울지않는벌새 : Security, Movie & Society

Window for smart update 기능을 몰래 등록하는 SSI 프로그램 주의 (2014.1.5)

벌새::Analysis

최근 국내에서 제작된 SSI 검색 도우미 프로그램이 설치되는 과정에서 사용자 몰래 추가적인 파일을 등록하여 Windows 시작시 특정 조건을 체크하여 "Window for smart update" 창을 생성하여 제휴 프로그램의 설치를 유도하는 행위가 확인되고 있습니다.

 

  검색 도우미 : SSI (2013.10.20)

 

SSI 검색 도우미 프로그램은 2013년 10월경부터 유포가 확인되고 있으며, 2013년 12월경부터 추가적인 파일을 등록하고 있는 것이 아닌가 의심되고 있습니다.

 

우선 최근 배포가 이루어지고 있는 SSI 검색 도우미 설치 파일<SHA-1 : 9288e59d343b4c9b46e8f21548b13fcafcafdd65 - ESET : a variant of Win32/AdWare.CloverPlus.AF (VT : 15/47)>을 이용하여 프로그램이 설치될 경우 "C:\Users\(사용자 계정)\AppData\Local\Temp\adm\ssiinstall.exe" 파일<SHA-1 : 19cda1017f8a6c89cc87e52619c87245f384388b - AhnLab V3 : PUP/Win32.CloverPlus (VT : 13/47)>을 생성하여 다음과 같은 파일 생성이 이루어집니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Users\(사용자 계정)\AppData\Local\SSI
C:\Users\(사용자 계정)\AppData\Local\SSI\ssi.dll
C:\Users\(사용자 계정)\AppData\Local\SSI\SSI.exe :: 시작 프로그램(SSI) 등록 파일, 메모리 상주 프로세스
C:\Users\(사용자 계정)\AppData\Local\SSI\SSIagent.exe :: 시작 프로그램(SSIagent) 등록 파일, 메모리 상주 프로세스
C:\Users\(사용자 계정)\AppData\Local\SSI\unins000.dat
C:\Users\(사용자 계정)\AppData\Local\SSI\unins000.exe :: 프로그램 삭제 파일
C:\Users\(사용자 계정)\AppData\Local\Temp\adm
C:\Users\(사용자 계정)\AppData\Local\Temp\adm\ssiinstall.exe
C:\Users\(사용자 계정)\AppData\Roaming\windowforsmartinstall.exe :: 시작 프로그램(msprivs) 등록 파일

 

[생성 파일 진단 정보]

 

C:\Users\(사용자 계정)\AppData\Local\SSI\ssi.dll
 - SHA-1 : fc5caacfbe51ef86b5b91f7b6cbbf5f9e62920c2
 - nProtect : Adware/W32.Agent1.681056 (VT : 11/47)

 

C:\Users\(사용자 계정)\AppData\Local\SSI\SSI.exe
 - SHA-1 : 04545cd12a20620a17b2017dbbf133ba5333a24d
 - AhnLab V3 : PUP/Win32.ShortCut (VT : 22/48)

 

C:\Users\(사용자 계정)\AppData\Local\SSI\SSIagent.exe
 - SHA-1 : 16cc03ae79bb23dbe34554a5ddea3a52d6fb6c07
 - ViRobot : Adware.Agent.121448.B (VT : 27/47)

 

C:\Users\(사용자 계정)\AppData\Local\SSI\unins000.exe
 - SHA-1 : 7047f3457da2fb1337aec31aef71397bf3b523c8
 - nProtect : Adware/W32.Agent1.1185443 (VT : 2/48)

 

C:\Users\(사용자 계정)\AppData\Local\Temp\adm\ssiinstall.exe
 - SHA-1 : 19cda1017f8a6c89cc87e52619c87245f384388b
 - AhnLab V3 : PUP/Win32.CloverPlus (VT : 13/47)

 

C:\Users\(사용자 계정)\AppData\Roaming\windowforsmartinstall.exe
 - SHA-1 : 1a6fbd622a44dbb220b7af141585db54c331bdd2
 - BitDefender : Gen:Variant.Symmi.31567 (VT : 20/48)

 

"Korea Contents Network" 디지털 서명이 포함된 SSI 검색 도우미 프로그램은 "C:\Users\(사용자 계정)\AppData\Local\SSI" 또는 "C:\Program Files\SSI" 폴더에 파일을 생성하며, Windows 시작시 다음과 같은 2개의 시작 프로그램 항목을 등록하여 자동 실행되도록 구성되어 있습니다.

