본문 바로가기

벌새::Analysis

해외 가짜 Softpedia 파일 자료실을 통한 악성 프로그램 설치 주의 (2014.6.7)

해외 소프트웨어 정보 제공 및 파일 자료실로 유명한 Softpedia 웹 사이트로 위장한 페이지에 접속시 다운로드되는 파일을 통해 다수의 애드웨어(Adware)를 설치하는 유포 수법과 관련 프로그램에 대한 부분에 대해 살펴보도록 하겠습니다.

대표적인 가짜 Softpedia 웹 사이트로 납치가 이루어지는 방식은 사용자가 구글(Google) 검색을 통해 특정 웹 사이트에 접속하는 과정에서 조건에 부합될 경우 1회 연결이 이루어집니다.

구글(Google) 검색을 통해 표시된 URL 주소값(artpreview.fr/hash-string-decrypt-d63fd-tool-free)을 직접 웹 브라우저에 입력하여 접속할 경우에는 정상적인 웹 사이트로 연결되고 있습니다.

 

하지만 구글(Google) 검색 결과에서 제시한 링크를 이용하여 접속할 경우 다음과 같은 경유를 통해 문제의 사이트로 연결될 수 있습니다.

  • h**p://megaupl0ad.me/archive/hash%20string%20decrypt%20tool%20free

구글(Google) 검색 결과를 클릭할 경우 검색 결과에서 표시하는 URL 주소로 연결되는 과정에서 리퍼러(Referrer) 값을 체크하여 특정 URL 값으로 리다이렉트를 시도합니다.

연결된 웹 사이트는 Softpedia 파일 자료실의 다운로드 페이지로 구성되어 있으며, 접속 후 자동으로 특정 파일을 다운로드 시도합니다.

이 과정을 살펴보면 가짜 Softpedia 웹 페이지 접속시 3초 경과시 특정 외부 서버를 로딩하는 동작을 확인할 수 있습니다.

이를 통해 최종적으로 파일명은 변경될 수 있지만 동일한 Hash 값을 가지는 설치 파일<SHA-1 : 02a15ca2a9904d5e302ab0accea2103ad3e348f3 - AhnLab V3 : PUP/Win32.Amonetiz.R95935 (VT : 16/51)>을 다운로드합니다.

만약 사용자가 가짜 Softpedia 웹 사이트에 접속한 이후 재접속을 시도할 경우에는 더 이상의 접속이 이루어지지 않으며 위와 같은 2개의 웹 사이트로 연결되어 파일을 자동 다운로드하고 있습니다.

 

  • 디지털 서명 : Blisbury LLP <SHA-1 : 8bac2f7757bead2bb8301b0b80af3cb421097ebe - ESET : a variant of Win32/SimpleFiles.A (VT : 2/49)>
  • 디지털 서명 : Via Advertising Group Limited <SHA-1 : aade6cdaf70cb65f5ab71d6706503c0e4e1411b1 - avast! : Win32:Downloader-UEO [PUP] (VT : 5/51)>

흥미로운 점은 이렇게 연결된 웹 사이트에서 다운로드되는 파일은 서버 사이드 폴리모픽(Server Side Polymorphic) 기법을 통해 다운로드시마다 Hash값 변경을 시도하고 있습니다.

 

이 글에서는 가짜 Softpedia 웹 사이트에서 다운로드된 파일을 사용자가 실행하여 설치될 수 있는 프로그램에 대해 간단하게 살펴보도록 하겠으며, 해당 설치 파일(SHA-1 : 02a15ca2a9904d5e302ab0accea2103ad3e348f3)은 분석을 방해할 목적으로 가상 환경에서는 실행되지 않도록 Anti-VM 기능이 포함되어 있습니다.

파일을 실행하면 Setup 창이 생성되며 자신을 "C:\Users\(사용자 계정)\AppData\Local\Temp\hash string decrypt tool__3038_i805180457_il5127543.exe" 파일로 복제하여 실행됩니다.

 

또한 바탕 화면에 "Continue installation  - hash string decrypt tool_Downloader Installation" 바로가기 아이콘을 생성하여 사용자가 다운로드한 파일을 실행하는 것을 중단할 경우를 대비하고 있습니다.(※ 파일명 및 바로가기 아이콘 이름은 구글(Google) 검색 키워드 값에 따라 변경될 수 있습니다.)

 

실제 바탕 화면에 생성된 바로가기 아이콘을 클릭할 경우 ["C:\Users\(사용자 계정)\AppData\Local\Temp\hash string decrypt tool__3038_i805180457_il5127543.exe"  /rsm] 파일을 실행하여 설치가 진행하도록 구성되어 있습니다.

설치 단계를 확인해보면 "InstallPath Install Manager" 동의 과정을 통해 다양한 제휴 프로그램이 설치될 수 있도록 구성되어 있습니다.

