본문 바로가기

벌새::Analysis

사용자 몰래 설치되는 WindowAdvertisement 프로그램 유포 사례 (2014.1.19)

반응형

최근 기존에 설치되어 있는 광고 프로그램이 자체 업데이트 기능을 통해 Windows 부팅시 사용자 몰래 다른 광고 프로그램을 설치하면서 기존에 설치된 광고 프로그램을 자발적으로 삭제 처리하는 방식으로 변경하는 사례가 발견되고 있습니다.

 

  RollingPop 1.0 업데이트를 통한 Windows Explorer Plugin CertKey KB31113 자동 설치 사례 (2014.1.1)

 

대표적인 사례로 "RollingPop 1.0" 검색 도우미 프로그램이 업데이트를 통해 "Windows Explorer Plugin CertKey KB31113" 검색 도우미로 변신하는 경우를 자세하게 소개한 적이 있습니다.

 

이번에는 2013년 5월경부터 발견되고 있는 "Window Network Manager" 검색 도우미 프로그램이 최근부터 화면상으로 표시되지 않는 방식으로 유사한 기능을 가진 WindowAdvertisement 검색 도우미 프로그램으로 변경되는 사례를 소개해 드리도록 하겠습니다.

대표적인 유포 방식은 대량의 스팸(Spam) 블로그를 개설하여 다양한 응용 프로그램의 설치 파일로 위장한 파일을 다운로드하도록 유도하여 사용자가 실행하도록 합니다.

 

테스트에서는 raonmedia 디지털 서명이 포함된 설치 파일<SHA-1 : 83e07eb36aac724be2c2191ada223c3382e5e1e5 - Hauri ViRobot : Adware.Agent.403888 (VT : 7/48)>을 다운로드하여 실행해 보도록 하겠습니다.

다운로드된 파일을 실행하면 "유틸룸 다운로더" 창이 생성되어 파일 전송 버튼을 클릭하도록 제작되어 있으며, 우측 하단에는 사용자가 제대로 확인할 수 없는 16종의 제휴 프로그램을 등록하여 자동 설치되도록 제작되어 있습니다.

 

그 중에서 "검색도우미-탑클릭"으로 표시된 항목이 체크된 상태로 실행되면 "Window Network Manager" 검색 도우미 프로그램이 설치됩니다.

다운로드가 진행되면 특정 서버로부터 "Window Network Manager" 프로그램의 설치 파일<SHA-1 : 65e49a47431363e9b69a347a02017a6c3fd1fb1c - MSE : Trojan:Win32/Sisron (VT : 38/48)>을 다운로드하여 "C:\Users\(사용자 계정)\AppData\Local\Temp\WindowNetworkManage_code67.exe" 파일로 생성 및 실행됩니다.

이를 통해 "Window Network Manager" 프로그램은 "C:\Program Files\Window Network Manager" 폴더에 파일을 생성하여 설치가 이루어집니다.

설치된 프로그램은 예약 작업(C:\Windows\System32\Tasks\Window_Network_Manager)에 "Window_Network_Manager" 작업 스케줄러를 등록하여 시스템 시작시 "C:\Program Files\Window Network Manager\WindowNetworkManager.exe" 파일<SHA-1 : 4aa4416ec8319593d1ffb104c52907f4a256a09c - Kaspersky : Worm.Win32.WBNA.aows (VT : 31/48)>을 자동 실행되도록 등록합니다.

자동 실행된 "C:\Program Files\Window Network Manager\WindowNetworkManager.exe" 파일은 기존에 생성되어 있는 "C:\Program Files\Window Network Manager\WindowNetworkManagerUninstall.exe" 파일을 삭제 처리한 후, 업데이트 체크를 통해 특정 서버로부터 다음과 같은 2개의 파일을 자동 다운로드합니다.

  • h**p://www.werping**.com/partner/pgm/WindowNetworkManagerUninstall.exe (SHA-1 : 46264b7e95457ba19619c81eaadec252d0a02c10) :: "Window Network Manager" 프로그램 삭제 파일
  • h**p://www.werping**.com/partner/pgm/WindowNetworkManager.exe (SHA-1 : 714d3f54e6317a056b89b06b43e62604f77f2e7c) - BitDefender : Gen:Variant.Graftor.119101 (VT : 16/48) :: WindowAdvertisement 설치 파일

추가 다운로드된 WindowAdvertisement 설치 파일인 WindowNetworkManager.exe 파일은 "C:\Program Files\Window Network Manager\WindowNetworkManager_.exe" 파일로 생성되어 자동 실행 처리됩니다.

 

또한 다운로드된 WindowNetworkManagerUninstall.exe 파일은 삭제 처리된 "Window Network Manager" 삭제 파일(C:\Program Files\Window Network Manager\uninst.exe)로 대체됩니다.

 

이렇게 생성된 2개의 파일은 자동 실행을 통해 ① WindowAdvertisement 검색 도우미 프로그램 자동 설치 ② "Window Network Manager" 검색 도우미 프로그램 자동 삭제를 단계적으로 진행하며, 사용자는 화면상으로 어떠한 설치 및 삭제 정보를 알 수 없기에 WindowAdvertisement 광고 프로그램이 왜 설치되었는지 알 수 없습니다.

최종적으로 설치된 결과를 보면 "C:\Program Files\Window Network Manager\WindowNetworkManager_.exe" 파일 실행을 통해 "C:\Program Files\WindowAdvertisement" 폴더에 파일을 생성하여 WindowAdvertisement 검색 도우미 프로그램을 설치합니다.

또한 "C:\Program Files\Window Network Manager\WindowNetworkManager_.exe" 파일은 WindowAdvertisement 검색 도우미 프로그램 설치 후, 기존에 설치되어 있는 "Window Network Manager" 검색 도우미 프로그램 관련 파일(C:\Program Files\Window Network Manager 폴더 내부 파일)들을 자동 삭제 처리합니다.

결과적으로 "Window Network Manager" 검색 도우미 프로그램이 설치된 환경에서는 최근 자체 업데이트 기능을 통해 사용자의 추가적인 동의 과정없이 자동으로 WindowAdvertisement 검색 도우미 프로그램으로 변신을 완료하며, "Window Network Manager" 프로그램은 사용자 몰래 자동 삭제 처리되어 차후 사용자가 WindowAdvertisement 광고 프로그램이 어떤 경로로 설치되었는지 흔적을 삭제합니다.

 

또한 이렇게 설치된 WindowAdvertisement 검색 도우미 프로그램 역시 유사한 구조를 가지고 있기에 일정 기간 운영된 후 업데이트를 통해 또 다른 광고 프로그램으로 바꿔치기가 이루어질 가능성이 매우 높습니다.

 

그러므로 하나의 광고 프로그램 설치가 이루어진 환경에서는 업데이트 창 생성없이 자동으로 프로그램을 변경하며 사용자 PC에 설치된 프로그램 자체를 무단으로 삭제하는 행위를 통해 지소적으로 PC에 기생하여 돈벌이 활동을 하게 되므로 위와 같은 프로그램이 애초부터 설치되지 않도록 주의하시기 바랍니다.

728x90
반응형