울지않는벌새 : Security, Movie & Society

RollingPop 1.0 업데이트를 통한 Windows Explorer Plugin CertKey KB31113 자동 설치 사례 (2014.1.1)

벌새::Analysis

최근 "RollingPop 1.0" 검색 도우미 프로그램이 설치된 환경에서 프로그램의 업데이트 기능을 통해 사용자 몰래 "Windows Explorer Plugin CertKey KB31113" 검색 도우미 프로그램으로 자동 변경되는 유포 사례를 확인하였습니다.

 

해당 유포 동작은 RollingPop 1.0 프로그램이 설치된 환경 또는 제휴 프로그램으로 유포가 이루어지고 있는 RollingPop 1.0 프로그램이 설치되는 과정에서 이루어지고 있는 것으로 추정되며, 특히 Windows XP 운영 체제 및 사용자 계정 컨트롤(UAC) 기능을 사용하지 않는 Windows Vista 이상의 운영 체제에서 발생하는 것으로 보입니다.

 

대표적인 유포 사례를 살펴보면 국내에서 제작된 메모리 최적화 프로그램 아웃메모리(OutMemory) 프로그램<SHA-1 : 7e2599f62261c423a060673d9177d85c8370c0ea - ESET : a variant of Win32/AdWare.Kraddare.IN (VT : 18/48)>이 설치된 환경에서 Windows 부팅시 다음과 같은 "Out-Memory 업데이트" 창을 통해 확인할 수 있습니다.

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - OutMemory = "C:\Program Files\OutMemory\OutMemory.exe" /Run
 - OutMemoryUpdate = C:\Program Files\OutMemory\OutMemoryUD.exe

아웃메모리(OutMemory) 프로그램이 설치된 환경에서는 Windows 시작시 2개의 시작 프로그램 등록값을 통해 프로그램 자동 실행 및 업데이트 체크를 하도록 구성되어 있습니다.

 

[OutMemory 업데이트 파일 진단 정보]

 

C:\Program Files\OutMemory\OutMemoryUD.exe
 - SHA-1 : 51d865c09101c228e05aa240be85367ea5c53104
 - avast! : Win32:Adware-gen [Adw] (VT : 18/48)

 

자동 실행된 "C:\Program Files\OutMemory\OutMemoryUD.exe" 파일은 "Out-Memory 업데이트" 창 생성을 통해 부주의한 사용자들을 대상으로 "컨텐츠 업데이트" 항목에 등록된 다양한 제휴 프로그램의 설치를 유도하고 있으며, 그 중 "롤링팝"을 통해 RollingPop 1.0 프로그램이 설치될 수 있습니다.

  • h**p://a.rolling***.com/update/RollingPop_H_ROLL03.exe (SHA-1 : 24d6dc95d036aa991b6c146391d9e28467a16e73) - AhnLab V3 : PUP/Win32.HipPop (VT : 32/48)
  • h**p://eltwo.smile****.co.kr/Image/RollingPop_H_ROLL03.exe (SHA-1 : 24d6dc95d036aa991b6c146391d9e28467a16e73) - AhnLab V3 : PUP/Win32.HipPop (VT : 32/48)

제휴 프로그램으로 등록된 롤링팝(RollingPop) 프로그램의 설치가 진행되면 2개의 특정 서버로부터 설치 파일을 다운로드하여 "C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Windows\Templates\RollingPop_H_ROLL03.exe" 파일로 생성된 후 프로그램 설치가 진행되어 "C:\Users\(사용자 계정)\AppData\Roaming\RollingPop" 폴더에 "RollingPop 1.0" 프로그램을 설치합니다.

 

프로그램 설치가 이루어진 "RollingPop 1.0" 프로그램은 "RollingPop_Service" 서비스 항목을 등록하여 시스템 시작시 "C:\Users\(사용자 계정)\AppData\Roaming\RollingPop\RollingPop_S.exe ROLL03" 파일을 자동 실행하도록 구성되어 있습니다.

이를 통해 자동 실행된 서비스 파일(RollingPop_S.exe)은 "C:\Users\(사용자 계정)\AppData\Roaming\RollingPop\RollingPop_U.exe" 파일을 로딩하여 업데이트를 체크하며, 이 과정에서 자동으로 특정 서버로부터 "Windows Explorer Plugin CertKey KB31113" 프로그램의 설치 파일을 다운로드합니다.

