울지않는벌새 : Security, Movie & Society

검색 도우미 : Shoplus version 1.0 + spupdate version 1.0

벌새::Analysis

인터넷 검색시 자동으로 전체 화면 크기의 광고창을 생성하는 "Shoplus version 1.0 + spupdate version 1.0" 검색 도우미 프로그램<SHA-1 : f0716fac2f05269a51568a1ef881fb5d3a24b26f - AhnLab V3 : PUP/Win32.KeyPang (VT : 22/51)>에 대해 살펴보도록 하겠습니다.

 

  검색 도우미 : KeyPang version 1.0 + kpupdate version 1.0 (2011.7.16)

 

  검색 도우미 : KeyPang version 1.0 + kpupdate version 1.0.0 (2014.3.1)

 

해당 프로그램은 기존의 "KeyPang version 1.0 + kpupdate version 1.0.0" 검색 도우미 프로그램의 변종이므로 참고하시기 바랍니다.

 

정확한 배포 방식은 확인되지 않고 있지만 "KeyPang + kpupdate" 프로그램이 설치된 환경에서 업데이트를 통해 기존의 KeyPang 프로그램은 삭제하고 새롭게 설치된 것이 아닌가 의심이 됩니다.

 

1. "Shoplus version 1.0" 프로그램 정보

배포 파일이 실행되면 특정 서버로부터 "Shoplus version 1.0" 프로그램의 설치 파일<SHA-1 : e8b3ab9abfe25f54b4f473cfa48eaac4c5a60676 - BitDefender : Gen:Variant.Graftor.136219 (VT : 15/51)>을 다운로드하여 "C:\Users\(사용자 계정)\AppData\Local\Temp\sshoplus.exe" 파일로 생성 및 실행하여 프로그램 설치가 이루어집니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Users\(사용자 계정)\AppData\Local\Temp\sshoplus.exe
C:\Users\(사용자 계정)\AppData\Roaming\Shoplus
C:\Users\(사용자 계정)\AppData\Roaming\Shoplus\msp.exe
C:\Users\(사용자 계정)\AppData\Roaming\Shoplus\rsp.exe
C:\Users\(사용자 계정)\AppData\Roaming\Shoplus\shoplus.exe :: 시작 프로그램(splus) 등록 파일, 메모리 상주 프로세스
C:\Users\(사용자 계정)\AppData\Roaming\Shoplus\unins000.dat
C:\Users\(사용자 계정)\AppData\Roaming\Shoplus\unins000.exe :: Shoplus version 1.0 프로그램 삭제 파일

 

[생성 파일 진단 정보]

 

C:\Users\(사용자 계정)\AppData\Local\Temp\sshoplus.exe
 - SHA-1 : e8b3ab9abfe25f54b4f473cfa48eaac4c5a60676
 - BitDefender : Gen:Variant.Graftor.136219 (VT : 15/51)

 

C:\Users\(사용자 계정)\AppData\Roaming\Shoplus\msp.exe
 - SHA-1 : 56ad22d683b0b1048d321c8a3dbd43503dc07676
 - nProtect : Adware/W32.Agent.80440 (VT : 15/48)

 

C:\Users\(사용자 계정)\AppData\Roaming\Shoplus\rsp.exe
 - SHA-1 : 8f8ffdd390a3fecca94f81e5f00941dd42571294
 - nProtect : Adware/W32.Agent.84536 (VT : 11/48)

 

C:\Users\(사용자 계정)\AppData\Roaming\Shoplus\shoplus.exe
 - SHA-1 : e71c2b7849f992432c39aebeb9dc857b31d7dc03
 - ESET : a variant of Win32/AdWare.Kraddare.JS (VT : 12/51)

 

"AD79 Corp" 디지털 서명이 포함된 "Shoplus version 1.0" 프로그램은 "C:\Users\(사용자 계정)\AppData\Roaming\Shoplus" 폴더에 파일을 생성하며, Windows 시작시 "C:\Users\(사용자 계정)\AppData\Roaming\Shoplus\shoplus.exe" 파일을 시작 프로그램으로 등록하여 자동 실행하도록 구성되어 있습니다.

자동 실행된 파일(shoplus.exe)은 Windows 시작시마다 특정 서버에 등록된 2개의 추가적인 파일(kp.exe, kp_appa.dll)을 체크하여 다운로드하며, 생성된 "C:\Users\(사용자 계정)\AppData\Roaming\Shoplus\kp.exe" 파일은 메모리에 상주합니다.

 

[추가 생성 폴더 / 파일 및 진단 정보]

 

C:\Users\(사용자 계정)\AppData\Roaming\Keypang


C:\Users\(사용자 계정)\AppData\Roaming\Shoplus\kp.exe :: 메모리 상주 프로세스

 - SHA-1 : cd0ea2b65f5ad02a0001d516dfee6d8a2b6b0261
 - Hauri ViRobot : Adware.Keypang.76336 (VT : 13/51)

 

C:\Users\(사용자 계정)\AppData\Roaming\Shoplus\kp_appa.dll
 - SHA-1 : 0156ff38174729fdeb331e092e04761af5f17045
 - Kaspersky : not-a-virus:AdWare.Win32.Kraddare.ok (VT : 33/51)

최종적으로 프로그램이 설치된 환경에서는 Windows 시작시 kp.exe, kp_appa.dll 2개의 파일이 안티 바이러스(Anti-Virus)에 의해 삭제된 경우 자동으로 다운로드하여 진단될 수 있는 문제가 발생할 수 있습니다.

