울지않는벌새 : Security, Movie & Society

"Windows Search Key Drivers" 광고 프로그램의 추가 다운로드 주의 (2014.3.16)

벌새::Analysis

2013년 10월경부터 다양한 배포 경로를 통해 설치가 이루어지고 있는 "Windows Search Key Drivers" 광고 프로그램이 설치된 환경에서 당시 분석에서는 확인되지 않았던 추가 다운로드 기능이 확인되고 있습니다.

 

당시 분석 정보를 확인해보면 "Windows Search Key Drivers" 프로그램은 바로가기 아이콘 생성을 통해 수익 활동을 하는 것으로 보이지만, 최근 프로그램이 설치된 환경에서 추가적인 파일 다운로드를 통해 사용자 몰래 광고 프로그램을 설치하거나 불필요한 검색 트래픽을 유발하는 동작이 발생할 수 있습니다.

대표적인 배포 방식으로는 스팸(Spam) 블로그 등을 통해 다운로드된 파일<SHA-1 : 65b319c2aa7b80268e76f1489caacaf873229158 - avast! : Win32:PUP-gen [PUP] (VT : 14/49)>을 실행할 경우 "유틸쉐어 다운로더" 창을 생성하며, 해당 다운로더 창에서는 사용자가 제대로 확인할 수 없는 좁은 영역에 등록된 다수의 제휴 프로그램 중 "서치키" 항목을 통해 "Windows Search Key Drivers" 프로그램이 설치되고 있습니다.

"서치키" 제휴 프로그램은 특정 서버로부터 설치 파일을 다운로드하여 "C:\Users\(사용자 계정)\AppData\Local\Temp\sk02.exe" 파일<SHA-1 : b21512e6b8df7dfe99c1bfd3b8882336c7ceeb21 - nProtect : Adware/W32.Agent.117271 (VT : 9/49)>로 생성한 후 다음과 같은 파일을 생성합니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Program Files\searchkey
C:\Program Files\searchkey\searchkey.exe :: 시작 프로그램 등록 파일
C:\Program Files\searchkey\uninstall.exe :: 프로그램 삭제 파일
C:\Users\(사용자 계정)\AppData\Local\Temp\sk02.exe

 

[생성 파일 진단 정보]

 

C:\Program Files\searchkey\searchkey.exe
 - SHA-1 : cff5b3e2c45a557062f36ec2d3c3f7d0d90e16ca
 - avast! : Win32:Dropper-NTI [Drp] (VT : 7/49)

 

C:\Users\(사용자 계정)\AppData\Local\Temp\sk02.exe
 - SHA-1 : b21512e6b8df7dfe99c1bfd3b8882336c7ceeb21
 - nProtect : Adware/W32.Agent.117271 (VT : 9/49)

"Windows Search Key Drivers" 프로그램은 "C:\Program Files\searchkey" 폴더에 파일을 생성하며, Windows 시작시 ["C:\Program Files\searchkey\searchkey.exe" startup] 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.

자동 실행된 파일(searchkey.exe)은 특정 서버에서 광고 구성값 및 업데이트 정보를 체크하며, 광고 구성값은 기존 분석 내용과 마찬가지로 특정 웹 사이트에 대한 바로가기 아이콘 정보가 포함되어 있지만 실제 생성 동작은 확인되지 않고 있습니다.

 

그런데 추가적으로 확인된 업데이트 기능을 통한 파일 다운로드 동작이 확인되고 있으므로 이 글에서는 이 부분에 대해 다루어 보도록 하겠습니다.

  • h**p://search***.kr/en/jms.exe (SHA-1 : 27d372aef1f6d24b063fcfa6fdb8f2c1700570bd) - BitDefender : Gen:Variant.Zusy.85719 (VT : 6/49)

분석 당시에는 특정 서버로부터 추가 파일을 다운로드하여 "C:\Users\(사용자 계정)\AppData\Local\Temp\jms.exe" 파일로 생성하며, 실제적인 동작은 확인되지 않고 있습니다.

그렇다면 사용자 몰래 추가적인 광고 프로그램을 설치할 수 있는 "Windows Search Key Drivers" 프로그램이 다운로드하여 임시 폴더에 생성한 jms.exe 파일이 무슨 파일인지 변종을 통해 확인해 보도록 하겠습니다.

  • <2014년 2월 17일> h**p://search***.kr/en/tns.exe (SHA-1 : d8a605be09b9c2690fabbb89dadda5238884389a) - BitDefender : Trojan.GenericKD.1571108 (VT : 16/50)
  • <2014년 3월 6일> h**p://search***.kr/en/smc.exe (SHA-1 : 1bf1283393d1f5d129112d50998d575960c97558) - avast! : Win32:Downloader-VAW [Trj] (VT : 22/49)
  • <2014년 3월 15일> h**p://search***.kr/en/hpc.exe (SHA-1 : f14280b5d1e4479ce580a5692e8cab630a2eb400) - Kaspersky : Trojan-Downloader.Win32.Agent.zoel (VT : 20/49)

최근 유포된 유사 변종 3종을 통해 searchkey.exe 파일이 사용자 몰래 다운로드하여 실행하는 파일들을 조사해보면 공통적으로 특정 웹 서버에서 검색 키워드 값을 이용하여 연합뉴스, 특정 광고 검색 서비스를 대상으로 인터넷 검색을 수행하는 것을 확인할 수 있습니다.

우선적으로 파일 실행을 통해 특정 서버로부터 검색 키워드 및 광고 정보 구성값을 체크합니다.

hpc.exe 동작을 통해 연결되는 모습

이를 통해 실제 이루어지는 연결 과정을 살펴보면 특정 웹 서버에서 제공하는 키값을 통해 연합뉴스 검색 서비스로 백그라운드 방식으로 연결되는 것을 확인할 수 있으며, 이 과정에서 AhnLab V3 365 Clinic 3.0 제품에서는 "불필요한 사이트(PUS) 접근 차단" 창을 생성합니다.

 

이처럼 "Windows Search Key Drivers" 광고 프로그램이 추가적으로 생성한 다양한 파일을 통해 백그라운드 방식으로 웹 검색을 수행하며 사용자는 화면상으로 표시되지 않는 이같은 동작으로 인해 원치않는 트래픽을 유발할 수 있습니다.

 

특히 추가 다운로드되는 파일은 지속적으로 변종을 받아오며, 단순히 백그라운드 방식의 웹 검색 동작 외에 사용자 몰래 광고 프로그램 설치 등의 악의적 행위도 수행하고 있습니다.

 

실제로 2014년 3월 11일경에는 자동 실행되는 "C:\Program Files\searchkey\searchkey.exe" 파일이 특정 서버로부터 확인되지 않은 파일을 다운로드하여 사용자 몰래 "Windows Live Social Shopping Feeds Product" 프로그램을 설치하는 동작을 확인하였습니다.

  • h**p://geg***.kr/bin/mjr01.exe (SHA-1 : 01b1f0741b09e3a5c7cdfa8b08049260e27707fd) - Kaspersky : Trojan.NSIS.Agent.ay (VT : 15/49)

또 다른 변종 파일 확인을 통해 발견된 파일 중에는 "Windows Basic Free WinShop" 검색 도우미 프로그램(Windows Live Social Shopping Feeds Product 프로그램 변종) 설치 파일도 존재합니다.

그러므로 제어판에 "Windows Search Key Drivers" 프로그램이 등록되어 있다면 반드시 삭제하시기 바라며, 해당 프로그램으로 인해 사용자 몰래 설치된 또 다른 광고 프로그램이 존재할 수 있으므로 시스템을 점검할 필요가 있으리라 판단됩니다.