울지않는벌새 : Security, Movie & Society

PCYac 광고 프로그램을 통한 PC Clean Optimizer 프로그램 설치 사례 (2014.2.5)

벌새::Analysis

2012년 4월경 소개한 PCYac 광고 프로그램은 실제 존재하지 않는 시스템 최적화 기능을 제공한다는 허위 정보를 통해 최근까지도 유포가 이루어지고 있는 대표적인 프로그램이며, 당시 분석 정보에서는 설치 과정에서 사용자 몰래 KeywordYac 프로그램을 함께 설치하였던 것으로 알려져 있습니다.

 

  [삭제] PCYac + KeywordYac (2012.4.18)

 

최근 다양한 유포 방식으로 설치가 되고 있는 PCYac 프로그램은 해당 업체에서 제작한 것으로 추정되는 "PC Clean Optimizer" 프로그램을 사용자 몰래 설치하면서 사용자에 의한 삭제를 방해하고 있는 부분을 발견하였습니다.

대표적인 유포 방식을 살펴보면 스팸(Spam) 블로그 또는 파일 자료실을 통해 제공되는 배포용 파일<SHA-1 : 7a27d893af0ba97202fcd41e990cb8dfed57648a - AhnLab V3 : PUP/Win32.MulDown (VT : 18/50)>을 실행할 경우 추가된 10여종의 제휴 프로그램 중 "PCYAC" 항목을 통해 설치가 이루어지고 있습니다.

이를 통해 특정 서버로부터 PCYac 배포 파일<SHA-1 : 3b5f8cbf96838fb402ad2fd1d491cc3e3528afae - BitDefender : Trojan.GenericKD.1464241 (VT : 21/50)>을 다운로드하여 "C:\Users\(사용자 계정)\AppData\Roaming\DownCtrlDisk\PCYacSetup_261_Hide.exe" 파일로 생성 및 실행합니다.

실행된 파일은 다시 서버로부터 PCYac 설치 파일<SHA-1 : 920cd51f85fa9c340bd6852c4ff0f45e866ce7b1 - BitDefender : Trojan.GenericKD.1464250 (VT : 13/50)>을 다운로드하여 "C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Windows\Templates\PCYacInstall_261_177_56.exe" 파일로 생성 및 실행됩니다.

 

[생성 폴더 / 파일 등록 정보 : PCYac]

 

C:\Program Files\PCYac
C:\Program Files\PCYac\category.dt
C:\Program Files\PCYac\PCYac.exe :: 메모리 상주 프로세스
C:\Program Files\PCYac\PCYacUpdate.exe :: 예약 작업(PCYac) 등록 파일
C:\Program Files\PCYac\unins000.dat
C:\Program Files\PCYac\unins000.exe :: 프로그램 삭제 파일
C:\Windows\System32\Tasks\PCYac

 

[생성 파일 진단 정보]

 

C:\Program Files\PCYac\PCYac.exe
 - SHA-1 : 3e7543c7f7c16be0525ed7a70b286e923aeb2473
 - AhnLab V3 : PUP/Win32.Helper (VT : 19/50)

 

C:\Program Files\PCYac\PCYacUpdate.exe
 - SHA-1 : ea0b234c152e9ad66a99a6b56189dcb5d99a2ee5
 - nProtect : Adware/W32.KrAdword.716464 (VT : 4/49)

"Adwill Communications Co., LTD." 디지털 서명이 포함된 PCYac 프로그램은 "C:\Program Files\PCYac" 폴더에 파일을 생성하며, 시스템 시작시 다음과 같은 동작을 수행할 수 있습니다.

예약 작업에 "PCYac" 작업 스케줄러를 등록하여 시스템 시작시 "C:\Program Files\PCYac\PCYacUpdate.exe" 파일을 자동 실행하도록 구성되어 있습니다.

자동 실행된 파일(PCYacUpdate.exe)은 업데이트 서버에서 업데이트 구성 정보를 체크한 후 "C:\Program Files\PCYac\PCYac.exe" 파일을 로딩하여 메모리에 상주시킵니다.

로딩된 PCYac.exe 파일은 특정 서버로부터 "PC Clean Optimizer" 검색 도우미 설치 파일 정보를 체크하여 사용자 동의없이 자동으로 다운로드하여 "C:\Users\(사용자 계정)\AppData\Roaming\PCOInstall_56.exe" 파일<SHA-1 : 101ce63c13940dc8f27b56c3aa3bad746a6adb87 - AhnLab V3 : PUP/Win32.Helper (VT : 19/51)>로 생성 및 실행됩니다.

