 계정)\AppData\Local\Temp\SubSSetup.exe
C:\Users\(사용자 계정)\AppData\Roaming\ACooler
C:\Users\(사용자 계정)\AppData\Roaming\ACooler\ACooler.exe
C:\Users\(사용자 계정)\AppData\Roaming\ACooler\ACoolerRep.exe
C:\Users\(사용자 계정)\AppData\Roaming\ACooler\ACoolerSvr.exe :: 서비스(ACoolerSvr) 등록 파일
C:\Users\(사용자 계정)\AppData\Roaming\ACooler\category.dt
C:\Users\(사용자 계정)\AppData\Roaming\ACooler\i.opt
C:\Users\(사용자 계정)\AppData\Roaming\ACooler\msvcp110.dll
C:\Users\(사용자 계정)\AppData\Roaming\ACooler\msvcr110.dll
C:\Users\(사용자 계정)\AppData\Roaming\ACooler\nhopen.dll
C:\Users\(사용자 계정)\AppData\Roaming\ACooler\portal.exe
C:\Users\(사용자 계정)\AppData\Roaming\ACooler\SLEsperant.exe
C:\Users\(사용자 계정)\AppData\Roaming\ACooler\uninstall.exe :: 프로그램 삭제 파일
C:\Users\(사용자 계정)\AppData\Roaming\ACooler\vccorlib110.dll
C:\Users\(사용자 계정)\AppData\Roaming\ACooler\winrr.dll
C:\Users\(사용자 계정)\AppData\Roaming\ACooler\winrr.exe
C:\Users\(사용자 계정)\AppData\Roaming\ACooler\portal.exe
- MD5 : a8f8977f4738b8304e274ec19c8e892e
- nProtect : Adware/W32.Agent.405552.B (VT : 9/47)
C:\Users\(사용자 계정)\AppData\Roaming\ACooler\SLEsperant.exe
- MD5 : d040f2af4ddf6336475ec5af587eabb2
- ESET : a variant of Win32/TrojanClicker.BHO.NCQ (VT : 2/47)
C:\Users\(사용자 계정)\AppData\Roaming\ACooler\winrr.exe
- MD5 : 36ad3a5f1fb59c0996b9bcbe6735644c
- Kaspersky : not-a-virus:AdWare.Win32.Kraddare.dk (VT : 27/47)
SubShop 프로그램은 기존과 마찬가지로 "C:\Users\(사용자 계정)\AppData\Roaming\ACooler" 폴더에 파일을 생성하며, 내부 생성 파일은 이전과 비교하여 일부 변경 및 추가가 이루어졌습니다.
참고로 파일 구성을 봐서는 Windows 시작시 portal.exe, winrr.exe 파일을 시작 프로그램 또는 예약 작업에 등록하여 자동 실행되어 인터넷 검색시 광고창 생성 등의 동작을 수행할 수 있으리라 추정됩니다.
"ACoolerSvr (표시 이름 : SubShop)" 서비스 항목을 등록하여 시스템 시작시 "C:\Users\(사용자 계정)\AppData\Roaming\ACooler\ACoolerSvr.exe" 파일을 자동 실행하도록 구성되어 있습니다.
자동 실행된 서비스 파일(ACoolerSvr.exe)은 아무런 추가 동작없이 실행 후 4분 40초 가량 대기하며, 그 후 다음과 같은 동작을 수행합니다.
실행 중인 서비스 파일(ACoolerSvr.exe)은 "C:\Users\(사용자 계정)\AppData\Roaming\ACooler\ACooler.exe" 파일을 로딩하여 특정 서버로부터 옵션값을 받아옵니다.
- C:\Users\(사용자 계정)\AppData\Roaming\ACooler\option.dat
또한 서비스 파일(ACoolerSvr.exe)은 "C:\Users\(사용자 계정)\AppData\Roaming\ACooler\ACoolerRep.exe" 파일을 로딩하여 업데이트 정보를 받아옵니다.
- C:\Users\(사용자 계정)\AppData\Roaming\ACooler\up.dat
일련의 정보 체크가 완료된 후에는 서비스 파일(ACoolerSvr.exe)을 비롯한 모든 SubShop 프로그램의 동작이 종료되며, 추가적인 광고 동작은 전혀 이루어지지 않고 있습니다.
