울지않는벌새 : Security, Movie & Society

검색 도우미 : Now Dream Service Application

벌새::Analysis

인터넷 검색시 자동으로 광고창을 생성하며, 특정 조건(시점)에서 설치된 PC에서는 제어판의 삭제 항목에 등록하지 않는 방식으로 프로그램 삭제를 방해하는 SubShop 변종 프로그램이 "Now Dream Service Application" 프로그램(MD5 : b618331bb9fa8bdd7f96a19f7130991f)이라는 이름으로 유포되는 것을 확인하였습니다.

 

  검색 도우미 : SubShop (2013.6.22)

 

최초의 SubShop 광고 프로그램은 2013년 6월경 발견되어 프로그램이 설치된 환경에서 인터넷 검색시 광고창을 생성하는 행위 등을 하는 것으로 알려져 있습니다.

 

하지만 당시 유포와 함께 제어판의 설치 프로그램 목록에는 등록되지 않은 SubShop 변종 프로그램이 다양한 폴더 위치에 설치되어 수익 활동을 하는 정황이 발견되기 시작하였습니다.

 

  친절하게 설치되는 SubShop 광고 프로그램의 목적은? (2013.10.31)

 

   검색 도우미 : SubShop - pwsisv.exe (2013.11.4)

 

   검색 도우미 : SubShop - kwsisv.exe (2013.11.6)

 

특히 유포에 사용되는 파일을 통해 확인을 해보면 프로그램의 광고 기능을 수행하기 위한 등록값을 추가하지 않는 방식으로 무의미하게 설치되는 것처럼 배포가 이루어지고 있지만, 여전히 특정 조건 또는 시점에서는 "C:\Users\(사용자 계정)\AppData\Roaming" 폴더 내의 랜덤(Random)한 폴더를 생성하여 프로그램을 설치하여 수익 활동을 지속하고 있는 것으로 보입니다.

 

이번에 새롭게 확인된 SubShop 변종 프로그램인 "Now Dream Service Application""친절하게 설치되는 SubShop 광고 프로그램의 목적은?" 게시글에서 소개한 부분과 상당 부분 일치하고 있으므로 참고하시기 바랍니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Users\(사용자 계정)\AppData\Roaming\fdrive
C:\Users\(사용자 계정)\AppData\Roaming\fdrive\category.dt
C:\Users\(사용자 계정)\AppData\Roaming\fdrive\fdrive.exe
C:\Users\(사용자 계정)\AppData\Roaming\fdrive\fdrivep.exe
C:\Users\(사용자 계정)\AppData\Roaming\fdrive\fdrivev.exe :: 서비스(fdrivev) 등록 파일
C:\Users\(사용자 계정)\AppData\Roaming\fdrive\improve.db
C:\Users\(사용자 계정)\AppData\Roaming\fdrive\ins.db
C:\Users\(사용자 계정)\AppData\Roaming\fdrive\msvcp110.dll
C:\Users\(사용자 계정)\AppData\Roaming\fdrive\msvcr110.dll
C:\Users\(사용자 계정)\AppData\Roaming\fdrive\nhopen.dll
C:\Users\(사용자 계정)\AppData\Roaming\fdrive\portal.exe
C:\Users\(사용자 계정)\AppData\Roaming\fdrive\reg.db
C:\Users\(사용자 계정)\AppData\Roaming\fdrive\SLEsperant.exe
C:\Users\(사용자 계정)\AppData\Roaming\fdrive\uninstall.exe :: 프로그램 삭제 파일
C:\Users\(사용자 계정)\AppData\Roaming\fdrive\vccorlib110.dll
C:\Users\(사용자 계정)\AppData\Roaming\fdrive\winqq.dll
C:\Users\(사용자 계정)\AppData\Roaming\fdrive\winqq.exe

 

[생성 파일 진단 정보]

 

C:\Users\(사용자 계정)\AppData\Roaming\fdrive\fdrive.exe
 - MD5 : b302802fd4729fa878c3747cdd7149ec
 - AhnLab V3 : PUP/Win32.SubShop (VT : 1/47)

 

C:\Users\(사용자 계정)\AppData\Roaming\fdrive\fdrivep.exe
 - MD5 : 086dcfeff36560223713096643e5117f
 - AhnLab V3 : PUP/Win32.SubShop (VT : 1/47)

 

C:\Users\(사용자 계정)\AppData\Roaming\fdrive\nhopen.dll
 - MD5 : ac4d702159724768f8a28323c8791357
 - BitDefender : Trojan.GenericKD.1369600 (VT : 11/47)

