울지않는벌새 : Security, Movie & Society

보안 관련 파일로 위장한 xeengine 악성 광고 프로그램 주의 (2014.6.11)

벌새::Analysis

국내에서 제작된 광고 프로그램 중 보안 관련 파일로 위장하여 특정 인터넷 쇼핑몰 접속시 제휴 코드 추가 및 인터넷 검색시 광고창을 생성하며, 프로그램 삭제 이후에도 지속적으로 동작하는 애드웨어(Adware) xeengine 프로그램<SHA-1 : b3d812c5f0832945f82a45687ec1729dd55aab39 - AhnLab V3 : Adware/Win32.Xeengine (VT : 7/52)>에 대해 살펴보도록 하겠습니다.

해당 악성코드는 2014년 4월 8일경 최초 유포가 시작되어 수천대 이상의 PC에 설치가 된 것으로 파악되고 있으며, 현재에는 또 다른 변종 악성 프로그램으로 교체한 것으로 추정됩니다.

참고로 xeengine 악성 프로그램은 기존의 SearchClick 검색 도우미 프로그램의 변형된 형태로 확인되고 있습니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Program Files\xeengine
C:\Program Files\xeengine\xeengine_d.exe :: 메모리 상주 프로세스
C:\Program Files\xeengine\xeengine_i.exe
C:\Program Files\xeengine\xeengine_m.exe :: 시작 프로그램(xeengine) 등록 파일
C:\Program Files\xeengine\xeengine_s.exe :: 서비스(xeengine service) 등록 파일
C:\Program Files\xeengine\xeengine_u.exe :: 프로그램 삭제 파일
C:\Windows\dot_11st.ico
C:\Windows\dot_auction.ico
C:\Windows\dot_gmarket.ico
C:\Windows\System32\msvcr110.dll
C:\Windows\webclient.dll :: BHO 등록 파일
C:\Windows\winsecurity.exe :: 서비스(Windows Security Service Controller) 등록 파일
C:\Windows\wnddown.exe :: 시작 프로그램(wnddown) 등록 파일

 

[생성 파일 진단 정보]

 

C:\Program Files\xeengine\xeengine_d.exe
 - SHA-1 : 3c315f610028681c8021bf9c6fa44c735c3c3a81
 - AhnLab V3 : Adware/Win32.Xeengine (VT : 2/51)

 

C:\Program Files\xeengine\xeengine_i.exe
 - SHA-1 : 8266bd49bbc229bc28003c9c8965351c8aac99e0
 - AhnLab V3 : Adware/Win32.Xeengine (VT : 1/52)

 

C:\Program Files\xeengine\xeengine_m.exe
 - SHA-1 : 76599d08e229f87b1e8d0d60ce23a12835433e51
 - AhnLab V3 : Adware/Win32.Xeengine (VT : 1/52)

 

C:\Program Files\xeengine\xeengine_s.exe
 - SHA-1 : 46e13f05a2ed219d9463698b11d9653a29ce5558
 - AhnLab V3 : Adware/Win32.Xeengine (VT : 1/52)

 

C:\Program Files\xeengine\xeengine_u.exe
 - SHA-1 : a8e6f80d1a2c4da903ccae794b491daee48f1730
 - AhnLab V3 : Adware/Win32.Xeengine (VT : 1/51)

 

C:\Windows\wnddown.exe
 - SHA-1 : 0b45fed10b4c0f6f7d4d1487137742ef6eab4e5d
 - AhnLab V3 : Adware/Win32.Xeengine (VT : 1/52)

"FAMOUS SOLUTION Co.LTD,,," 디지털 서명이 포함된 xeengine 프로그램은 "C:\Program Files\xeengine", "C:\Windows" 폴더 내에 파일을 생성합니다.

특히 Windows 폴더 내에 생성된 3개의 파일은 Windows 시작시 자동 실행(winsecurity.exe, wnddown.exe)되거나 Internet Explorer 웹 브라우저 동작시 실행되는 광고 모듈(webclient.dll)로 파일 속성에서는 "Windows Security, Web Security Plus-In"과 같이 보안 관련 파일로 위장하고 있습니다.

 

xeengine 악성 프로그램은 시스템 시작시 다양한 등록값을 통해 자동 실행되는 구조이므로 하나씩 각 기능을 살펴보도록 하겠습니다.

 

1. xeengine 시작 프로그램 등록값

 

Windows 시작시 xeengine 시작 프로그램 등록값을 통해 "C:\Program Files\xeengine\xeengine_m.exe" 파일을 자동 실행하여 "C:\Program Files\xeengine\xeengine_d.exe" 파일을 로딩하여 메모리에 상주시킵니다.