특히 해당 정보 체크 부분에서는 동작하는 시간(date)을 확인하는 것으로 보아, 특정 배포 시점에서는 추가적인 업데이트 정보를 참고하여 SubShop 프로그램의 동작 변화 또는 추가적인 다운로드가 예상됩니다.
프로그램 삭제는 제어판에 등록된 "SubShop" 삭제 항목을 통해 삭제할 수 있습니다.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ACooler
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\ACoolerSvr
이처럼 현재 배포 중인 SubShop 프로그램이 설치된 환경에서는 매우 조용하고 친절한 프로그램처럼 보이는데 왜 금전을 지불하면서 다양한 유포 경로를 통해 프로그램이 배포되고 있을지에 대해 과거 사례를 통해 엿보도록 하겠습니다.
2013년 6월 SubShop 프로그램이 최초 확인된 이후 다양한 사용자 PC에서는 "C:\Users\(사용자 계정)\AppData\Roaming\ACooler" 폴더명이 아닌 랜덤(Random)한 폴더에 제어판을 통한 삭제 기능이 추가되지 않은 SubShop 광고 프로그램이 발견되기 시작하였습니다.
1. 사례 1 : "C:\Documents and Settings\(사용자 계정)\Application Data\Oliber" (버전 : Sub Shop 2.4.1.1)
해당 SubShop 변종 프로그램은 "C:\Documents and Settings\(사용자 계정)\Application Data\Oliber" 폴더에 파일을 생성하며, "OliberSvr" 서비스 항목을 등록하여 시스템 시작시 "C:\Documents and Settings\(사용자 계정)\Application Data\Oliber\OliberSvr.exe" 파일(MD5 : 08ff4f31c4e06dc5656d58f99cd1cbba)을 자동 실행하도록 구성되어 있습니다.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\OliberSvr
또한 Windows 시작시 "C:\Documents and Settings\(사용자 계정)\Application Data\Oliber\windd.exe" 파일<MD5 : df22e7d97dac541d9b866f3d3fbdc261 - AhnLab V3 : PUP/Win32.URLHelper>을 시작 프로그램으로 등록하여 자동 실행합니다.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- windd = C:\Documents and Settings\(사용자 계정)\Application Data\Oliber\windd.exe
그 외 다음과 같은 2개의 파일을 실행하여 메모리에 상주하여 광고 동작을 수행할 수 있습니다.
- C:\Documents and Settings\(사용자 계정)\Application Data\Oliber\Oliber.exe (MD5 : 7bf5034a17b6b3266fcee814cb7a97a5) - AhnLab V3 : PUP/Win32.TopBar :: "yearsoft" 디지털 서명이 포함된 파일로 "Sub Shop 2.4.1.1" 파일입니다.
- C:\Documents and Settings\(사용자 계정)\Application Data\Oliber\portal.exe (MD5 : b0d28daa504867acc7f26635c660a6f3) - AhnLab V3 : PUP/Win32.MWManager :: "The A MEDIA" 디지털 서명이 포함된 파일로 "MWMToolbar 에이전트 프로그램" 파일입니다.
2. 사례 2 : "C:\Users\(사용자 계정)\AppData\Roaming\Ramber" (버전 : Sub Shop 2.4.1.3)
해당 SubShop 변종 프로그램은 "C:\Users\(사용자 계정)\AppData\Roaming\Ramber" 폴더에 파일을 생성하며, "RamberSvr" 서비스 항목을 등록하여 시스템 시작시 "C:\Users\(사용자 계정)\AppData\Roaming\Ramber\RamberSvr.exe" 파일(MD5 : da70936be9066e557ef29f7cf7166dd3)을 자동 실행하도록 구성되어 있습니다.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RamberSvr
그 외 다음과 같은 2개의 파일을 메모리에 상주시켜 광고 동작을 수행할 수 있습니다.
- C:\Users\(사용자 계정)\AppData\Roaming\Ramber\portal.exe (MD5 : b0d28daa504867acc7f26635c660a6f3) - AhnLab V3 : PUP/Win32.MWManager :: "The A MEDIA" 디지털 서명이 포함된 파일로 "MWMToolbar 에이전트 프로그램" 파일입니다.
