본문 바로가기

벌새::Analysis

Window for smart update 기능을 몰래 등록하는 SSI 프로그램 주의 (2014.1.5)

반응형

최근 국내에서 제작된 SSI 검색 도우미 프로그램이 설치되는 과정에서 사용자 몰래 추가적인 파일을 등록하여 Windows 시작시 특정 조건을 체크하여 "Window for smart update" 창을 생성하여 제휴 프로그램의 설치를 유도하는 행위가 확인되고 있습니다.

 

  검색 도우미 : SSI (2013.10.20)

 

SSI 검색 도우미 프로그램은 2013년 10월경부터 유포가 확인되고 있으며, 2013년 12월경부터 추가적인 파일을 등록하고 있는 것이 아닌가 의심되고 있습니다.

 

우선 최근 배포가 이루어지고 있는 SSI 검색 도우미 설치 파일<SHA-1 : 9288e59d343b4c9b46e8f21548b13fcafcafdd65 - ESET : a variant of Win32/AdWare.CloverPlus.AF (VT : 15/47)>을 이용하여 프로그램이 설치될 경우 "C:\Users\(사용자 계정)\AppData\Local\Temp\adm\ssiinstall.exe" 파일<SHA-1 : 19cda1017f8a6c89cc87e52619c87245f384388b - AhnLab V3 : PUP/Win32.CloverPlus (VT : 13/47)>을 생성하여 다음과 같은 파일 생성이 이루어집니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Users\(사용자 계정)\AppData\Local\SSI
C:\Users\(사용자 계정)\AppData\Local\SSI\ssi.dll
C:\Users\(사용자 계정)\AppData\Local\SSI\SSI.exe :: 시작 프로그램(SSI) 등록 파일, 메모리 상주 프로세스
C:\Users\(사용자 계정)\AppData\Local\SSI\SSIagent.exe :: 시작 프로그램(SSIagent) 등록 파일, 메모리 상주 프로세스
C:\Users\(사용자 계정)\AppData\Local\SSI\unins000.dat
C:\Users\(사용자 계정)\AppData\Local\SSI\unins000.exe :: 프로그램 삭제 파일
C:\Users\(사용자 계정)\AppData\Local\Temp\adm
C:\Users\(사용자 계정)\AppData\Local\Temp\adm\ssiinstall.exe
C:\Users\(사용자 계정)\AppData\Roaming\windowforsmartinstall.exe :: 시작 프로그램(msprivs) 등록 파일

 

[생성 파일 진단 정보]

 

C:\Users\(사용자 계정)\AppData\Local\SSI\ssi.dll
 - SHA-1 : fc5caacfbe51ef86b5b91f7b6cbbf5f9e62920c2
 - nProtect : Adware/W32.Agent1.681056 (VT : 11/47)

 

C:\Users\(사용자 계정)\AppData\Local\SSI\SSI.exe
 - SHA-1 : 04545cd12a20620a17b2017dbbf133ba5333a24d
 - AhnLab V3 : PUP/Win32.ShortCut (VT : 22/48)

 

C:\Users\(사용자 계정)\AppData\Local\SSI\SSIagent.exe
 - SHA-1 : 16cc03ae79bb23dbe34554a5ddea3a52d6fb6c07
 - ViRobot : Adware.Agent.121448.B (VT : 27/47)

 

C:\Users\(사용자 계정)\AppData\Local\SSI\unins000.exe
 - SHA-1 : 7047f3457da2fb1337aec31aef71397bf3b523c8
 - nProtect : Adware/W32.Agent1.1185443 (VT : 2/48)

 

C:\Users\(사용자 계정)\AppData\Local\Temp\adm\ssiinstall.exe
 - SHA-1 : 19cda1017f8a6c89cc87e52619c87245f384388b
 - AhnLab V3 : PUP/Win32.CloverPlus (VT : 13/47)

 

C:\Users\(사용자 계정)\AppData\Roaming\windowforsmartinstall.exe
 - SHA-1 : 1a6fbd622a44dbb220b7af141585db54c331bdd2
 - BitDefender : Gen:Variant.Symmi.31567 (VT : 20/48)

 

"Korea Contents Network" 디지털 서명이 포함된 SSI 검색 도우미 프로그램은 "C:\Users\(사용자 계정)\AppData\Local\SSI" 또는 "C:\Program Files\SSI" 폴더에 파일을 생성하며, Windows 시작시 다음과 같은 2개의 시작 프로그램 항목을 등록하여 자동 실행되도록 구성되어 있습니다.

 

  • SSI = "C:\Users\(사용자 계정)\AppData\Local\SSI\SSI.exe" /byboot
  • SSIagent = C:\Users\(사용자 계정)\AppData\Local\SSI\SSIagent.exe

이를 통해 SSI 프로그램이 설치된 환경에서는 인터넷 검색 등의 동작에서 광고창 자동 생성과 같은 수익 활동을 진행할 수 있습니다.(※ 자세한 정보는 기존의 SSI 분석 내용을 참고하시기 바랍니다.)

그런데 SSI 검색 도우미 프로그램 설치 과정에서 "C:\Users\(사용자 계정)\AppData\Roaming\windowforsmartinstall.exe" 파일을 추가 생성하여, Windows 부팅시 "msprivs" 시작 프로그램 등록값을 통해 자동 실행되도록 구성되어 있습니다.

실행된 windowforsmartinstall.exe 파일은 SSI 서버와 통신하여 2개의 파일(SSIagent.exe, SSI.exe)을 체크하여 "Window for smart update" 창 생성을 통해 추가적인 제휴 프로그램의 설치를 유도할 수 있습니다.

