설치 날짜를 조작하는 국내 악성 광고 프로그램 주의 (2014.4.26)
벌새::Security작년 하반기부터 본격적으로 등장한 국내 악성 광고 및 관련 배포용 프로그램이 사용자의 눈을 속일 목적으로 프로그램 이름을 광고 프로그램과는 전혀 상관없이 등록하거나 프로그램 설치 날짜는 조작하는 사례가 지속적으로 발견되고 있습니다.
예를 들어 제어판에 등록된 정상적인 소프트웨어의 설치 날짜가 2014년 2월 5일, 2월 19일, 2월 22일에 집중된 반면 국내에서 제작된 악성 광고 및 배포용 프로그램으로 알려진 "Windows Utilchango Service, Windows GearExtion, Exactly Top Search, Windows Mouse Service Fix, IP Error Fix, Windows Fixs, Mouse Control Service, Windows IP View (XP,Win7,Win8), EasyClean" 프로그램의 설치 날짜는 2010년 5월 7일, 2012년 10월 7일, 2013년 1월 7일, 2013년 5월 7일, 2013년 10월 7일과 같이 조작되어 있는 것을 알 수 있습니다.
위와 같이 프로그램의 설치 날짜를 악의적으로 조작하는 이유는 사용자가 제어판에서 광고 프로그램을 찾을 때 설치 날짜를 기준으로 찾는다는 점을 고려하여 과거에 설치되어 지금까지 존재하는 정상적인 프로그램으로 속이기 위함으로 판단됩니다.
그렇다면 위와 같은 설치 날짜를 조작하는 방법은 어떻게 되는지 간단하게 알아보도록 하겠습니다.
우선 사용자가 2014년 4월 25일에 알집(ALZip) 압축 프로그램을 직접 설치하였다고 가정해 보았습니다.
프로그램 설치가 완료된 상태에서 제어판의 프로그램 목록을 확인해보면 2014년 4월 25일에 알집 9.2, 알툴즈 업데이트 프로그램이 정상적으로 등록되어 있는 것을 확인할 수 있습니다.(※ 기본적으로 제어판의 설치 날짜는 시스템 날짜를 참고하여 표시합니다.)
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall
제어판에 등록된 프로그램 목록은 Uninstall 레지스트리 값에 등록하여 프로그램 이름, 게시자, 설치 날짜, 삭제 정보 등을 저장하며, 설치시 등록된 프로그램 설치 날짜를 악의적인 목적으로 조작하기 위하여 "InstallDate" 문자열 값을 추가 및 수정할 수 있습니다.
레지스트리 값이 조작된 경우 제어판의 프로그램 목록 중 알집 9.2는 2014년 4월 25일 아닌 2012년 1월 1일로 표시될 수 있습니다.
이처럼 악성 광고 및 배포용 프로그램을 다양한 방식으로 사용자 PC에 교묘하게 설치하는 과정에서 안티 바이러스(Anti-Virus)의 진단 정책에 부합되지 않도록 제어판에 프로그램을 등록하여 삭제를 지원합니다.
하지만 이처럼 프로그램 설치 날짜를 조작하여 사용자는 오래전부터 PC에 설치되어 있던 프로그램으로 착각을 하게 만들 수 있다는 점을 잊지 마시기 바랍니다.
그렇다면 위와 같은 악성 광고 및 배포용 프로그램의 이름은 무엇인지 대표적인 프로그램 30여종을 뽑아 보았습니다.
|
Application Optimizer |
EasyClean |
FixError for Windows |
|
Game clean service |
GearExtention for Windows (x86,x64) |
IE Support for Windows |
|
INSafe mode |
Intelligent |
Internet Research Support |
|
Internet Service Manager |
IP Error Fix |
Mouse Control Client |
|
Mouse Control Service |
Mouse Right Button Abler |
Network ADView |
|
Optimize Application |
PC Cleaner Center |
PC Game Cleaner Center |
|
Reflection Infomation Client x86 |
Smart Update Windows Application |
System Management |
|
Utility Folder |
Windows Application Fix Errors |
Windows AutoFix |
|
Windows Defender Clean |
Windows Fix Errors |
Windows Fixs |
|
Windows GearExtion |
Windows IP View (XP,Win7,Win8) |
Windows Live Updater |
|
Windows mouse protection release |
Windows Mouse Release |
Windows Mouse Service Fix |
|
Windows Reflection Service |
Windows User Configure for PC |
그 외 다수 |
그러므로 위와 같은 프로그램은 마치 Windows 관련 정상적인 프로그램처럼 이름을 등록하고 있지만 광고창 생성 기능 또는 추가적인 광고 프로그램 설치 기능을 가지고 있으므로 주저하지 마시고 삭제하시기 바랍니다.
'벌새::Security' 카테고리의 다른 글
| Microsoft Internet Explorer 제로데이(0-Day) 취약점 : CVE-2014-1776 (2014.4.27) (0) | 2014.04.27 |
|---|---|
| 업데이트 : Google Chrome 34.0.1847.131 (0) | 2014.04.26 |
| 설치 날짜를 조작하는 국내 악성 광고 프로그램 주의 (2014.4.26) (10) | 2014.04.26 |
| 한컴오피스 2014, 2010 SE+ 보안 업데이트 (2014.4.22) (0) | 2014.04.22 |
| 업데이트 : Adobe Reader Mobile 11.2.0 (0) | 2014.04.17 |
| 스킨푸드(SkinFood) 홈 페이지 회원 정보 유출 소식 (2014.4.17) (0) | 2014.04.17 |
댓글을 달아 주세요
비밀댓글입니다
알고 있습니다. 기존에 작성한 내용이 있어서 현재로서는 추가할 생각은 없습니다.^^
cat6
지금 위와같은 현상을 겪고 있고 악성 프로그램들류는 다 지웠으나 .. 악성으로 변경된 날짜들은 그대로 입니다.. 그래서인지 계속 불법 광고 사이트가 뜹니다.. 기존페이지 이동시에도 에러나는 이유인것 같기도 하구요.. 주로 두가지 사이트가 불법적으로 뜹니다.. 성인사이트, 게임사이트..
원래 설치날짜로 되돌려 놓는 방법은 없는건가요??
날짜가 변경되었다고 그런 증상이 발생하는 것은 아닙니다.
단지 사용자가 찾지 못한 숨어있는 악성 광고 프로그램이 더 존재하기 때문으로 보입니다.
http://hummingbird.tistory.com/notice/4859
내용을 참고하여 run 파일을 제작하여 메일로 보내주시면 확인해 보겠습니다.
안냐쌔여
벌새님 저가지금 롤 이라는게임을 날짜변경시킬려는데 똑같이 따라했는데 제어판에있는 프로그램이 몇게안뜨고 롤도안뜨네요 이유가머죠?
여기에서 언급한 내용은 비정상적인 방법으로 프로그램 설치 날짜를 조작하는 내용을 다루고 있습니다.
그러므로 함부로 날짜를 변경하시면 안됩니다.
안냐쌔여
아... 그럼날짜 변경하면 안되나요? 저꼭 하고싶어서그런데 어떡해안되나요? 제발 부탁드려요
날짜를 변경하면 안되는 것은 아니지만 말씀하신 것처럼 비정상적으로 프로그램이 수정될 수 있으므로 하지 않는게 좋다는 의미입니다.
안냐쌔여
아그러면 프로그램에만 이상이생길수 있다는거지요?
프로그램에 이상이 생기더라도 수정좀 하고싶은데 하는방법은없나요??
아마도 날짜를 변경한 것 같으니 변경하기 전의 날짜로 수정하는 방법 외에는 모르겠습니다.