울지않는벌새 : Security, Movie & Society

국내 악성코드 : XecureCrossWeb + xesep soft

벌새::Analysis

제큐어(Xecure) 관련 프로그램처럼 위장하여 사용자 몰래 다양한 검색 키워드 값을 통해 인터넷 검색 활동을 수행하는 XecureCrossWeb 프로그램이 또 다른 변종을 통해 사용자 몰래 추가적인 악성 프로그램(xesep soft)과 함께 설치되는 부분에 대해 살펴보도록 하겠습니다.

 

  제큐어(Xecure) 보안 솔루션으로 위장한 XecureCrossWeb 광고 프로그램 주의 (2014.3.27)

제휴 프로그램을 통해 설치가 이루어지는 배포 파일<SHA-1 : 07864497acef99f6171862c119032480370d00b2 - AhnLab V3 : Adware/Win32.Kraddare (VT : 32/50)>에는 "LH Soft" 디지털 서명이 포함되어 있으며, 이를 통해 XecureCrossWeb와 xesep soft 프로그램을 함께 설치하고 있습니다.

  개인 사용자 PC는 광고 프로그램의 돈줄인가? (2012.3.10)

 

배포 파일 실행을 통해 프로그램 설치시 사용자 PC에 PC방 관리 솔루션 프로세스를 체크하여 존재시 프로그램 설치를 중단합니다.

 

1. XecureCrossWeb 프로그램 정보

 

배포 파일이 실행되면 실행 압축 해제를 통해 "LH Soft" 디지털 서명이 포함된 "C:\Users\(사용자 계정)\AppData\Local\Temp\XecureSetup.exe" 파일(SHA-1 : 44169eb7ce599f20cb6deb098b6a426b0f668eea)을 생성하여 설치 PC 환경을 체크합니다.

이를 통해 XecureCrossWeb 프로그램 설치시 사용자 PC에 WinPcap, Wireshark, Network Analyzer, Sysinternal 분석 도구가 설치되어 있는 경우 프로그램 설치를 중단하도록 되어 있습니다.

설치가 진행되면 홍콩(HongKong)에 위치한 "moutg66.pnsweb.net" 웹 서버에 Mac Address 값을 기반으로 한 설치 카운터(Counter) 정보를 전송합니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Program Files\XecureCrossWeb
C:\Program Files\XecureCrossWeb\UnInstall.exe :: 프로그램 삭제 파일
C:\Program Files\XecureCrossWeb\XecureCrossWeb.exe :: 시작 프로그램 등록 파일, 메모리 상주 프로세스
C:\Users\(사용자 계정)\AppData\Local\Temp\XecureSetup.exe

해당 프로그램은 "C:\Program Files\XecureCrossWeb" 폴더에 파일을 생성하며, Windows 시작시 ["C:\Program Files\XecureCrossWeb\XecureCrossWeb.exe" -start] 파일(SHA-1 : 31721cf4bc587b1394364553c474b27e85d94f57)을 시작 프로그램으로 등록하여 자동 실행되어 메모리에 상주하도록 구성되어 있습니다.

실행 후 30초가 경과하면 홍콩(HongKong)에 위치한 웹 서버에서 광고 동작에 필요한 구성값을 체크합니다.

이후 2분이 경과하면 백그라운드 방식으로 인터넷 검색을 수행할 검색 키워드 값을 받아오며, 이를 통해 4분이 추가로 경과하는 시점부터 사용자 몰래 다양한 검색 키워드 값을 기반으로 네이버(Naver) 검색을 통해 인터넷 검색 및 특정 웹 사이트 접속 동작을 수행할 수 있습니다.

대표적으로 XecureCrossWeb 프로그램이 동작하는 과정에서 사용자는 인터넷 검색을 하지 않는데 바탕 화면에 그림과 같은 메시지 창이 생성되는 것을 확인할 수 있으며 어떤 과정을 통해 연결이 되었는지 확인해 보았습니다.

웹 서버에서 받아온 검색 키워드 "암흑삼국"을 이용하여 네이버(Naver) 검색을 통해 "암흑삼국" 웹 사이트에 자동 접속을 시도합니다.

