본문 바로가기

벌새::Analysis

제큐어(Xecure) 보안 솔루션으로 위장한 XecureCrossWeb 광고 프로그램 주의 (2014.3.27)

국내에서 많이 설치되는 제큐어(Xecure) 보안 솔루션의 이름을 합성하여 마치 정상적인 프로그램처럼 사용자를 기만하는 XecureCrossWeb 검색 도우미 프로그램(SHA-1 : 4b03af618117e30328635bc0830847a7b3912a39)에 대해 살펴보도록 하겠습니다.

 

해당 프로그램은 XecureWeb Control, XecureExpressⅠ, XecureExpressⅡ, XecureWeb UnifiedPlugin, CrossCertWeb v2.0 등과 같은 정상적인 보안 솔루션 프로그램과 이름을 매우 유사하게 등록하여 사용자가 광고 프로그램으로 쉽게 인지하지 못하도록 제작되어 있는 것으로 판단됩니다.

특히 프로그램 설치시 사용자 PC 환경을 체크하여 WinPcap, Wireshark, Network Analyzer, Sysinternal 분석 도구가 설치되어 있는 경우 설치되지 않도록 분석을 방해하는 것으로 확인되고 있습니다.

 

   <2011년~2013년 관련 정보> 국내 악성코드 : RealWeb + Search Helper _ nc. soft (2013.10.29) 외 12종

 

  국내 악성코드 : WNetPlus (2014.2.14)

 

  국내 악성코드 : WMIPPlus (2014.2.19)

 

  국내 악성코드 : WMIPPlus + Helper Search wcpt. soft (2014.3.8)

 

또한 기존에 다양한 변종 프로그램을 통해 백그라운드 방식으로 인터넷 검색을 통한 수익 활동을 하였던 것으로 파악되고 있으므로 참고하시기 바랍니다.

  • h**p://moutg66.pnsweb.net/ls_install.asp?mac=(사용자 Mac Address)&code=A1111

프로그램 설치가 진행되면 홍콩(HongKong)에 위치한 특정 서버에 사용자 Mac Address 값을 기반으로 한 설치 정보를 전송합니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Program Files\XecureCrossWeb
C:\Program Files\XecureCrossWeb\UnInstall.exe :: 프로그램 삭제 파일
C:\Program Files\XecureCrossWeb\XecureCrossWeb.exe :: 시작 프로그램 등록 파일, 메모리 상주 프로세스

해당 프로그램은 "C:\Program Files\XecureCrossWeb" 폴더에 파일을 생성하며, Windows 시작시 ["C:\Program Files\XecureCrossWeb\XecureCrossWeb.exe" -start] 파일(SHA-1 : 31721cf4bc587b1394364553c474b27e85d94f57)을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.

자동 실행된 파일(XecureCrossWeb.exe)은 홍콩(HongKong)에 위치한 서버에서 검색 관련 구성값을 체크합니다.

이후 2분이 경과하면 검색 키워드 값 정보를 받아오며 해당 키워드 값은 대부분 네이버(Naver) 검색과 연관성이 깊은 것으로 파악됩니다.

 

이렇게 설정된 환경에 추가적으로 4분이 경과하면 메모리에 상주하는 XecureCrossWeb.exe 파일이 다음과 같은 인터넷 검색을 백그라운드 방식으로 진행을 할 수 있으며, 검색 키워드 값은 Windows 부팅시마다 변경될 수 있습니다.(※ 해당 인터넷 검색 활동은 화면 상으로는 표시되지 않는 동작입니다.)

앞서 체크된 검색 키워드 값을 통해 네이버(Naver) 검색을 통해 "서든" 키워드 값으로 검색이 진행되며, 이를 통해 PC게임 일간 검색어에 영향을 줄 수 있습니다.

이후 또 다른 검색 키워드인 "암흑삼국"으로 검색이 이루어지며, 해당 검색 키워드 값 역시 네이버(Naver) PC게임 일간 검색어에 영향을 줄 수 있습니다.

"암흑삼국"으로 검색된 경과 중 카페 게시글 상단에 노출된 최근 24시간 이내에 작성된 특정 네이버(Naver) 카페의 암흑삼국 리뷰글(※ 마케팅 목적으로 작성된 글로 추정)로 연결이 이루어지고 있습니다.

 

위와 같은 전체적인 검색 흐름이 마치 사람이 네이버(Naver) 검색을 통해 특정 게시글에 접근하는 과정을 구현한 것과 유사하며, 이를 통해 마케팅 목적으로 이루어진 검색어 및 게시글 상위 노출을 노린 것이 아닌가 판단됩니다.

해당 광고 동작은 메모리에 상주하는 XecureCrossWeb.exe 프로세스를 통해 이루어지므로, 광고 동작 중지 및 프로그램 삭제시에는 Windows 작업 관리자를 실행하여 XecureCrossWeb.exe 프로세스를 찾아 종료하시기 바랍니다.

프로그램 삭제는 제어판에 등록된 "XecureCrossWeb" 삭제 항목을 이용하여 삭제할 수 있으며, 프로그램 삭제 후에는 추가적으로 다음의 폴더(파일)를 찾아 삭제하시기 바랍니다.

  • C:\Program Files\XecureCrossWeb
  • C:\Program Files\XecureCrossWeb\UnInstall.exe
[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - XecureCrossWeb = "C:\Program Files\XecureCrossWeb\XecureCrossWeb.exe" -start
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\XecureCrossWeb

 

또한 과거부터 지속적으로 유사 변종 프로그램을 통해 사용자 PC에 설치되어 사용자가 인지하지 못하는 과정에서 불필요한 인터넷 검색을 통한 트래픽을 유발하는 해당 광고 솔루션을 차단하기 위해서는 다음과 같은 웹 차단을 권장합니다.(※ AhnLab V3 Lite, AhnLab V3 365 Clinic 기준)

AhnLab V3 365 Clinic 환경 설정의 "네트워크 보안 → 웹 보안" 메뉴에서 "*.pnsweb.net" 도메인 주소를 차단값으로 추가하시기 바랍니다.

설정이 완료된 환경에서 프로그램 설치는 이루어질 수 있지만 광고 동작시 "사용자 지정 사이트 접근 차단" 경고창을 통해 외부 통신이 이루어지지 않으므로 정상적인 동작에 실패하게 되며, 사용자는 프로세스 이름을 확인하여 설치된 프로그램을 찾아 삭제할 수 있습니다.

 

그러므로 웹 보안 기능을 가진 보안 솔루션을 사용하시는 분들은 해당 도메인을 추가하여 차단하시기 바랍니다.