  • SSI = "C:\Users\(사용자 계정)\AppData\Local\SSI\SSI.exe" /byboot
  • SSIagent = C:\Users\(사용자 계정)\AppData\Local\SSI\SSIagent.exe

이를 통해 SSI 프로그램이 설치된 환경에서는 인터넷 검색 등의 동작에서 광고창 자동 생성과 같은 수익 활동을 진행할 수 있습니다.(※ 자세한 정보는 기존의 SSI 분석 내용을 참고하시기 바랍니다.)

그런데 SSI 검색 도우미 프로그램 설치 과정에서 "C:\Users\(사용자 계정)\AppData\Roaming\windowforsmartinstall.exe" 파일을 추가 생성하여, Windows 부팅시 "msprivs" 시작 프로그램 등록값을 통해 자동 실행되도록 구성되어 있습니다.

실행된 windowforsmartinstall.exe 파일은 SSI 서버와 통신하여 2개의 파일(SSIagent.exe, SSI.exe)을 체크하여 "Window for smart update" 창 생성을 통해 추가적인 제휴 프로그램의 설치를 유도할 수 있습니다.

  • h**p://down.***ssi.net/download/adInstall_ssi100.exe (SHA-1 : aa01e3aaad669a96a1939d4d0b9b92761e9b18d7) - AVG : Generic5.AJSV (VT : 12/48)

실제 "Window for smart update" 창이 생성될 경우 현재는 SSI 검색 도우미 프로그램의 설치를 유도하고 있으며, 다양한 추가적인 제휴 프로그램의 설치를 유도할 것으로 보입니다.

 

위와 같이 "Window for smart update" 창의 생성은 SSI 검색 도우미 프로그램 설치시 함께 자동으로 설치되고 있으며, 사용자가 SSI 프로그램 삭제를 한 이후에도 삭제되지 않은 상태로 유지되어 유포자의 의도에 따라 특정 Windows 부팅시 업데이트 창 생성을 통해 SSI 프로그램의 재설치 및 추가적인 제휴 프로그램을 설치할 수 있습니다.(※ 최근 제어판에 "windows for smart install" 이름으로 삭제 항목을 등록하여 삭제할 수 있도록 제공하고 있는 것으로 확인되고 있습니다.)

 

그러므로 다음과 같은 절차에 따라 프로그램 및 추가적인 파일 삭제를 진행하여 불필요한 프로그램(PUP) 등이 설치되지 않도록 하시기 바랍니다.

 

(a) SSI 검색 도우미 프로그램의 삭제를 위해서는 Windows 작업 관리자를 실행하여 SSI.exe, SSIagent.exe 프로세스를 찾아 종료하시기 바랍니다.

특히 SSIagent.exe 프로세스는 SSI.exe 프로세스 보호 기능을 통해 SSI.exe 프로세스를 사용자가 종료하지 못하도록 하므로 "SSIagent.exe → SSI.exe" 프로세스 순서로 프로세스 종료를 진행하시기 바랍니다.

 

(b) 제어판에 등록된 "SSI" 삭제 항목을 이용하여 프로그램 삭제를 진행하시기 바랍니다.

프로그램 삭제 후에는 "C:\Users\(사용자 계정)\AppData\Local\Temp\adm" 폴더 및 내부 파일을 찾아 직접 삭제하시기 바랍니다.

 

(c) "Window for smart update" 창 생성 기능을 가진 "C:\Users\(사용자 계정)\AppData\Roaming\windowforsmartinstall.exe" 파일을 찾아 삭제하시기 바랍니다.

 

(d) 레지스트리 편집기(regedit)를 실행하여 다음의 레지스트리 값을 찾아 삭제하시기 바랍니다.

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - msprivs = C:\Users\(사용자 계정)\AppData\Roaming\windowforsmartinstall.exe

"Window for smart update" 업데이트 창은 마치 마이크로소프트(Microsoft)에서 제공하는 Windows 관련 업데이트 창처럼 사용자를 기만할 수 있으며, 기본값으로 제휴 프로그램이 체크된 상태로 생성되고 있으므로 주의하시기 바랍니다.