  • h**p://a.rolling***.com/update//CertKey_ROLL1.exe (SHA-1 : 922c29b2409544685b33dd30d3404849f2c9f9b4) - Kaspersky : Trojan-Downloader.Win32.Genome.fjfy (VT : 25/48)
  • h**p://eltwo.smile****.co.kr/Image/CertKey_ROLL1.exe (SHA-1 : 922c29b2409544685b33dd30d3404849f2c9f9b4) - Kaspersky : Trojan-Downloader.Win32.Genome.fjfy (VT : 25/48)

다운로드된 설치 파일은 "C:\Users\(사용자 계정)\AppData\Roaming\RollingPop\UpdateTemp\CertKey_ROLL1.exe" 파일로 임시 생성된 후, "C:\Users\(사용자 계정)\AppData\Roaming\RollingPop\CertKey_ROLL1.exe" 파일로 이동을 합니다.

이렇게 생성된 "C:\Users\(사용자 계정)\AppData\Roaming\RollingPop\CertKey_ROLL1.exe" 파일은 위에서 언급한 것처럼 Windows XP 운영 체제에서는 자동으로 실행되어 사용자 몰래 "Windows Explorer Plugin CertKey KB31113" 프로그램을 설치합니다.

또한 Windows Vista, Windows 7, Windows 8 (8.1) 운영 체제 환경에서는 기본값으로 설정된 사용자 계정 컨트롤(UAC) 보안 기능을 사용자의 편의를 목적으로 해제한 환경에서 자동으로 설치됩니다.

 

그러므로 사용자 계정 컨트롤(UAC) 기능은 반드시 기본값 또는 한 단계 아래로 설정한 상태에서 활성화하시고 사용하시기 바랍니다.

  • Windows XP 운영 체제 : C:\Documents and Settings\LocalService\Application Data\CertKey
  • Windows 7 운영 체제 : C:\Windows\System32\config\systemprofile\AppData\Roaming\CertKey

설치된 "Windows Explorer Plugin CertKey KB31113" 검색 도우미 프로그램은 기존에 분석한 폴더 위치(※ 사용자에 의한 수동 설치시에는 "C:\Users\(사용자 계정)\AppData\Roaming\CertKey" 폴더가 기본값입니다.)가 아니라 사용자가 찾기 매우 어려운 위치에 프로그램을 설치하고 있습니다.

또한 "Windows Explorer Plugin CertKey KB31113" 프로그램 설치가 완료된 후에는 자신을 설치한 "RollingPop 1.0" 프로그램을 삭제할 목적으로 "C:\Users\(사용자 계정)\AppData\Roaming\RollingPop\CertKey_ROLL1.exe" 파일이 생성한 "C:\Users\(사용자 계정)\AppData\Roaming\RollingPop\uninst_roll.exe" 파일을 생성하여 프로그램을 자동 삭제합니다.

위와 같은 과정을 통해 실제로 사용자가 원해서 설치하지도 않은 "RollingPop 1.0" 검색 도우미 프로그램은 자동으로 삭제되고 사용자의 동의없이 자동 업데이트 기능을 통해 몰래 설치된 "Windows Explorer Plugin CertKey KB31113" 프로그램이 등록된 것을 확인할 수 있습니다.

 

아무리 "RollingPop 1.0" 프로그램과 "Windows Explorer Plugin CertKey KB31113" 프로그램이 동일한 광고 업체에 의해 제작된 프로그램이라고 하여도 프로그램이 완전히 변경되는 과정에서 사용자의 동의과정없이 임의 삭제 및 설치가 자동으로 이루어지는 행위는 문제가 있다고 판단되며, 차후 이들 프로그램은 업데이트 기능을 통해 유사한 방식으로 지속적인 프로그램 변경이 이루어질 수 있습니다.

 

그러므로 기본적으로 위와 같은 광고 프로그램이 설치되지 않도록 사용자가 주의해야 하며, 특히 Windows에서 기본적으로 제공되는 사용자 계정 컨트롤(UAC) 보안 기능을 무시하여 비활성화하고 사용하는 잘못된 습관을 고치시기 바랍니다.