울지않는벌새 : Security, Movie & Society

검색 도우미 : Windows GearExtion

벌새::Analysis

인터넷 검색시 광고창 생성 및 바로가기 아이콘 생성 등의 수익 활동을 하는 것으로 추정되는 검색 도우미 "Windows GearExtion" 프로그램에 대해 살펴보도록 하겠습니다.

 

  검색 도우미 : GearExtention for Windows (x86,x64) - gemegnmqmp.exe (2013.12.16)

 

  검색 도우미 : GearExtention for Windows (x86,x64) - gemegpvrqn.exe (2013.12.30)

 

  검색 도우미 : GearExtention for Windows (x86,x64) - gemegrsvsp.exe (2014.1.7)

 

  검색 도우미 : GearExtention for Windows (x86,x64) - gemegnmums.exe (2014.1.8)

 

해당 프로그램은 기존의 "GearExtention for Windows (x86,x64)" 검색 도우미의 변종 프로그램이며, 버전에 따라 프로그램 이름은 동일하지만 다양한 변종 파일이 유포되고 있는 것으로 판단됩니다.

대표적인 배포 방식으로는 대량의 스팸(Spam) 블로그에 등록된 다운로드 링크<Google 단축 URL(goo.gl) → 광고 업체에서 운영하는 파일 자료실>를 통해 "raonmedia" 디지털 서명이 포함된 파일<SHA-1 : 83e07eb36aac724be2c2191ada223c3382e5e1e5 - Hauri ViRobot : Adware.Agent.403888 (VT : 7/50)>을 다운로드합니다.

다운로드된 파일을 실행하면 "유틸룸 다운로더" 창이 생성되며, 부주의한 사용자가 우측 하단에 등록된 10여종의 제휴 프로그램을 무시하고 파일 전송을 시도할 경우 다양한 악성 광고 프로그램이 자동으로 설치될 수 있습니다.

 

그 중에서도 "검색도우미-기어익스텐션"으로 등록된 항목을 통해 "Windows GearExtion" 프로그램이 설치되도록 되어 있습니다.

설치 과정을 살펴보면 유틸룸 서버에 등록된 제휴 프로그램 목록을 참조하여 특정 서버로부터 "Windows GearExtion" 프로그램 배포 파일<SHA-1 : 010568e00ea1c9b499a136feb03f2e2cd3216d50 - AhnLab V3 : PUP/Win32.IntClient (VT : 5/50)>을 다운로드하며, 다운로드된 파일은 "C:\Users\(사용자 계정)\AppData\Local\Temp\ins.p6.exe" 파일로 생성 및 실행됩니다.

실행된 파일은 서버로부터 "Windows GearExtion" 프로그램의 설치 파일이 포함된 ZIP 압축 파일(gearext_inst.zip)을 다운로드하여 "C:\Users\(사용자 계정)\AppData\Local\Temp\gearext_inst.exe" 파일<SHA-1 : d46b38740c812a572717813cc4bd71458539748c - AhnLab V3 : PUP/Win32.IntClient (VT : 5/50)>로 압축 해제 및 실행합니다.

실행된 파일은 다시 서버에서 "Windows GearExtion" 프로그램 관련 생성 파일들이 압축된 ZIP 압축 파일(install.zip)을 다운로드하여 "C:\Program Files\Windows GearExt" 폴더 압축 해제 및 설치를 진행합니다.

 

참고로 압축 해제를 통해 생성된 파일 중 "C:\Program Files\Windows GearExt\gearextm.exe" 파일<SHA-1 : ceb9cb334529958160e635c5eb267ce2b2bf4e91 - nProtect : Adware/W32.Agent.391872 (VT : 5/50)>은 자동 삭제 처리가 이루어집니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Program Files\Windows GearExt
C:\Program Files\Windows GearExt\gearext_uninst.exe :: 프로그램 삭제 파일
C:\Program Files\Windows GearExt\gearext.exe :: 메모리 상주 프로세스
C:\Program Files\Windows GearExt\gearexts.exe :: 예약 작업(gesegoput) 등록 파일
C:\Program Files\Windows GearExt\gearextu.exe :: 시작 프로그램(EXTGEAR) 등록 파일, 시작 프로그램 폴더(gearextu) 등록 파일
C:\Program Files\Windows GearExt\gext_bangabmoa.dll
C:\Users\(사용자 계정)\AppData\Local\GearExt
C:\Users\(사용자 계정)\AppData\Local\GearExt\temp
C:\Users\(사용자 계정)\AppData\Local\Temp\gearext_inst.exe
C:\Users\(사용자 계정)\AppData\Local\Temp\ins.p6.exe
C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\gearextu.lnk
C:\Windows\gemegoput.exe :: 서비스(gemegoput) 등록 파일
C:\Windows\System32\Tasks\gesegoput
C:\Windows\Tasks\gesegoput.job