 

[생성 폴더 / 파일 등록 정보 : PC Clean Optimizer 프로그램]

 

C:\Program Files\PCO :: 숨김(H) 속성
C:\Program Files\PCO\anyBoad.dll
C:\Program Files\PCO\PCO.exe
C:\Program Files\PCO\PCOUpdate.exe :: 예약 작업(PC_Clean_Optimizer) 등록 파일
C:\Program Files\PCO\unins000.dat
C:\Program Files\PCO\unins000.exe :: 프로그램 삭제 파일
C:\Windows\System32\Tasks\PC_Clean_Optimizer

 

[생성 파일 진단 정보]

 

C:\Program Files\PCO\anyBoad.dll
 - SHA-1 : 2cd90d2335816e67b0aa6115ac7bd9f019f16ef0
 - nProtect : Adware/W32.KrAdword.658432 (VT : 3/50)

 

C:\Program Files\PCO\PCO.exe
 - SHA-1 : d82be89b2f3573488bb434d0108b32bfeac86009
 - nProtect : Adware/W32.KrAdword.911048 (VT : 14/51)

 

C:\Program Files\PCO\PCOUpdate.exe
 - SHA-1 : f35bfe353dbae1baef1c7204358c77c945194998
 - nProtect : Adware/W32.KrAdword.717000 (VT : 7/51)

 

"Adwill Communications Co., LTD." 디지털 서명이 포함된 "PC Clean Optimizer" 프로그램은 "C:\Program Files\PCO" 폴더에 파일을 생성하며, 프로그램 이름과는 다르게 시스템 최적화 기능은 존재하지 않는 광고 프로그램입니다.

특히 PCYac 프로그램을 통해 사용자 몰래 설치된 "PC Clean Optimizer" 프로그램의 폴더(C:\Program Files\PCO)는 사용자가 쉽게 발견할 수 없도록 숨김(H) 속성으로 생성하고 있는 것이 특징입니다.

"PC Clean Optimizer" 프로그램은 예약 작업에 "PC_Clean_Optimizer" 작업 스케줄러를 등록하여 시스템 시작시 "C:\Program Files\PCO\PCOUpdate.exe" 파일을 자동 실행하도록 구성되어 있습니다.

자동 실행된 파일(PCOUpdate.exe)은 업데이트 서버에서 구성값 정보를 체크한 후 자동 종료 처리되고 있는 것으로 확인되고 있습니다.(※ 정상적인 동작이라면 "C:\Program Files\PCO\PCO.exe" 파일 실행을 통해 메모리에 상주시킬 것으로 판단됩니다.)

PCYac 프로그램을 통해 자동 설치된 "PC Clean Optimizer" 프로그램은 제어판에는 표시되지 않으며, 사용자가 제어판을 통해 "PCYac" 프로그램만을 삭제한 이후에도 Windows 부팅시마다 "PC Clean Optimizer" 프로그램은 정상적으로 동작할 수 있습니다.

 

그러므로 PCYac 프로그램이 설치된 환경에서는 폴더 옵션에서 "숨김 파일, 폴더 및 드라이브 표시" 항목에 체크한 후 숨김(H) 속성 폴더로 숨어있는 "C:\Program Files\PCO" 폴더가 존재할 경우 내부에 존재하는 "C:\Program Files\PCO\unins000.exe" 파일을 직접 실행하시기 바랍니다.

이를 통해 생성된 "PC Clean Optimizer 제거" 창을 통해 프로그램을 자동으로 삭제할 수 있습니다.

 

[생성 레지스트리 등록 정보 : PC Clean Optimizer 프로그램]

 

HKEY_CURRENT_USER\Software\PCO
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{84DD4DF2-4566-445B-A9EF-7BBC380868B8}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\PC_Clean_Optimizer

 

■ PCYac 검색 도우미 광고 기능

메모리에 상주하는 "C:\Program Files\PCYac\PCYac.exe" 파일은 사용자가 인터넷 검색을 시도할 경우 자동으로 광고창을 생성할 수 있습니다.

생성되는 광고창은 "윙고 툴바(WingGo Toolbar) 광고 서버 + 구글(Google) 단축 URL(goo.gl) 주소"를 경유하여 광고창을 생성하고 있습니다.

 

"PC Clean Optimizer" 검색 도우미 광고 기능

"PC Clean Optimizer" 검색 도우미 프로그램은 "C:\Program Files\PCO\PCO.exe" 파일이 실행되어 메모리에 상주할 경우, 사용자가 인터넷 검색시 사용하는 검색 키워드 값을 기반으로 자동으로 광고창을 생성할 수 있습니다.

 

특히 실행되는 PCO.exe 파일 내부를 확인해보면 다음과 같은 광고 기능을 수행하는 DLL 파일을 다운로드할 수 있습니다.

  • h**p://download.***marketing.co.kr/updatefile/plugin/PCClean.dll (SHA-1 : 0041b5fa5f42e3a8887449e7e58973090d0eed9e) - AhnLab V3 : PUP/Win32.HipPop (VT : 16/51)
  • h**p://download.***marketing.co.kr/updatefile/plugin/timead/safe_pco.dll (SHA-1 : f0baaf5be79db9e1dafb351002abe4b14970b1ea) - AhnLab V3 : PUP/Win32.HubHelper (VT : 14/50)
  • h**p://download.***marketing.co.kr/updatefile/pco/timead/anyBoad.dll (SHA-1 : 2cd90d2335816e67b0aa6115ac7bd9f019f16ef0) - nProtect : Adware/W32.KrAdword.658432 (VT : 3/50)

이상과 같이 업데이트 기능을 포함하고 있는 광고 프로그램은 차후 사용자 몰래 또는 추가적인 업데이트 창을 통해 다른 광고 프로그램을 설치할 수 있으며, 설치된 프로그램 중에서는 삭제를 방해하는 다양한 방식이 포함되어 있으므로 주의하시기 바랍니다.