실행된 xeengine_d.exe 파일은 특정 서버에 사용자 Mac Address, IP 주소, 운영 체제(OS), 해상도, Internet Explorer 웹 브라우저 버전 등의 정보를 전송하여 카운터(Counter)를 체크합니다.

메모리에 상주하는 xeengine_d.exe 파일은 사용자가 인터넷 검색을 시도하는 과정에서 자동으로 제휴 코드(click.clickmon.co.kr)가 포함된 광고창을 생성할 수 있습니다.

또한 사용자가 웹 사이트 접속 과정에서 특정 서버로 Mac Address, IP 주소, 운영 체제(OS), 해상도, Internet Explorer 웹 브라우저 버전, 접속 URL 주소 등의 정보를 수집해 갑니다.

 

2. "xeengine service" 서비스 등록값

"xeengine service (표시 이름 : xeengine)" 서비스 항목을 등록하여 시스템 시작시 "C:\Program Files\xeengine\xeengine_s.exe" 파일을 자동 실행하도록 구성되어 있습니다.

 

실행된 xeengine_s.exe 파일은 Internet Explorer 웹 브라우저의 명령 모음에 인터넷 쇼핑몰(11번가, G마켓, 옥션) 바로가기 아이콘 등록 등의 광고 추가 기능을 구현할 수 있을 것으로 판단되고 있으며, 테스트 당시에는 구현되는 광고 기능은 발견되지 않았습니다.

 

3. "Web Security Plus-In" 브라우저 도우미 개체(BHO) 등록값

 

이름

 Web Security Plus-In

게시자

 FAMOUS SOLUTION Co.LTD,,,

유형

 브라우저 도우미 개체

CLSID

 {EE92A291-D17F-4BAB-9D21-EF81A648DD45}

파일

 C:\Windows\webclient.dll

 

Internet Explorer 웹 브라우저 실행시 "C:\Windows\webclient.dll" 파일(SHA-1 : 5d039607e0eebc8ab1964bc697641d0a4cd0dd54)을 "Web Security Plus-In" 브라우저 도우미 개체(BHO)로 등록하여 광고 기능을 수행하도록 제작되어 있습니다.

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Ext
 - IgnoreFrameApprovalCheck = 1

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Ext
 - IgnoreFrameApprovalCheck = 1

특히 프로그램 설치시 레지스트리 등록값(IgnoreFrameApprovalCheck) 추가를 통해 Internet Explorer 웹 브라우저시 "Web Security Plus-In" 브라우저 도우미 개체(BHO) 허용을 표시하는 노란바 생성을 차단하여 자동 등록하고 있습니다.

 

또한 사용자가 "Web Security Plus-In" 브라우저 도우미 개체(BHO) 기능을 중지하지 못하게 "사용 안 함" 버튼 클릭시 변경되지 않도록 방해하는 동작을 확인할 수 있습니다.

정상적으로 브라우저 도우미 개체(BHO)로 등록된 경우 사용자가 Internet Explorer 웹 브라우저를 실행할 때마다 특정 서버에 Mac Address, 운영 체제(OS), Internet Explorer 웹 브라우저 버전 정보를 전송하며 인터넷 쇼핑몰(11번가, G마켓, 옥션) 제휴 코드 구성값을 받아옵니다.

이를 통해 사용자가 11번가, G마켓, 옥션 인터넷 쇼핑몰에 접속하는 과정에서 자동으로 제휴 코드가 추가되는 동작을 확인할 수 있습니다.

 

4. "Windows Security Service Controller" 서비스 등록값

"Windows Security Service Controller (표시 이름 : Windows Security Controller)" 서비스 항목을 등록하여 시스템 시작시 "C:\Windows\winsecurity.exe" 파일(SHA-1 : 6c735ba4ca6f03d37ade6983994d154ceff21d8d)을 자동 실행하도록 구성되어 있습니다.

자동 실행된 winsecurity.exe 파일은 "Web Security Plus-In" 브라우저 도우미 개체(BHO) 업데이트 및 구성값을 체크하여 사용자가 "사용 안 함"으로 변경한 경우 재활성화를 시도합니다.