다음 단계에서는 비트코인(Bitcoin)과 같은 가상 화폐를 채굴하는 프로그램 설치를 유도하고 있으며, 특히 가상 화폐 채굴 프로그램은 사용자에게 어떠한 도움도 주지 않으며 과도한 CPU 사용량 증가를 유발하므로 주의하시기 바랍니다.

또한 MiniGet Smart Downloader 프로그램 설치 동의 과정을 통해 함께 설치하고 있습니다.

이를 통해 설치 단계에서는 3종의 프로그램을 설치하는 것처럼 표시하고 있지만 제어판 프로그램 목록 기준으로 최소 4종 이상의 프로그램이 설치된 것으로 추정되며, 설치 과정에서 설치 파일 기준으로 다운로드된 파일 정보는 다음과 같습니다.

 

  • h**p://dl.****demoserv.com/25/all/hd/row/setup.exe (SHA-1 : bcf8ae13e1142bd26a482af973551904396bf517) - Malwarebytes : PUP.Optional.CrossRider.A (VT : 8/51) :: 디지털 서명(Kimahri Software inc.)
  • h**p://d3i6t8hgsf9mgj.cl***front.net/Updater.exe (SHA-1 : 9871c4f1a57cb49bceb2da39ca332be44cc8e9a4) - BitDefender : Adware.Agent.ODF (VT : 29/51)
  • h**p://get.file*desktop.com/DownloadManager/Get?p=5654&d=8701&l=8181&n=1&productname=MiniGetSmartDownloader&d1=1500000&d2=1
    &filename=setup (SHA-1 : 4df67a8709a4c822432cc3531bbef342bc4dcb7a) - ESET : Win32/OutBrowse.V (VT : 12/51) :: 디지털 서명(OUTBROWSE)
  • h**p://cdn.download*desktop.com/Installer/ConstaSurf/ConstaSurfSetup.exe (SHA-1 : d4de718b8fb76dce751de835bdcb39236c1e53e0) - Dr.Web : Trojan.BPlug.72 (VT : 7/51) :: 디지털 서명(ConstaSurf)
  • h**p://cdn.download*desktop.com/Installer/SavePassCrossRider/savepass2.exe (SHA-1 : 8739c4a7069c40ef50b16c4c0a9f6fe53c111753) - AhnLab V3 : PUP/Win32.MulDrop (VT : 9/51)
  • h**p://dl.reven***.com/Files//Setup_product_8181.exe (SHA-1 : bfc622267ec3e0b0673fa61c52b525c28ffbdece)

이렇게 설치가 이루어진 환경에서 제어판에 등록된 4종의 프로그램 이름과 주요 생성 폴더 경로는 다음과 같습니다.

 

  1. MiniGet 1.0.8.2504 :: C:\Program Files\MiniGet
  2. Plus-HD-9.4  :: C:\Program Files\Plus-HD-9.4
  3. SavePass :: C:\Program Files\SavePass
  4. Software Version Updater

그 중에서 제어판 삭제 목록에는 표시되지 않는 "Google Update Helper" 프로그램이 사용자를 어떻게 기만하고 있는지 파일 속성을 통해 잠시 살펴보도록 하겠습니다.

 

"Google Update Helper" 프로그램의 생성 폴더 경로 및 구조는 구글 크롬(Google Chrome) 웹 브라우저의 업데이터 폴더와 매우 유사한 구조를 가지고 있습니다.

 

1. "C:\Program Files\Google\Update\GoogleUpdate.exe" vs. "C:\Program Files\globalUpdate\Update\GoogleUpdate.exe" 파일 비교

구글 크롬(Google Chrome) 웹 브라우저가 설치된 환경에서 업데이트 기능을 담당하는 폴더(C:\Program Files\Google\Update) 내부에 존재하는 "C:\Program Files\Google\Update\GoogleUpdate.exe" 파일은 "Google Inc" 디지털 서명이 포함되어 있습니다.

하지만 "Google Update Helper" 프로그램이 생성한 "C:\Program Files\globalUpdate\Update\GoogleUpdate.exe" 파일(SHA-1 : 01c53fbc0030066fe9032fec431d9ea26b5811cc)은 디지털 서명이 포함되어 있지 않지만, 구글(Google) 업체에서 제작한 파일처럼 사용자를 속이고 있습니다.

 

2. "C:\Program Files\Google\Update\1.3.24.7\GoogleCrashHandler.exe" vs. "C:\Program Files\globalUpdate\Update\1.3.25.0\GoogleCrashHandler.exe" 파일 비교

구글 크롬(Google Chrome) 웹 브라우저의 업데이트 폴더 내의 "C:\Program Files\Google\Update\1.3.24.7\GoogleCrashHandler.exe" 파일은 "Google Inc" 디지털 서명을 포함하고 있습니다.

