울지않는벌새 : Security, Movie & Society

검색 도우미 : QuickTec

벌새::Analysis

인터넷 검색을 기반으로 Internet Explorer 웹 브라우저 종료시 광고창을 자동으로 생성하는 검색 도우미 QuickTec 프로그램에 대해 살펴보도록 하겠습니다.

해당 프로그램의 대표적인 배포 방식으로는 기존에 소개한 "Windows Utilchango Service" 배포 과정에서 발견할 수 있으며, 2014년 5월 16일 최초 발견시에는 네이버(Naver) 블로그의 첨부 파일 형태로 유포되었으나 현재는 첨부 파일은 제거된 상태로 유지되고 있는 것으로 확인됩니다.

위와 같은 스팸(Spam) 블로그의 첨부 파일<SHA-1 : 9fc0d2ace2ecd9f9af576e73db4146e2cf950667 - avast! : Win32:Adware-BRI [Adw] (VT : 15/52)>을 다운로드 및 실행하여 생성된 파일 다운로드 창에 포함된 다수의 제휴 프로그램 중 "QuickTec" 항목을 통해 설치될 수 있습니다.

설치가 진행되면 특정 서버에서 QuickTec 설치 파일(SHA-1 : aa34513fa7de821f5a071b2ef4a50f7eba49178a)을 다운로드하여 "C:\Users\(사용자 계정)\AppData\Local\Temp\setup.exe" 파일로 생성되어 설치가 진행됩니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Users\(사용자 계정)\AppData\Local\quicktec
C:\Users\(사용자 계정)\AppData\Local\quicktec\config.ini
C:\Users\(사용자 계정)\AppData\Local\quicktec\qlauncher.exe :: 시작 프로그램 등록 파일
C:\Users\(사용자 계정)\AppData\Local\quicktec\quickdel.exe
C:\Users\(사용자 계정)\AppData\Local\quicktec\quicktec.exe :: 메모리 상주 프로세스
C:\Users\(사용자 계정)\AppData\Local\quicktec\unins000.dat
C:\Users\(사용자 계정)\AppData\Local\quicktec\unins000.exe :: 프로그램 삭제 파일
C:\Users\(사용자 계정)\AppData\Local\Temp\setup.exe

 

[생성 파일 진단 정보]

 

C:\Users\(사용자 계정)\AppData\Local\quicktec\qlauncher.exe
 - SHA-1 : 00e0b6e66e98ee9496cf4303f31360c65536a309
 - AhnLab V3 : PUP/Win32.QuickTec (VT : 1/53)

 

C:\Users\(사용자 계정)\AppData\Local\quicktec\quickdel.exe
 - SHA-1 : e8ea76309264829bb5c8c02b6e5a916054508c2d
 - AhnLab V3 : PUP/Win32.QuickTec (VT : 1/53)

 

C:\Users\(사용자 계정)\AppData\Local\quicktec\quicktec.exe
 - SHA-1 : 3f09c598af4d00a23761cccd0f41e16c5b32b775
 - AhnLab V3 : PUP/Win32.QuickTec (VT : 1/53)

"Heyum Communications Co., Ltd" 디지털 서명이 포함된 QuickTec 프로그램은 "C:\Users\(사용자 계정)\AppData\Local\quicktec" 폴더에 파일을 생성하며, Windows 시작시 "C:\Users\(사용자 계정)\AppData\Local\quicktec\qlauncher.exe" 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.

자동 실행된 파일(qlauncher.exe)은 1분이 경과하면 특정 서버에서 업데이트 정보를 체크한 후, "C:\Users\(사용자 계정)\AppData\Local\quicktec\quicktec.exe" 파일을 로딩하여 메모리에 상주시켜 광고 구성값 체크를 수행합니다.

프로그램이 설치된 환경에서 대표적인 광고 동작은 사용자가 Internet Explorer 웹 브라우저를 통해 인터넷 검색 및 웹 사이트 접속 후 웹 브라우저 창 종료시 자동으로 광고창을 생성할 수 있습니다.

  • h**p://sch1.quick***.co.kr/sq/sh.php?p=N&ver=1.0.1&type=20&mass_id=1&ins_id=3&q=%ec%98%a5%ec%85%98 :: 검색 키워드
  • h**p://sch1.quick***.co.kr/sq/sh.php?p=N&ver=1.0.1&type=10&mass_id=1&ins_id=3&q=auction.co.kr :: 접속 URL 값

이 과정에서 사용자가 입력하는 검색 키워드, 접속 URL 값은 광고 서버에 전송하며, 이를 기반으로 특정 조건이 만족시킬 경우 제휴 코드(cl.ilikeclick.com)가 포함된 광고창을 생성할 수 있습니다.

해당 광고 동작 중지 및 프로그램 삭제시에는 Windows 작업 관리자를 실행하여 quicktec.exe 프로세스를 찾아 종료하시기 바랍니다.

프로그램 삭제는 제어판에 등록된 "QuickTec" 삭제 항목을 이용하여 삭제할 수 있습니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - quicktec = C:\Users\(사용자 계정)\AppData\Local\quicktec\qlauncher.exe
HKEY_CURRENT_USER\Software\quicktec
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\QuickTec_is1

 

QuickTec 광고 프로그램은 사용자가 인터넷 검색 활동을 하는 과정에서 원치않는 광고창을 생성하여 불편을 유발할 수 있으므로 설치되지 않도록 주의하시기 바랍니다.