- C:\Users\(사용자 계정)\AppData\Roaming\Ramber\Ramber.exe (MD5 : 11dfaf37c5630358dc66b6cf500c26ee) - AhnLab V3 : PUP/Win32.TopBar :: "yearsoft" 디지털 서명이 포함된 파일로 "Sub Shop 2.4.1.3" 파일입니다.
3. 사례 3 : "C:\Users\(사용자 계정)\AppData\Roaming\Tauber" (버전 : Sub Shop 2.4.1.5)
해당 SubShop 변종 프로그램은 "C:\Users\(사용자 계정)\AppData\Roaming\Tauber" 폴더에 파일을 생성하며, "TauberSvr" 서비스 항목을 등록하여 시스템 시작시 "C:\Users\(사용자 계정)\AppData\Roaming\Tauber\TauberSvr.exe" 파일(MD5 : ac49b1b1698024c922fe49e3ffbc7247)을 자동 실행하도록 구성되어 있습니다.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TauberSvr
그 외 다음과 같은 2개의 파일을 메모리에 상주시켜 광고 동작을 수행할 수 있습니다.
- C:\Users\(사용자 계정)\AppData\Roaming\Tauber\portal.exe (MD5 : b0d28daa504867acc7f26635c660a6f3) - AhnLab V3 : PUP/Win32.MWManager :: "The A MEDIA" 디지털 서명이 포함된 파일로 "MWMToolbar 에이전트 프로그램" 파일입니다.
- C:\Users\(사용자 계정)\AppData\Roaming\Tauber\Tauber.exe (MD5 : 7edac313299fd2bda73b1d548c70a065) - AhnLab V3 : PUP/Win32.TopBar :: "yearsoft" 디지털 서명이 포함된 파일로 "Sub Shop 2.4.1.5" 파일입니다.
4. 사례 4 : "C:\Documents and Settings\(사용자 계정)\Application Data\Qolorowy" (버전 : Sub Shop 2.5.0.3)
해당 SubShop 변종 프로그램은 "C:\Documents and Settings\(사용자 계정)\Application Data\Qolorowy" 폴더에 파일을 생성하며, "QolorowySvr" 서비스 항목을 등록하여 시스템 시작시 "C:\Documents and Settings\(사용자 계정)\Application Data\Qolorowy\QolorowySvr.exe" 파일(MD5 : 224c44766801f060d7cc7ee416faf3dd)을 자동 실행하도록 구성되어 있습니다.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\QolorowySvr
그 외 다음과 같은 파일을 메모리에 상주시켜 광고 동작을 수행할 수 있습니다.
- C:\Documents and Settings\(사용자 계정)\Application Data\Qolorowy\Qolorowy.exe (MD5 : 2a4956e64e621dcc2b0844a191733bde) - AhnLab V3 : PUP/Win32.TopBar :: "yearsoft" 디지털 서명이 포함된 파일로 "Sub Shop 2.5.0.3" 파일입니다.
이들 SubShop 변종 프로그램의 공통적인 특징은 파일에 SubShop 프로그램에서 사용하는 "yearsoft" 또는 Micro Web Manager 프로그램에서 사용하는 "The A MEDIA" 디지털 서명이 포함되어 있다는 점입니다.
이처럼 사용자가 확인하기 어려운 위치와 변칙적인 이름을 가진 폴더 내부에 SubShop 변종 프로그램을 설치하고, 제어판에 프로그램 삭제 목록을 등록하지 않는 수법으로 지속적인 수익 창출 행위를 하고 있었습니다.
그러므로 이번에 유포되는 SubShop 프로그램 역시 유사한 방식으로 전환될 가능성이 충분히 존재하므로 블로그 또는 신뢰할 수 없는 파일 자료실 등을 통해 파일을 다운로드하는 일이 없도록 주의하시기 바랍니다.
☞ [삭제] DreamNet Service (2013.3.23)
☞ 국내 악성코드 : GloryShop (2013.4.7)
☞ 검색 도우미 : Microsoft AD WS (2013.5.26)
☞ 검색 도우미 : SubShop (2013.6.22)
☞ 국내 악성코드 : SubWing (2013.8.7)