최근 국내에서 제작된 InsideTool 검색 도우미 프로그램이 설치된 환경에서 업데이트 서버를 통해 악성 파일이 추가적으로 설치되는 동작을 확인하였습니다.
▷ 검색 도우미 : InsideTool (2013.5.13)
InsideTool 검색 도우미 프로그램은 2013년 5월 전후부터 다양한 유포 경로를 통해 사용자 PC에 설치되고 있으며, 이번 악성코드 유포는 Windows XP 운영 체제 환경에서 정상적으로 동작하는 것을 확인되고 있습니다.(※ Windows 7 운영 체제의 경우 "사용자 계정 컨트롤(UAC)" 보안 기능을 비활성화한 경우 정상 동작할 수 있을 것으로 추정됩니다.)
테스트는 현재 유포되고 있는 InsideTool 배포용 파일<MD5 : 487a27ae7a57a98fca1ac3be41a9dbb3 - Hauri ViRobot : Adware.InsideTool.76296.C (VT : 19/49)>을 이용하여 확인하였으며, InsideTool 프로그램이 설치된 모든 PC가 감염 대상으로 판단됩니다.
- h**p://file.**tab.co.kr/dst/InsideTool_IT147.exe (MD5 : f0d937b347cd76631b26809f1a412266) - nProtect : Adware/W32.Agent.314264 (VT : 21/49)
프로그램 설치가 진행되면 특정 파일 서버로부터 InsideTool 설치 파일(InsideTool_IT147.exe)을 다운로드하여 "C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\InsideTool_IT147.exe" 파일로 생성되어 실행됩니다.
참고로 InsideTool 프로그램의 파일에는 유효한 "nbiz Ltd." 디지털 서명을 포함하고 있습니다.
C:\Program Files\InsideTool
C:\Program Files\InsideTool\InsideTool.dll
C:\Program Files\InsideTool\InsideTool.exe
C:\Program Files\InsideTool\setting.dat
C:\Program Files\InsideTool\Uninstall.exe
설치된 InsideTool 프로그램은 "C:\Program Files\InsideTool" 폴더에 파일을 생성하며, Windows 시작시 "C:\Program Files\InsideTool\InsideTool.exe" 파일<MD5 : c50b7708b7ad8686437d2bcbb5dfe190 - AhnLab V3 : PUP/Win32.NBiz (VT : 21/49)>을 시작 프로그램으로 등록하여 자동 실행하도록 구성되어 있습니다.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- InsideTool = C:\Program Files\InsideTool\InsideTool.exe
- h**p://insidetool.**tab.co.kr/update/IT137/ITU1010.exe (MD5 : aa3de068410c998bfbd4b5678c938797) - AhnLab V3 : Adware/Win32.SideTab (VT : 26/49)
자동 실행된 InsideTool.exe 파일은 특정 서버에서 업데이트 정보를 체크하여 시스템 시작시마다 추가적인 파일을 다운로드하여 "C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\ITU1010.exe" 파일로 생성된 후 실행되어 다음과 같은 동작을 수행합니다.
참고로 업데이트를 통해 다운로드되는 ITU1010.exe 파일은 InsideTool 프로그램에 포함되어 있던 디지털 서명이 존재하지 않지만, 파일 속성값은 InsideTool로 등록되어 있는 것이 특징입니다.
1. Windows 방화벽 기능 비활성화
정상적으로 활성화된 Windows 방화벽 기능이 InsideTool 프로그램의 업데이트를 통해 비활성화 처리됩니다.
2. 악성 파일 생성 및 서비스 등록
C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\svchost.exe
- MD5 : b1de658594343810fd1e23c3161732af
- ESET : a variant of Win32/TrojanDownloader.Agent.AFE (VT : 5/49)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINLOGON
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinLogon
생성된 "C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\svchost.exe" 악성 파일은 "WinLogon" 서비스 항목을 등록하여 시스템 시작시 자동 실행하도록 구성되어 있습니다.
또한 생성된 svchost.exe 파일은 InsideTool 프로그램에 존재하는 디지털 서명은 포함되어 있지 않지만, 파일 속성값이 InsideTool 프로그램처럼 등록되어 있습니다.
이렇게 감염된 PC 환경에서는 악성 svchost.exe 프로세스가 해킹된 것으로 추정되는 국내 "○○○ 한의원" 웹 서버와 통신을 시도하는 것을 확인할 수 있습니다.(※ 특히 원격 서버에서도 insidetools.php 값을 사용한 점을 봐서는 InsideTool 광고 프로그램을 표적으로 이루어진 악의적 행위로 보입니다.)
이를 통해 서버로부터 image.jpg 파일을 받아와 "C:\WINDOWS\ttt.dat" 파일로 기록한 후 악성 프로그램 버전 체크, 추가적인 다운로드를 통한 악성 프로그램 설치 등의 악의적 기능을 수행할 수 있습니다.
현재는 정상적으로 연결되지 않는 것으로 파악되고 있지만 최근까지 공격자는 InsideTool 프로그램 업데이트 서버를 통해 악성코드를 유포한 후 원격 서버를 통해 추가적인 악성 프로그램을 설치 시도하였을 가능성이 매우 높습니다.
대부분의 보안 제품에서는 설치 파일 또는 업데이트 파일을 진단하고 있는 것으로 파악되고 있지만, 최종 생성 파일(svchost.exe)의 진단이 거의 이루어지지 않는다는 점과 알약(ALYac) 무료 백신에서는 모든 파일을 전혀 진단하지 않고 있기에 진단 추가가 필요해 보입니다.
그러므로 사용자가 직접 악성 파일을 제거하기 위해서는 다음과 같은 절차에 따라 진행하시기 바랍니다.(※ 해당 내용은 Windows XP 운영 체제 기준입니다.)
(a) "보조 프로그램 → 명령 프롬프트" 메뉴를 실행하여 [sc stop "WinLogon"], [sc delete "WinLogon"] 명령어를 순서대로 입력 및 실행하여 서비스 중지 및 삭제를 자동으로 하시기 바랍니다.
(b) Windows 탐색기를 실행하여 다음의 파일을 찾아 삭제하시기 바랍니다.
- C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\ITU1010.exe
- C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\svchost.exe
(c) Windows 작업 관리자를 실행하여 InsideTool.exe 프로세스를 종료한 후 Internet Explorer 웹 브라우저를 종료한 상태에서 제어판에 등록된 "InsideTool" 삭제 항목을 통해 프로그램을 삭제하시기 바랍니다.
만약 악성 파일만 삭제를 한 경우 Windows 부팅시마다 InsideTool 프로그램의 업데이트 기능을 매번 반복적으로 감염을 유발하므로 InsideTool 검색 도우미 프로그램의 삭제가 필수적으로 이루어져야 합니다.
이번 사례와 같이 사용자 PC에 빈번하게 설치되는 광고 프로그램이 단순히 광고창 생성 등의 행위를 통해 돈벌이만을 하는 것이 아니라 해킹으로 의심되는 행위로 인하여 추가적인 악성 프로그램이 사용자 몰래 설치되는 등 부실한 광고 프로그램은 금전적 피해와 개인정보 유출 등의 문제를 부가적으로 유발할 수 있다는 점에서 사용자의 실수에 의해 설치되는 광고 프로그램도 잘 확인하여 삭제하시길 권장합니다.