 

[생성 파일 진단 정보]

 

C:\Program Files\Windows GearExt\gearext_uninst.exe
 - SHA-1 : 119234648f63b404b2147b822eaf49bb9fe5abfa
 - AhnLab V3 : PUP/Win32.IntClient (VT : 3/50)

 

C:\Program Files\Windows GearExt\gearext.exe
 - SHA-1 : ff001aa1c6ddb06b71ff0d9fdd67e7728181980c
 - nProtect : Adware/W32.Agent.416960 (VT : 6/50)

 

C:\Program Files\Windows GearExt\gearexts.exe
 - SHA-1 : 6c45d23f889a1bfd0cc08e569391599150ea1a8d
 - AhnLab V3 : PUP/Win32.GearExt (VT : 5/49)

 

C:\Program Files\Windows GearExt\gearextu.exe
 - SHA-1 : e91ad941e8caa5ac68531439723bc32f8782ff8c
 - ESET : a variant of Win32/AdWare.Kraddare.IL (VT : 8/50)

 

C:\Program Files\Windows GearExt\gext_bangabmoa.dll
 - SHA-1 : 425345677ff19ccd71ecafadabc0b5c26d011e9e
 - BitDefender : Gen:Variant.Symmi.36013 (VT : 15/50)

 

C:\Users\(사용자 계정)\AppData\Local\Temp\gearext_inst.exe
 - SHA-1 : d46b38740c812a572717813cc4bd71458539748c
 - AhnLab V3 : PUP/Win32.IntClient (VT : 5/50)

 

C:\Users\(사용자 계정)\AppData\Local\Temp\ins.p6.exe
 - SHA-1 : 010568e00ea1c9b499a136feb03f2e2cd3216d50
 - AhnLab V3 : PUP/Win32.IntClient (VT : 5/50)

 

C:\Windows\gemegoput.exe
 - SHA-1 : ceb9cb334529958160e635c5eb267ce2b2bf4e91
 - AVG : MalSign.Generic.EE7 (VT : 5/49)

"INSAFE" 디지털 서명이 포함된 "Windows GearExtion" 프로그램은 "C:\Program Files\Windows GearExt" 폴더 및 Windows 폴더 내부에 파일을 생성하며, Windows 부팅시 다음과 같은 방식으로 자동 실행되도록 구성되어 있습니다.

 

1. "gemegoput (표시 이름 : WindowGearExt)" 서비스 등록

"gemegoput (표시 이름 : WindowGearExt)" 서비스 항목을 등록하여 시스템 시작시 ["C:\Windows\gemegoput.exe" /srv] 파일을 자동 실행되도록 구성되어 있습니다.

자동 실행된 서비스 파일(gemegoput.exe)은 약 1분 동안 특정 서버에 수차례 프로그램 실행 및 시간을 체크한 후 자동 종료 처리됩니다.

 

참고로 서비스 등록 파일명 및 서비스 이름은 프로그램 버전에 따라 배포되는 변종에 따라 모두 변경될 수 있습니다.

 

2. 시작 프로그램(EXTGEAR) 및 시작 프로그램 폴더(gearextu) 등록

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - EXTGEAR = "C:\Program Files\Windows GearExt\gearextu.exe" /run

Windows 시작시 ["C:\Program Files\Windows GearExt\gearextu.exe" /run] 파일을 시작 프로그램으로 등록하여 자동 실행된 파일은 특정 서버에서 업데이트 및 구성값 정보를 체크한 후 "C:\Program Files\Windows GearExt\gearext.exe" 파일을 로딩하여 메모리에 상주시킵니다.

또한 시작 프로그램 폴더에 "C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\gearextu.lnk" 파일을 등록하여 Windows 시작시 ["C:\Program Files\Windows GearExt\gearextu.exe"  /startup] 파일이 자동 실행되도록 구성되어 있습니다.

 

이렇게 등록한 이유는 사용자가 시작 프로그램에 등록된 "EXTGEAR" 항목을 체크 해제 또는 삭제할 것으로 대비하여 시작 프로그램 폴더 내에도 추가로 등록한 것으로 판단됩니다.