  •  h**p://www.sear**click.co.kr/app/bho/webclient.dll (SHA-1 : 2f5b0dbb45087c4a240b9b64687ca38453aeedc5)

또한 파일 분석 과정에서 유포 서버에서 webclient.dll 변종 파일도 확인할 수 있었습니다.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\
System
 - EnableLUA = 1 :: 변경 전
 - EnableLUA = 0 :: 변경 후

또한 xeengine 프로그램 설치 후 최초 "Windows Security Service Controller" 서비스 실행이 이루어질 경우 Windows 보안 기능인 사용자 계정 컨트롤(UAC) 기능을 사용자 몰래 강제로 비활성화 처리하여 Windows 재부팅시마다 자동으로 "사용자 계정 컨트롤" 알림창이 표시되지 않도록 합니다.

이렇게 사용자 계정 컨트롤(UAC) 설정값을 강제로 비활성화하는 이유는 "C:\Windows\wnddown.exe" 파일을 통해 사용자 몰래 다양한 프로그램을 설치할 때 외형적으로 사용자가 인지하지 못하게 할 목적으로 판단되고 있습니다.

 

5. wnddown 시작 프로그램 등록값

 

Windows 시작시 wnddown 시작 프로그램 등록값을 통해 "C:\Windows\wnddown.exe" 파일을 자동 실행하도록 구성되어 있습니다.

자동 실행된 wnddown.exe 파일은 특정 서버에 Mac Address, 운영 체제(OS), Internet Explorer 웹 브라우저 버전 정보를 전송하며, 서버에 등록된 배포 파일이 등록되어 있을 경우 자동으로 다운로드 및 설치가 이루어질 것으로 추정됩니다.

  • h**p://www.sear**click.co.kr/app/baepo/wnddown.exe (SHA-1 : e34959cb8e649c43a636fd8152baac982f9e6f07)

또한 서버에서는 wnddown.exe 변종 파일도 발견되고 있으므로 참고하시기 바랍니다.

 

xeengine 프로그램 삭제 방법

 

xeengine 악성 프로그램은 기본적으로 제어판을 통해 삭제 기능을 제공하는 것처럼 제작되어 있지만, 프로그램 삭제 이후에도 Windows 폴더 내에 생성된 파일을 그대로 유지하여 지속적인 돈벌이 및 차후 사용자 몰래 추가적인 프로그램 설치 기능을 유지하고 있습니다.

 

(a) Windows 작업 관리자를 실행하여 메모리에 상주하는 xeengine_d.exe 프로세스를 찾아 종료하시기 바랍니다.

 

(b) 제어판에 등록된 xeengine 삭제 항목을 찾아 프로그램 삭제를 진행하시기 바랍니다.

 

(c) "보조 프로그램 → 명령 프롬프트" 메뉴를 "관리자 권한으로 실행"하여 생성된 명령 프롬프트 창에 [sc delete "Windows Security Service Controller"] 명령어를 입력하여 서비스를 자동 삭제하시기 바랍니다.

 

(d) Internet Explorer 웹 브라우저를 모두 종료한 상태에서 다음의 파일을 찾아 삭제하시기 바랍니다.

  • C:\Windows\webclient.dll
  • C:\Windows\winsecurity.exe
  • C:\Windows\wnddown.exe

(e) 레지스트리 편집기(regedit)를 실행하여 다음의 레지스트리 값이 존재할 경우 삭제하시기 바랍니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Ext
 - IgnoreFrameApprovalCheck = 1
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - wnddown = C:\Windows\wnddown.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{EE92A291-D17F-4BAB-9D21-EF81A648DD45}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{1EF42E6D-E228-4F42-88B3-18CF5810EF41}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{B33E0C4C-58AF-4F0B-8519-FF08F03B13A0}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\webclient.Helper
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\webclient.Helper.1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{EE92A291-D17F-4BAB-9D21-EF81A648DD45}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Ext
 - IgnoreFrameApprovalCheck = 1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - xeengine = "C:\Program Files\xeengine\xeengine_m.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
xeengine
HKEY_LOCAL_MACHINE\SOFTWARE\xeengine
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Windows Security Service Controller
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\xeengine service

 

(f) "제어판 → 시스템 및 보안 → 관리 센터""사용자 계정 컨트롤 설정 변경" 메뉴를 실행하여 사용자 계정 컨트롤(UAC) 설정값을 "알리지 않음"에서 상단으로 슬라이드를 올리시기 바랍니다.

 

xeengine 악성 광고 프로그램은 프로그램 삭제 이후에도 11번가, G마켓, 옥션 인터넷 쇼핑몰 접속시마다 자동으로 제휴 코드를 추가하여 수익을 창출하고 있으며, 파일 다운로드 기능을 통해 사용자 몰래 다양한 프로그램을 설치하도록 할 수 있으므로 주의하시기 바랍니다.