  • h**p://down.***ssi.net/download/adInstall_ssi100.exe (SHA-1 : aa01e3aaad669a96a1939d4d0b9b92761e9b18d7) - AVG : Generic5.AJSV (VT : 12/48)

실제 "Window for smart update" 창이 생성될 경우 현재는 SSI 검색 도우미 프로그램의 설치를 유도하고 있으며, 다양한 추가적인 제휴 프로그램의 설치를 유도할 것으로 보입니다.

 

위와 같이 "Window for smart update" 창의 생성은 SSI 검색 도우미 프로그램 설치시 함께 자동으로 설치되고 있으며, 사용자가 SSI 프로그램 삭제를 한 이후에도 삭제되지 않은 상태로 유지되어 유포자의 의도에 따라 특정 Windows 부팅시 업데이트 창 생성을 통해 SSI 프로그램의 재설치 및 추가적인 제휴 프로그램을 설치할 수 있습니다.(※ 최근 제어판에 "windows for smart install" 이름으로 삭제 항목을 등록하여 삭제할 수 있도록 제공하고 있는 것으로 확인되고 있습니다.)

 

그러므로 다음과 같은 절차에 따라 프로그램 및 추가적인 파일 삭제를 진행하여 불필요한 프로그램(PUP) 등이 설치되지 않도록 하시기 바랍니다.

 

(a) SSI 검색 도우미 프로그램의 삭제를 위해서는 Windows 작업 관리자를 실행하여 SSI.exe, SSIagent.exe 프로세스를 찾아 종료하시기 바랍니다.

특히 SSIagent.exe 프로세스는 SSI.exe 프로세스 보호 기능을 통해 SSI.exe 프로세스를 사용자가 종료하지 못하도록 하므로 "SSIagent.exe → SSI.exe" 프로세스 순서로 프로세스 종료를 진행하시기 바랍니다.

 

(b) 제어판에 등록된 "SSI" 삭제 항목을 이용하여 프로그램 삭제를 진행하시기 바랍니다.

프로그램 삭제 후에는 "C:\Users\(사용자 계정)\AppData\Local\Temp\adm" 폴더 및 내부 파일을 찾아 직접 삭제하시기 바랍니다.

 

(c) "Window for smart update" 창 생성 기능을 가진 "C:\Users\(사용자 계정)\AppData\Roaming\windowforsmartinstall.exe" 파일을 찾아 삭제하시기 바랍니다.

 

(d) 레지스트리 편집기(regedit)를 실행하여 다음의 레지스트리 값을 찾아 삭제하시기 바랍니다.

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - msprivs = C:\Users\(사용자 계정)\AppData\Roaming\windowforsmartinstall.exe

"Window for smart update" 업데이트 창은 마치 마이크로소프트(Microsoft)에서 제공하는 Windows 관련 업데이트 창처럼 사용자를 기만할 수 있으며, 기본값으로 제휴 프로그램이 체크된 상태로 생성되고 있으므로 주의하시기 바랍니다.

728x90
반응형
  • 우와 2014.01.14 21:44 댓글주소 수정/삭제 댓글쓰기

    Appdata와 레지스트리를 참 잘 다루시네요, 감탄합니다:D

  • 9999979998 2014.01.26 09:54 댓글주소 수정/삭제 댓글쓰기

    덕분에 잘 해결했습니다ㅎㅎ

    유용한 정보 고마워요 ㅠㅜ

  • 가르몽 2014.01.26 20:49 댓글주소 수정/삭제 댓글쓰기

    감사합니다.최근에 자꾸 재부팅되더니 인제는 괜찮을지...수고하십시오.

  • 김미 2014.01.27 00:54 댓글주소 수정/삭제 댓글쓰기

    덕분에 해결했습니다. 감사드립니다.

  • kittenb 2014.01.29 09:10 댓글주소 수정/삭제 댓글쓰기

    요즘 계속 쇼핑몰 창이 떠서 찾다찾다 여기까지 왔네요.
    근데 제 작업관리자창에는 SSIagent이게 없어요ㅠㅠㅠ
    그냥 ssi만 있어서 삭제해도 계속 다시 생성되네요....어떻게해야하나요?

    • 제어판에서 SSI 삭제 항목으로 삭제하고, C:\Users\(사용자 계정)\AppData\Local\SSI 폴더도 제거된 상태에서 계속 광고창이 생성된다면 다른 광고 프로그램으로 인한 문제로 판단됩니다.

  • zxcv2804 2014.02.16 17:34 댓글주소 수정/삭제 댓글쓰기

    사용자계정이 뭔가요?? 제가 컴멩이라서

  • zxcv2804 2014.02.17 17:31 댓글주소 수정/삭제 댓글쓰기

    감사합니다 근데 삭제해도 다시생기는경우는먼가요??

    • 프로그램 삭제 이후에 재생성되는 경우에는 이런 프로그램을 부팅시마다 자동 생성하는 다른 악성 파일이 존재하기 때문일 가능성이 제일 높습니다.

      그러므로 숨어있는 악성 파일을 추가적으로 찾으시기 바랍니다.

  • 공공다수이용자가 사용 검색되는 낙시 블로그 올리는 사람 처벌해야함
    사이버환경을오염시키고 시간 낭비시킴

  • jakello 2014.06.09 05:46 댓글주소 수정/삭제 댓글쓰기

    윈도우 xp 에서는 어떻게 지우죠 ? window for smart update 가 계속 뜨는데.. 이것좀 지울려구하는데 어떻게 지워야할지 감이안오네요.. 위에 설명된 순서는 xp께 아닌것같은데..

    • window for smart update 프로그램도 변종이 있어서 확인이 어려울 수 있습니다.

      http://hummingbird.tistory.com/notice/4859

      링크 내용을 참고하여 run 파일을 제작하여 이메일로 보내주시기 바랍니다.