 

이렇게 자동 실행된 파일은 시작 프로그램과 동일하게 업데이트 및 구성값 정보를 체크한 후 "C:\Program Files\Windows GearExt\gearext.exe" 파일을 실행하여 메모리에 상주시킵니다.

 

3. 예약 작업(gesegoput) 등록

예약 작업에 "gesegoput" 작업 스케줄러 항목을 등록하여 Windows 시작시 "C:\Program Files\Windows GearExt\gearexts.exe /sch" 파일을 자동 실행하도록 구성되어 있습니다.

자동 실행된 파일(gearexts.exe)은 특정 서버에서 업데이트 및 구성값 정보를 체크한 후 "C:\Program Files\Windows GearExt\gearext.exe" 파일을 로딩하여 메모리에 상주하도록 되어 있습니다.

 

참고로 예약 작업 등록값은 변종 프로그램에 따라 등록값이 다르게 생성될 수 있는 것으로 추정됩니다.

 

위와 같이 Windows 시작시 서비스, 시작 프로그램, 시작 프로그램 폴더, 예약 작업에 등록된 다양한 경로를 통해 최종적으로 자동 실행되는 "C:\Program Files\Windows GearExt\gearext.exe" 파일은 30분 간격으로 다음과 같은 외부 통신을 수행합니다.

연결된 서버에서는 암호화된 정보를 통해 다양한 등록값을 체크하는 것으로 파악되고 있으며, 현재 유추 가능한 체크값은 다음과 같습니다.

메모리에 상주한 "C:\Program Files\Windows GearExt\gearext.exe" 파일은 30분 주기로 서버에서 암호화된 정보를 받아오며, 테스트 당시에는 추가적인 업데이트 등의 동작은 확인되지 않고 있습니다.

그 중에서 프로그램 업데이트 정보와 관련된 암호화 값은 위와 같이 생성 파일값(URL, 파일 크기, 자동 실행 등록값)과 연관된 것으로 보입니다.

 

이처럼 설치된 "Windows GearExtion" 검색 도우미 프로그램은 장시간 사용 및 모니터링을 통해 추가적인 동작을 확인해야 하지만, 시간 관계상 실제 광고 동작 등은 확인되지 않고 있습니다.

 

하지만 실제 동작은 인터넷 검색시 사용자가 입력하는 검색 키워드 값, 접속 사이트 URL 주소 등을 모니터링하여 매칭되는 경우 광고창 생성이 발생할 수 있을 것으로 보이며, 차후 업데이트를 통해 바로가기 아이콘 등이 생성될 가능성이 존재합니다.

해당 프로그램의 광고 동작은 메모리에 상주하는 gearext.exe 프로세스를 통해 이루어지므로, 광고 동작 중지 및 프로그램 삭제시에는 Windows 작업 관리자를 실행하여 gearext.exe 프로세스를 찾아 종료하시기 바랍니다.

프로그램 삭제시에는 Internet Explorer 웹 브라우저를 비롯한 모든 프로그램을 종료한 상태에서 제어판에 등록된 "Windows GearExtion" 삭제 항목을 이용하여 삭제할 수 있으며, 삭제 과정에서 제시되는 랜덤(Random)한 "(영문+숫자)" 값을 확인하여 공란(Blank)에 동일하게 입력하여 삭제를 진행하시기 바랍니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_LOCAL_MACHINE\SOFTWARE\GearExt
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ge
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - EXTGEAR = "C:\Program Files\Windows GearExt\gearextu.exe" /run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
GearExt
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\CompatibilityAdapter\Signatures
 - gesegoput.job
 - gesegoput.job.fp
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{C0FC86CC-4601-454C-89E7-BE15EFBFCDE8}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\gesegoput
HKEY_LOCAL_MACHINE\SOFTWARE\uninstall_GearExt
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\gemegoput

 

일부 환경에서는 "GearExtention for Windows (x86,x64)", "Windows GearExtion" 프로그램 삭제가 정상적으로 이루어지지 않는 문제로 고생을 하는 경우가 있는 것으로 추정되므로, 프로그램을 사용자가 직접 삭제할 경우에는 안전 모드(F8) 환경에서 프로세스 종료 후 생성 폴더(파일), 레지스트리 값을 삭제하시기 바랍니다.

 

또한 해당 프로그램은 자동 실행되도록 등록하는 다양한 등록값이 존재하므로 일부만 삭제 또는 체크 해제를 통해 프로그램 동작을 중지할 경우 차후 업데이트를 통해 다시 등록되어 동작할 수 있으므로 반드시 파일을 제거하시기 바랍니다.