울지않는벌새 : Security, Movie & Society

국내 악성코드 : WNetPlus

벌새::Analysis

사용자 몰래 백그라운드 방식으로 특정 검색 키워드 값을 이용한 네이버(Naver) 검색을 시도하며, 가짜 프로그램 삭제 기능을 통해 사용자를 기만하는 국내에서 제작된 것으로 추정되는 WNetPlus 악성 프로그램<SHA-1 : 7fa46618dfa9c96ff6ac39917fcec24d994ebb9d - AVG : Win32/DH{QRMPAFg} (VT : 1/50)>에 대해 살펴보도록 하겠습니다.

 

  <2011년~2012년 관련 정보> 이니텍(INITECH) 프로그램으로 위장한 IniCert 프로그램 유포 주의 (2012.12.28) 외 6종

 

  <2013년 1월~6월 관련 정보> 국내 악성코드 : MSTools (2013.6.18) 외 4종

 

  국내 악성코드 : RealWeb + Search Helper _ nc. soft (2013.10.29)

 

해당 악성코드는 2011년경부터 지속적으로 변종이 발견되고 있으므로 참고하시기 바랍니다.

  • h**p://tyty9553.pnsweb.net/ls_install.asp?mac=(사용자 Mac Address)&code=A1111

프로그램 설치시에는 홍콩(HongKong)에 위치한 특정 웹 서버에 사용자 Mac Address 값을 전송하여 설치를 체크합니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Program Files\WNetPu
C:\Program Files\WNetPu\msdevc.exe :: 메모리 상주 프로세스
C:\Program Files\WNetPu\Temp
C:\Program Files\WNetPu\UnInstall.exe :: 프로그램 삭제 파일
C:\Program Files\WNetPu\wnetb.dll
C:\Program Files\WNetPu\wpu.exe :: 시작 프로그램 등록 파일

해당 프로그램은 "C:\Program Files\WNetPu" 폴더에 파일을 생성하며, Windows 시작시 ["C:\Program Files\WNetPu\wpu.exe" -a] 파일(SHA-1 : 2dea054339f593305651f9a97284c364d3c1de95)을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.

  • h**p://tyty9553.pnsweb.net/update/wneta.dll

자동 실행된 파일(wpu.exe)은 1분 30초가 경과하면 웹 서버로부터 dll 파일을 다운로드한 후 "C:\Program Files\WNetPu\msdevc.exe" 파일(SHA-1 : 87a6423a603c57b420f53570305fd73de4f8be6e)을 추가 로딩하여 메모리에 상주시킵니다.

이후 30초가 경과하면 msdevc.exe 파일은 홍콩(HongKong)에 위치한 웹 서버로부터 검색 관련 구성값을 체크합니다.

이후 2분이 경과하면 백그라운드 방식으로 검색에 활용할 키워드 값 정보를 받아오는 동작을 확인할 수 있습니다.

이렇게 동작이 이루어진 msdevc.exe 파일은 메모리에 상주한 상태로 아무런 동작없이 유지되다가 실행 후 14분이 경과하면 백그라운드 방식으로 다음과 같은 검색 활동을 통해 트래픽을 유발할 수 있습니다.

검색 키워드 조합을 이용해 네이버(Naver) 통합 검색을 통해 검색이 이루어지는 동작을 확인할 수 있습니다.

또한 네이버 지식인에 동일한 검색 키워드 값을 이용한 검색이 발생할 수 있으며, 검색 키워드 값은 시스템 시작시마다 변경될 수 있습니다.

 

프로그램이 설치된 환경에서 해당 검색 동작은 백그라운드 방식으로 이루어지므로 실제 화면상에서는 표시되지 않지만 메모리 및 트래픽 상승이 발생하게 됩니다.

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\
Advanced
 - Hidden = 2 :: 변경(기본값)

또한 시작 프로그램으로 등록된 wpu.exe 파일은 자동 실행시마다 "숨김 파일 및 폴더" 레지스트리 값을 기본값(숨김 파일, 폴더 또는 드라이브 표시 안 함)으로 수정하여 사용자가 숨김 폴더(파일)을 확인할 수 없도록 방해를 하도록 제작되어 있습니다.

 

이유는 특정 시점에서 업데이트 기능을 통해 추가적으로 다운로드된 프로그램을 설치시 생성 폴더를 숨김(H) 속성으로 등록하여 사용자가 몰래 설치된 프로그램을 찾을 수 없도록 하기 위함으로 추정됩니다.

특히 제어판에 등록된 "WNetPlus" 삭제 항목을 통해 프로그램이 정상적으로 삭제된 것처럼 표시하고 있지만, 프로그램 삭제 이후에도 폴더(파일) 및 레지스트리 값은 전혀 삭제되지 않고 지속적으로 동작합니다.

 

그러므로 프로그램 삭제를 위해서는 다음과 같은 절차에 따라 삭제를 진행하시기 바랍니다.

 

(a) Windows 작업 관리자를 실행하여 msdevc.exe 프로세스를 찾아 종료하시기 바랍니다.

 

(b) Windows 탐색기를 통해 "C:\Program Files\WNetPu" 폴더 및 내부 파일을 모두 삭제하시기 바랍니다.

 

(c) 레지스트리 편집기(regedit)를 실행하여 다음의 값을 찾아 삭제하시기 바랍니다.

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - WNetPlus = "C:\Program Files\WNetPu\wpu.exe" -a
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\
WNetPlus

 

해당 악성코드는 기본적으로 사용자 몰래 상업적 목적의 검색 키워드로 네이버(Naver) 검색 서비스에 기계적인 검색을 시도하며, 차후 사용자의 동의없이 유사한 악성 프로그램을 다운로드하여 설치를 할 수 있으므로 주의하시기 바랍니다.