울지않는벌새 : Security, Movie & Society

국내 악성코드 : WMIPPlus + Helper Search wcpt. soft

벌새::Analysis

Windows 시작 후 특정 검색 키워드 값을 이용하여 백그라운드 방식으로 네이버(Naver) 검색을 통해 웹 사이트 접속을 시도하는 WMIPPlus 악성 프로그램이 설치되는 과정에서 추가적으로 사용자 몰래 설치되는 "Helper Search wcpt. soft" 프로그램에 대해 살펴보도록 하겠습니다.

 

  국내 악성코드 : RealWeb + Search Helper _ nc. soft (2013.10.29)

 

해당 프로그램은 기존에 RealWeb 프로그램 설치시 함께 설치되는 "Search Helper _ nc. soft" 프로그램의 변종이므로 참고하시기 바랍니다.

 

제휴 프로그램 방식으로 유포가 이루어지고 있는 배포 파일<SHA-1 : 6ecb58ac19cd99e1c560269d7d3035bd5a290b9f - AhnLab V3 : Adware/Win32.Kraddare (VT : 30/50)>은 실행시 WMIPPlus, Helper Search wcpt. soft 2종의 프로그램을 함께 설치하고 있습니다.

  개인 사용자 PC는 광고 프로그램의 돈줄인가? (2012.3.10)

 

프로그램 설치 과정에서는 사용자 PC에 특정 PC방 관리 솔루션 프로세스 여부를 체크하여 설치 여부를 결정하도록 제작되어 있습니다.

 

1. WMIPPlus 프로그램 정보

 

[생성 폴더 / 파일 등록 정보]

 

C:\Program Files\wmipplus
C:\Program Files\wmipplus\Temp
C:\Program Files\wmipplus\UnInstall.exe :: 프로그램 삭제 파일
C:\Program Files\wmipplus\wmia.dll
C:\Program Files\wmipplus\wmib.dll
C:\Program Files\wmipplus\wmipfm.exe :: 메모리 상주 프로세스
C:\Program Files\wmipplus\wmiu.exe :: 시작 프로그램 등록 파일
C:\Users\(사용자 계정)\AppData\Local\Temp\wmipset.exe

 

[생성 파일 진단 정보]

 

C:\Program Files\wmipplus\UnInstall.exe
 - SHA-1 : 3ffaf2a11c1983798c91d88ab0a9965a004ca55a
 - Hauri ViRobot : Adware.WMIPPlus.217088 (VT : 1/50)

 

C:\Program Files\wmipplus\wmipfm.exe
 - SHA-1 : a94c0b6a5f4c92796c6ca258c82ff14e9cb5c31f
 - AhnLab V3 : Trojan/Win32.Agent (VT : 4/47)

 

C:\Program Files\wmipplus\wmiu.exe
 - SHA-1 : ce7573112b05958f911d8dd3820fe874de2f9fa5
 - nProtect : Adware/W32.Agent1.323584 (VT : 4/50)

 

C:\Users\(사용자 계정)\AppData\Local\Temp\wmipset.exe
 - SHA-1 : d1cd67ef6bab3da650c37a7546902825c441f1ab
 - AVG : Win32/DH{QRMPAFhi} (VT : 7/50)

  국내 악성코드 : WMIPPlus (2014.2.19)

 

프로그램 삭제를 지원하지 않는 WMIPPlus 악성 프로그램은 설치시 "C:\Users\(사용자 계정)\AppData\Local\Temp\wmipset.exe" 설치 파일을 생성하여 "C:\Program Files\wmipplus" 폴더에 파일을 생성합니다.

 

기존에 분석한 내용과 동일하므로 설치된 환경에서 이루어지는 악의적 기능 및 제어판을 통해 삭제되지 않는 문제로 인한 수동 삭제 방법을 참고하여 제거하시기 바랍니다.

 

2. "Helper Search wcpt. soft" 프로그램 정보

 

[생성 폴더 / 파일 등록 정보]

 

C:\Users\(사용자 계정)\AppData\Roaming\wmip
C:\Users\(사용자 계정)\AppData\Roaming\wmip\uninstall.exe :: 프로그램 삭제 파일
C:\Users\(사용자 계정)\AppData\Roaming\wmip\wcpt.exe :: 시작 프로그램 등록 파일
C:\Windows\wmi.ini

 

[생성 파일 진단 정보]

 

C:\Users\(사용자 계정)\AppData\Roaming\wmip\uninstall.exe
 - SHA-1 : 1dcd49dd31fe53f0c99afb015c7c307008086a65
 - BitDefender : Adware.Funpop.C (VT : 34/50)

 

C:\Users\(사용자 계정)\AppData\Roaming\wmip\wcpt.exe
 - SHA-1 : bb389dc86ed7ea25f2af1f051f1d2106d6c8347a
 - nProtect : Adware/W32.KrAdword.73728.B (VT : 30/50)

WMIPPlus 악성 프로그램과 함께 사용자 몰래 설치된 "Helper Search wcpt. soft" 프로그램은 "C:\Users\(사용자 계정)\AppData\Roaming\wmip" 폴더에 파일을 생성합니다.

 

해당 프로그램은 Windows 시작시 "C:\Users\(사용자 계정)\AppData\Roaming\wmip\wcpt.exe" 파일을 시작 프로그램으로 등록하여 자동 실행되며, 이를 통해 특정 서버에서 업데이트 및 실행 카운터(Counter)를 체크합니다.

이를 통해 추가적인 업데이트 파일이 등록되어 있는 경우에는 "업데이트 설치 프로그램 1.0" 업데이트 창을 생성하여 다수의 제휴 프로그램 설치를 유도할 수 있으므로 주의하시기 바랍니다.

프로그램 삭제는 제어판에 등록된 "Helper Search wcpt. soft" 삭제 항목을 이용하여 삭제할 수 있습니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\wcpt.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - wcpt = C:\Users\(사용자 계정)\AppData\Roaming\wmip\wcpt.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\wcpt

 

WMIPPlus, Helper Search wcpt. soft 2종의 프로그램은 설치된 환경에서 사용자 몰래 인터넷 검색을 시도하여 불필요한 트래픽을 유발하며, 특정 시점에서는 업데이트 창 생성을 통해 불필요한 프로그램(PUP)의 설치를 유도할 수 있습니다.

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\
Advanced
 - Hidden = 2 :: 변경(기본값)

특히 WMIPPlus 프로그램이 설치되어 동작하는 과정에서 폴더 옵션의 "숨김 파일 및 폴더" 값을 반복적으로 수정하여 "Helper Search wcpt. soft" 프로그램이 설치된 숨김(H) 속성의 폴더(C:\Users\(사용자 계정)\AppData\Roaming)가 노출되지 않도록 하는 방해 동작이 있으므로 주의하시기 바랍니다.