울지않는벌새 : Security, Movie & Society

국내 악성코드 : WMIPPlus

벌새::Analysis

특정 검색 키워드 값을 이용하여 백그라운드 방식으로 인터넷 검색을 통해 특정 웹 페이지로 연결되며, 프로그램 삭제를 지원하지 않는 WMIPPlus 프로그램<SHA-1 : d1cd67ef6bab3da650c37a7546902825c441f1ab - AVG : Win32/DH{QRMPAFhi} (VT : 1/48)>에 대해 살펴보도록 하겠습니다.

 

  <2011년~2012년 관련 정보> 이니텍(INITECH) 프로그램으로 위장한 IniCert 프로그램 유포 주의 (2012.12.28) 외 6종

 

  <2013년 관련 정보> 국내 악성코드 : RealWeb + Search Helper _ nc. soft (2013.10.29) 외 5종

 

  국내 악성코드 : WNetPlus (2014.2.14)

 

해당 프로그램은 예전부터 유사 기능을 가진 다양한 변종을 유포하고 있었으므로 참고하시기 바랍니다.

  • h**p://runty107.pnsweb.net/ls_install.asp?mac=(사용자 Mac Address)&code=A1111

프로그램 설치시 홍콩(HongKong)에 등록된 특정 웹 서버로 사용자 Mac Address 값을 전송하여 설치 체크를 수행합니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Program Files\wmipplus
C:\Program Files\wmipplus\Temp
C:\Program Files\wmipplus\UnInstall.exe :: 프로그램 삭제 파일
C:\Program Files\wmipplus\wmib.dll
C:\Program Files\wmipplus\wmipfm.exe :: 메모리 상주 프로세스
C:\Program Files\wmipplus\wmiu.exe :: 시작 프로그램 등록 파일

해당 프로그램은 "C:\Program Files\wmipplus" 폴더에 파일을 생성하며, Windows 시작시 ["C:\Program Files\wmipplus\wmiu.exe" -a] 파일(SHA-1 : ce7573112b05958f911d8dd3820fe874de2f9fa5)을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.

자동 실행된 파일(wmiu.exe)은 1분 30초 동안 대기를 한 후 홍콩(HongKong)에 위치한 서버로부터 추가적인 업데이트 정보를 체크하며, 다음과 같은 파일 다운로드 및 "C:\Program Files\wmipplus\wmib.dll" 파일을 수정합니다.

  • h**p://runty107.pnsweb.net/update/wmia.dll

특히 추가적인 프로그램이 등록되어 있는 경우 자동 다운로드를 통해 "C:\Program Files\wmipplus\Temp" 폴더에 임시 생성한 후 임의의 폴더를 생성하여 프로그램 설치가 진행될 수 있습니다.

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\
Advanced
 - Hidden = 2 :: 변경(기본값)

또한 추가 설치가 이루어질 수 있는 프로그램을 사용자가 찾기 어렵게 만들 목적으로 폴더 옵션의 "숨김 파일 및 폴더" 값을 기본값(숨김 파일, 폴더 또는 드라이브 표시 안 함)으로 부팅시마다 수정하도록 제작되어 있습니다.

이후 실행되어 메모리에 상주하는 "C:\Program Files\wmipplus\wmipfm.exe" 파일(SHA-1 : a94c0b6a5f4c92796c6ca258c82ff14e9cb5c31f)은 30초가 경과하는 시점에서 검색 구성값을 체크합니다.

다시 2분이 경과할 때 서버로부터 특정 검색 키워드 값을 받아오며, 해당 검색 키워드 값은 네이버(Naver) 실시간 급상승 검색어를 참조하는 것으로 보입니다.

이렇게 동작한 wmipfm.exe 프로세스는 4분 동안 대기를 한 후 백그라운드 방식으로 다음(Daum) 또는 네이버(Naver) 메인 화면에 접속하여 통신 연결을 체크하며, 실제 화면상으로는 표시되지 않는 인터넷 검색 과정을 살펴보도록 하겠습니다.

서버에서 받아온 검색 키워드 값 중 현재 네이버(Naver) 실시간 급상승 검색어로 등록된 "성현아"로 검색을 시도합니다.

 

검색이 이루어진 후에는 성현아 검색을 통해 표시된 결과 중 "욕망의 불꽃"으로 추가 검색이 이루어집니다.

"욕망의 불꽃" 검색을 통해 표시된 결과 중 뉴스(News) 검색에 표시된 스포츠한국의 "성매매 혐의로 재판 출두하는 성현아, 누구?" 기사로 접속이 이루어집니다.

이를 통해 최종적으로 스포츠한국의 특정 기사로 연결이 이루어진 후 다른 인터넷 검색을 시도할 수 있으며, 해당 백그라운드 인터넷 검색은 2~4분 정도 이루어진 후 동작이 중지됩니다.

 

위와 같은 검색 알고리즘을 통해 최종적으로 연결되는 웹 사이트는 네이버(Naver) 실시간 급상승 검색어를 통해 특정 웹 사이트의 유입을 유발할 목적이 있는 것으로 보입니다.

프로그램 삭제는 제어판에 등록된 "WMIPPlus" 삭제 항목을 통해 "C:\Program Files\wmipplus\UnInstall.exe" 파일 실행을 통해 프로그램 삭제를 지원하는 것처럼 되어 있습니다.

 

하지만 실제로는 제어판을 통한 프로그램 삭제 후에도 프로그램은 전혀 삭제되지 않고 지속적으로 동작하므로 다음과 같은 절차에 따라 프로그램을 삭제하시기 바랍니다.

 

(a) Windows 작업 관리자를 실행하여 wmipfm.exe 프로세스를 찾아 종료하시기 바랍니다.

 

(b) Windows 탐색기를 실행하여 "C:\Program Files\wmipplus" 폴더 및 내부 파일을 모두 삭제하시기 바랍니다.

 

(c) 레지스트리 편집기(regedit)를 실행하여 다음의 값을 찾아 삭제하시기 바랍니다.

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - WMIPPlus = "C:\Program Files\wmipplus\wmiu.exe" -a
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\
WMIPPlus

 

해당 악성 프로그램은 사용자가 몰래 인터넷 검색을 통한 트래픽을 유발하며, 차후 원치않는 또 다른 악성 프로그램을 몰래 설치할 수 있는 업데이트 기능이 포함되어 있으므로 주의하시기 바랍니다.