프로그램이 설치된 환경에서 11번가, G마켓, 옥션 등 특정 인터넷 쇼핑몰 사이트에 접속시 자동으로 제휴 코드(click.interich.com)가 포함된 광고창을 생성하며, 다양한 검색 키워드를 이용한 인터넷 검색시 및 Internet Explorer 웹 브라우저 종료시 전체 화면 크기의 광고창이 노출될 수 있습니다.

해당 광고 동작 중지 및 프로그램 삭제시에는 Windows 작업 관리자를 실행하여 kp.exe, shoplus.exe 2개의 프로세스를 찾아 종료하시기 바랍니다.

프로그램 삭제는 제어판에 등록된 "Shoplus version 1.0" 삭제 항목을 이용하여 삭제할 수 있으며, 프로그램 삭제 후에는 추가적으로 다음의 폴더(파일)를 찾아 삭제하시기 바랍니다.

  • C:\Users\(사용자 계정)\AppData\Roaming\Shoplus
  • C:\Users\(사용자 계정)\AppData\Roaming\Shoplus\kp.exe
  • C:\Users\(사용자 계정)\AppData\Roaming\Shoplus\kp_appa.dll
[생성 레지스트리 등록 정보]

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - splus = "C:\Users\(사용자 계정)\AppData\Roaming\Shoplus\shoplus.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
{1D397003-2D02-41A0-84EF-7CC720DA6A73}_is1

 

2. "spupdate version 1.0" 프로그램 정보

"Shoplus version 1.0" 프로그램과 함께 설치되는 "spupdate version 1.0" 프로그램은 배포 파일 실행시 특정 서버로부터 "spupdate version 1.0" 설치 파일<SHA-1 : cdf117f840da6c4d9dae186d516ba0eee89b855b - nProtect : Adware/W32.Agent.777248 (VT : 23/51)>을 다운로드하여 "C:\Users\(사용자 계정)\AppData\Local\Temp\sspupdate.exe" 파일로 생성 및 실행되어 설치가 진행됩니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Users\(사용자 계정)\AppData\Local\Temp\sspupdate.exe
C:\Users\(사용자 계정)\AppData\Roaming\spupdate
C:\Users\(사용자 계정)\AppData\Roaming\spupdate\MSCOMCTL.OCX
C:\Users\(사용자 계정)\AppData\Roaming\spupdate\spu.exe :: 시작 프로그램(spu) 등록 파일
C:\Users\(사용자 계정)\AppData\Roaming\spupdate\spupdate.exe
C:\Users\(사용자 계정)\AppData\Roaming\spupdate\unins000.dat
C:\Users\(사용자 계정)\AppData\Roaming\spupdate\unins000.exe :: spupdate version 1.0 프로그램 삭제 파일
C:\Users\(사용자 계정)\AppData\Roaming\spupdate\usp.exe
C:\Users\(사용자 계정)\AppData\Roaming\spupdate\xProgressBar.ocx

 

[생성 파일 진단 정보]

 

C:\Users\(사용자 계정)\AppData\Local\Temp\sspupdate.exe
 - SHA-1 : cdf117f840da6c4d9dae186d516ba0eee89b855b
 - nProtect : Adware/W32.Agent.777248 (VT : 23/51)

 

C:\Users\(사용자 계정)\AppData\Roaming\spupdate\spu.exe
 - SHA-1 : fd9349a90c775112eca1f7b480ad6561efd0f273
 - nProtect : Adware/W32.Agent.84544 (VT : 11/50)

 

C:\Users\(사용자 계정)\AppData\Roaming\spupdate\spupdate.exe
 - SHA-1 : dbfa18adadebcaeb30815d5a6ad34f23bc48080e
 - MSE : TrojanDownloader:Win32/VB.SW (VT : 18/51)

 

C:\Users\(사용자 계정)\AppData\Roaming\spupdate\usp.exe
 - SHA-1 : 51d4b7111eaefe1843a76ff95040c0b292b4b20f
 - nProtect : Adware/W32.Agent.84544.B (VT : 8/51)

"AD79 Corp" 디지털 서명이 포함된 "spupdate version 1.0" 프로그램은 "C:\Users\(사용자 계정)\AppData\Roaming\spupdate" 폴더에 파일을 생성하며, Windows 시작시 "C:\Users\(사용자 계정)\AppData\Roaming\spupdate\spu.exe" 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.

자동 실행된 파일(spu.exe)은 특정 서버에서 사용자 Mac Address 값을 기반으로 한 업데이트 정보를 체크한 후 자동 종료되며, 특정 시점에서는 이전처럼 "KeyPang → Shoplus" 검색 도우미로 전환이 이루어질 수 있는 통로로 사용되는 것이 아닌가 싶습니다.

실제 정상적으로 업데이트 기능이 동작할 경우 "C:\Users\(사용자 계정)\AppData\Roaming\spupdate\spupdate.exe" 파일 실행을 통해 특정 서버에 등록된 파일을 다운로드 및 실행할 수 있습니다.(※ 현재 등록된 파일은 존재하지 않지만 파일 구성을 봐서는 "KeyPang version 1.0 + kpupdate version 1.0.0" 프로그램 설치 파일로 추정됩니다.)

프로그램 삭제는 제어판에 등록된 "spupdate version 1.0" 삭제 항목을 이용하여 삭제할 수 있습니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - spu = "C:\Users\(사용자 계정)\AppData\Roaming\spupdate\spu.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
{E6752B60-2DA8-4935-BCF5-0078ED20F78E}_is1

 

"Shoplus version 1.0" 광고 프로그램 설치로 인하여 인터넷 검색시 원치않는 광고창으로 불편을 유발할 수 있으며, 함께 설치되는 "spupdate version 1.0" 프로그램은 차후 또 다른 유사 변종 프로그램의 설치 기능을 가지고 있으므로 주의하시기 바랍니다.