하지만 "Google Update Helper" 프로그램이 생성한 "C:\Program Files\globalUpdate\Update\1.3.25.0\GoogleCrashHandler.exe" 파일(SHA-1 : 0e7cc420b0be38296ef8516dc3786361119f1f5f)은 "Google Inc (TEST)" 디지털 서명이 포함되어 있습니다.

특히 "Google Inc (TEST)" 디지털 서명은 유효하지 않은 구글(Google) 디지털 서명처럼 구성되어 있는 것을 알 수 있습니다.

 

이렇게 설치된 PC 환경에서는 Internet Explorer, Google Chrome 등의 다양한 웹 브라우저 환경에서 인터넷 이용시 원치않는 광고 배너 생성 등의 불편을 유발하며 가상 화폐 채굴 작업을 통해 CPU 상승을 통한 과도한 전기 사용량을 증가시킬 수 있습니다.

 

최근 국내 인터넷 사용자 중에서 국내 광고 프로그램 외에도 해외 광고 프로그램이 설치되어 고생하는 분들이 점점 증가하고 있으므로, 국내 광고 프로그램보다 더욱 지능적이고 삭제가 어려운 해외 광고 프로그램이 설치되지 않도록 각별히 주의하시기 바랍니다.

  • Decryption Tool찾다가 다른 걸 찾으셨군요 ㅎㅎ

  • plus-hd-94 파일이 깔렸는데 지워지지도 않고 어떻게 하죠?ㅠㅠ 현재 외국 광고창이 계속 뜨네요 ㅠㅠ

    • 제어판에서 삭제가 안된다는 말인가요? 만약 제어판을 통해 삭제가 되지 않는다면 http://hummingbird.tistory.com/notice/4859 링크를 참고하여 run 파일을 만들어 보내주시기 바랍니다.

  • 루비루비루 2014.06.09 22:53 댓글주소 수정/삭제 댓글쓰기

    아...저도 방금 plus-hd-94 파일이 깔렸는데 제어판삭제가 안되서 고클린삭제도 해봤는데 둘 다 안되요ㅠ 대박사건! 이 파일에 대한 자료고 거의 전무하고 사람 미치는 줄 알았는데 포스팅 발견해서 살 것같은 느낌입니다;;
    그런데 저도 id님처럼 파일 보내드려도 될까요? 아....부탁드리고 싶어요ㅜㅜ

  • 루비루비루 2014.06.10 00:26 댓글주소 수정/삭제 댓글쓰기

    알려주신대로 다 삭제 했어요^-^ 오늘 밤은 편히 잘 듯 ㅋㅋ
    늦은 시간인데 흔쾌히 도와주셔서 감사합니다^^

  • 골덕 2014.06.12 11:08 댓글주소 수정/삭제 댓글쓰기

    안녕하세요 ㅜㅜ 저도 plus-hd-94때문에 문의드리는데요.. 지워지지 않네요. 그래서 도움받고싶은데 run파일을 어떤주소로 보내야하는지 알려주시면 감사하겠습니다 ㅜㅜ

  • 송곳 2014.06.16 22:17 댓글주소 수정/삭제 댓글쓰기

    안녕하세요 위에 댓글달으신 분들처럼 저도 동일한 문제때문에 어찌할 바를 모르고 있습니다. plus-hd-94 <- 요 아이 때문인것 같아요. 어떻게 해야 삭제할수 있는지 알려주실수 있으신지요.. 제가 컴맹이라 이러저러한 포스팅들을 읽어도 잘 모르겠어요 ㅠㅠ
    부탁드립니다. 감사합니다. ㅠㅠㅠㅠ

  • ㅜㅜ 안녕하세요 위에분들과 같이 저도 plus-hd-94 삭제때문에 문의드립니다. 알려주신 내용을 참고해서 어찌어찌 하다가 확실치 않아서 run파일을 메일로 보내 도움을 청하고자 합니다 답변해주시면 감사하겠습니다ㅜ

  • 비밀댓글입니다

  • 2014.11.18 11:29 댓글주소 수정/삭제 댓글쓰기

    자꾸 Trojan.Bplug 파일이 백신에서 검색이 됩니다..
    오늘만해도 벌써 세번이나 백신에서 제거했는데
    아무리 생각해도 악성코드가 자꾸 설치되는 것 같습니다 ㅠㅠ
    백신이 수시로 발견하고 지워주긴 하는데 재설치되는것 때문에 문의드립ㄴㅣ다

    • http://hummingbird.tistory.com/notice/4859

      참고하여 run 파일을 제작해서 보내주시기 바라며 보내실 때 백신에서 진단되는 파일 경로도 함께 보내주시기 바랍니다.