접속한 네이버 게임(Naver Game) 웹 사이트의 암흑삼국 페이지에서는 네이버(Naver) 검색 사이트를 통해 접속한 경우에만 해당 메시지 창을 생성하여 이벤트 페이지로 연결을 시도하며, XecureCrossWeb 프로그램을 통해 백그라운드 방식으로 접속된 경우에는 마치 사람이 네이버(Naver) 검색을 통해 암흑삼국 웹 사이트에 접속한 것처럼 조작하여 메시지 창만 바탕 화면에 표시되고 있습니다.

이를 통해 암흑삼국에서 진행 중인 이벤트 페이지까지 자동 연결이 가능한 방식이며, 실제 XecureCrossWeb 프로그램이 이벤트에 참여하여 어떤 조작을 하는 것은 아닙니다.

 

즉 XecureCrossWeb 프로그램은 다양한 검색 키워드와 특정 사이트 접속을 반복적으로 하는 클릭수 증가와 관련된 마케팅 활동 프로그램이 아닌가 싶습니다.

 

이전에 분석한 XecureCrossWeb 프로그램과는 다르게 해당 변종은 제어판을 통한 삭제를 지원하지 않고 있으므로 다음과 같은 절차에 따라 프로그램 삭제를 진행하시기 바랍니다.

 

(a) Windows 작업 관리자를 실행하여 XecureCrossWeb.exe 프로세스를 찾아 종료하시기 바랍니다.

(b) "C:\Program Files\XecureCrossWeb\UnInstall.exe" 파일을 찾아 직접 실행하시기 바랍니다.

파일 실행을 통해 생성된 "XecureCrossWeb 삭제" 창에서 "프로그램 삭제" 버튼을 클릭하시기 바랍니다.

 

(c) 다음의 폴더(파일)를 찾아 추가적으로 삭제하시기 바랍니다.

  • C:\Program Files\XecureCrossWeb
  • C:\Program Files\XecureCrossWeb\UnInstall.exe
  • C:\Users\(사용자 계정)\AppData\Local\Temp\XecureSetup.exe
[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_BROWSER_EMULATION
 - XecureCrossWeb.exe = 2328
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - XecureCrossWeb = "C:\Program Files\XecureCrossWeb\XecureCrossWeb.exe" -start

 

위와 같은 자동화된 프로그램에 의한 불필요한 트래픽 유발 광고 기능을 가진 XecureCrossWeb 프로그램이 설치되지 않도록 주의하시기 바랍니다.

 

2. "xesep soft" 프로그램 정보

 

배포 파일 실행을 통해 자동으로 설치되는 "xesep soft" 프로그램은 기존의 "Helper Search wcpt. soft" 프로그램의 변종으로 파악되고 있습니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Users\(사용자 계정)\AppData\Roaming\xsis
C:\Users\(사용자 계정)\AppData\Roaming\xsis\uninstall.exe :: 프로그램 삭제 파일
C:\Users\(사용자 계정)\AppData\Roaming\xsis\xspt.exe :: 시작 프로그램 등록 파일
C:\Windows\xsis.ini

 

[생성 파일 진단 정보]

 

C:\Users\(사용자 계정)\AppData\Roaming\xsis\xspt.exe
 - SHA-1 : 84f7eb795a03ca6f80b80652674f5e3dfff4c841
 - nProtect : Adware/W32.KrAdword.73728.B (VT : 32/51)

"xesep soft" 프로그램은 "C:\Users\(사용자 계정)\AppData\Roaming\xsis" 폴더에 파일을 생성하며, Windows 시작시 "C:\Users\(사용자 계정)\AppData\Roaming\xsis\xspt.exe" 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.

이를 통해 특정 서버에서 업데이트 정보를 체크하여 추가적인 프로그램이 등록되어 있는 경우 "업데이트 설치 프로그램 1.0" 창을 생성하여 다양한 제휴 프로그램의 설치를 유도할 수 있으므로 주의하시기 바랍니다.

프로그램 삭제는 제어판에 등록된 "xesep soft" 삭제 항목을 이용하여 삭제할 수 있습니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\xesep
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\xspt.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - xesep = C:\Users\(사용자 계정)\AppData\Roaming\xsis\xspt.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
xesep

 

"xesep soft" 프로그램은 운영 주체를 확인할 수 없는 신뢰할 수 없는 프로그램이며, 배포자의 의도에 따라 원치않는 다양한 프로그램의 설치를 유도할 수 있습니다.