 

C:\Users\(사용자 계정)\AppData\Roaming\fdrive\portal.exe
 - MD5 : 6457d77a24cfef258a0e51128521c16c
 - AhnLab V3 : PUP/Win32.MWManager (VT : 12/47)

 

C:\Users\(사용자 계정)\AppData\Roaming\fdrive\SLEsperant.exe
 - MD5 : 946f4cc561aee0f85206709079b4902f
 - AhnLab V3 : PUP/Win32.SubShop (VT : 10/47)

 

C:\Users\(사용자 계정)\AppData\Roaming\fdrive\winqq.dll
 - MD5 : 069a59032e6729afe2ae8865a5322913
 - Kaspersky : not-a-virus:AdWare.Win32.Kraddare.im (VT : 17/47)

 

C:\Users\(사용자 계정)\AppData\Roaming\fdrive\winqq.exe
 - MD5 : 95a67f7f685ee3fa2e1f43322399abc0
 - Kaspersky : not-a-virus:AdWare.Win32.Kraddare.dk (VT : 31/47)

해당 프로그램은 "C:\Users\(사용자 계정)\AppData\Roaming\fdrive" 폴더에 파일을 생성하며 시스템 시작시 다음과 같은 동작을 수행합니다.

"fdrivev (표시 이름 : Now Dream Service Application)" 서비스 항목을 등록하여 시스템 시작시 "C:\Users\(사용자 계정)\AppData\Roaming\fdrive\fdrivev.exe" 파일을 자동 실행하도록 구성되어 있습니다.

자동 실행된 서비스 파일(fdrivev.exe)은 "C:\Users\(사용자 계정)\AppData\Roaming\fdrive\fdrive.exe" 파일을 추가 로딩하여 특정 서버로부터 특정 암호화된 구성값을 체크합니다.

이후 2개의 프로세스는 모두 자동 종료 처리되며 설치된 "Now Dream Service Application" 프로그램은 아무런 추가 동작은 이루어지지 않습니다.

 

그렇다면 왜 비용을 지불하면서 위와 같은 의미없는 프로그램을 배포하는 이유가 무엇일까요?

이번에 발견된 "Now Dream Service Application" 프로그램 역시 기존의 SubShop 변종 프로그램과 마찬가지로 3종의 각기 다른 디지털 서명을 포함하고 있습니다.

  • fdrive.exe (디지털 서명 : D prime)
  • portal.exe (디지털 서명 : The A MEDIA)
  • SLEsperant.exe (디지털 서명 : LEEYEON Communication Co.,Ltd)

이중에서 "D prime" 디지털 서명은 기존의 SubShop 광고 프로그램이 사용하던 "yearsoft" 디지털 서명에서 교체된 것으로 추정되며, "The A MEDIA""LEEYEON Communication Co.,Ltd" 디지털 서명은 외부 광고 프로그램에서 사용하는 것으로 보입니다.

 

즉, SubShop 프로그램은 외부 광고 서비스를 하나의 플렛폼에 통합한 광고 솔루션 배포 프로그램의 역활을 수행하며 이를 통해 설치된 1~2종의 광고 기능을 가진 파일이 광고창 생성 등의 수익 활동을 수행하는 것으로 보입니다.

 

현재 설치되는 "Now Dream Service Application" 프로그램은 이같은 기능에 최적화된 배포용 프로그램으로, 특정 시점 또는 조건에서 설치되거나 설치 후 업데이트 되는 과정에서 제어판에는 등록하지 않는 방식으로 다양한 폴더에 프로그램을 설치(변경)할 것으로 추정됩니다.

현재 테스트를 통해 설치된 "Now Dream Service Application" 프로그램은 제어판의 삭제 항목을 통해 삭제를 지원하고 있으며, 위와 유사한 SubShop 변종 프로그램은 제어판에 등록되지 않은 경우에는 프로그램의 설치 폴더를 찾아 내부에 존재하는 "C:\Users\(사용자 계정)\AppData\Roaming\(임의의 폴더명)\uninstall.exe" 파일을 직접 실행하시면 프로그램을 삭제할 수 있을 것으로 보입니다.

 

또한 "Now Dream Service Application" 프로그램이 정상적으로 동작하여 광고 기능을 수행한다면 Windows 작업 관리자에서 fdrivep.exe(추정), portal.exe, SLEsperant.exe, winqq.exe 프로세스를 찾아 수동으로 종료하신 후 프로그램 삭제를 진행하시기 바랍니다.