본문 바로가기

벌새::Analysis

보안 관련 파일로 위장한 xeengine 악성 광고 프로그램 주의 (2014.6.11)

국내에서 제작된 광고 프로그램 중 보안 관련 파일로 위장하여 특정 인터넷 쇼핑몰 접속시 제휴 코드 추가 및 인터넷 검색시 광고창을 생성하며, 프로그램 삭제 이후에도 지속적으로 동작하는 애드웨어(Adware) xeengine 프로그램<SHA-1 : b3d812c5f0832945f82a45687ec1729dd55aab39 - AhnLab V3 : Adware/Win32.Xeengine (VT : 7/52)>에 대해 살펴보도록 하겠습니다.

해당 악성코드는 2014년 4월 8일경 최초 유포가 시작되어 수천대 이상의 PC에 설치가 된 것으로 파악되고 있으며, 현재에는 또 다른 변종 악성 프로그램으로 교체한 것으로 추정됩니다.

참고로 xeengine 악성 프로그램은 기존의 SearchClick 검색 도우미 프로그램의 변형된 형태로 확인되고 있습니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Program Files\xeengine
C:\Program Files\xeengine\xeengine_d.exe :: 메모리 상주 프로세스
C:\Program Files\xeengine\xeengine_i.exe
C:\Program Files\xeengine\xeengine_m.exe :: 시작 프로그램(xeengine) 등록 파일
C:\Program Files\xeengine\xeengine_s.exe :: 서비스(xeengine service) 등록 파일
C:\Program Files\xeengine\xeengine_u.exe :: 프로그램 삭제 파일
C:\Windows\dot_11st.ico
C:\Windows\dot_auction.ico
C:\Windows\dot_gmarket.ico
C:\Windows\System32\msvcr110.dll
C:\Windows\webclient.dll :: BHO 등록 파일
C:\Windows\winsecurity.exe :: 서비스(Windows Security Service Controller) 등록 파일
C:\Windows\wnddown.exe :: 시작 프로그램(wnddown) 등록 파일

 

[생성 파일 진단 정보]

 

C:\Program Files\xeengine\xeengine_d.exe
 - SHA-1 : 3c315f610028681c8021bf9c6fa44c735c3c3a81
 - AhnLab V3 : Adware/Win32.Xeengine (VT : 2/51)

 

C:\Program Files\xeengine\xeengine_i.exe
 - SHA-1 : 8266bd49bbc229bc28003c9c8965351c8aac99e0
 - AhnLab V3 : Adware/Win32.Xeengine (VT : 1/52)

 

C:\Program Files\xeengine\xeengine_m.exe
 - SHA-1 : 76599d08e229f87b1e8d0d60ce23a12835433e51
 - AhnLab V3 : Adware/Win32.Xeengine (VT : 1/52)

 

C:\Program Files\xeengine\xeengine_s.exe
 - SHA-1 : 46e13f05a2ed219d9463698b11d9653a29ce5558
 - AhnLab V3 : Adware/Win32.Xeengine (VT : 1/52)

 

C:\Program Files\xeengine\xeengine_u.exe
 - SHA-1 : a8e6f80d1a2c4da903ccae794b491daee48f1730
 - AhnLab V3 : Adware/Win32.Xeengine (VT : 1/51)

 

C:\Windows\wnddown.exe
 - SHA-1 : 0b45fed10b4c0f6f7d4d1487137742ef6eab4e5d
 - AhnLab V3 : Adware/Win32.Xeengine (VT : 1/52)

"FAMOUS SOLUTION Co.LTD,,," 디지털 서명이 포함된 xeengine 프로그램은 "C:\Program Files\xeengine", "C:\Windows" 폴더 내에 파일을 생성합니다.

특히 Windows 폴더 내에 생성된 3개의 파일은 Windows 시작시 자동 실행(winsecurity.exe, wnddown.exe)되거나 Internet Explorer 웹 브라우저 동작시 실행되는 광고 모듈(webclient.dll)로 파일 속성에서는 "Windows Security, Web Security Plus-In"과 같이 보안 관련 파일로 위장하고 있습니다.

 

xeengine 악성 프로그램은 시스템 시작시 다양한 등록값을 통해 자동 실행되는 구조이므로 하나씩 각 기능을 살펴보도록 하겠습니다.

 

1. xeengine 시작 프로그램 등록값

 

Windows 시작시 xeengine 시작 프로그램 등록값을 통해 "C:\Program Files\xeengine\xeengine_m.exe" 파일을 자동 실행하여 "C:\Program Files\xeengine\xeengine_d.exe" 파일을 로딩하여 메모리에 상주시킵니다.

실행된 xeengine_d.exe 파일은 특정 서버에 사용자 Mac Address, IP 주소, 운영 체제(OS), 해상도, Internet Explorer 웹 브라우저 버전 등의 정보를 전송하여 카운터(Counter)를 체크합니다.

메모리에 상주하는 xeengine_d.exe 파일은 사용자가 인터넷 검색을 시도하는 과정에서 자동으로 제휴 코드(click.clickmon.co.kr)가 포함된 광고창을 생성할 수 있습니다.

또한 사용자가 웹 사이트 접속 과정에서 특정 서버로 Mac Address, IP 주소, 운영 체제(OS), 해상도, Internet Explorer 웹 브라우저 버전, 접속 URL 주소 등의 정보를 수집해 갑니다.

 

2. "xeengine service" 서비스 등록값

"xeengine service (표시 이름 : xeengine)" 서비스 항목을 등록하여 시스템 시작시 "C:\Program Files\xeengine\xeengine_s.exe" 파일을 자동 실행하도록 구성되어 있습니다.

 

실행된 xeengine_s.exe 파일은 Internet Explorer 웹 브라우저의 명령 모음에 인터넷 쇼핑몰(11번가, G마켓, 옥션) 바로가기 아이콘 등록 등의 광고 추가 기능을 구현할 수 있을 것으로 판단되고 있으며, 테스트 당시에는 구현되는 광고 기능은 발견되지 않았습니다.

 

3. "Web Security Plus-In" 브라우저 도우미 개체(BHO) 등록값

 

이름

 Web Security Plus-In

게시자

 FAMOUS SOLUTION Co.LTD,,,

유형

 브라우저 도우미 개체

CLSID

 {EE92A291-D17F-4BAB-9D21-EF81A648DD45}

파일

 C:\Windows\webclient.dll

 

Internet Explorer 웹 브라우저 실행시 "C:\Windows\webclient.dll" 파일(SHA-1 : 5d039607e0eebc8ab1964bc697641d0a4cd0dd54)을 "Web Security Plus-In" 브라우저 도우미 개체(BHO)로 등록하여 광고 기능을 수행하도록 제작되어 있습니다.

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Ext
 - IgnoreFrameApprovalCheck = 1

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Ext
 - IgnoreFrameApprovalCheck = 1

특히 프로그램 설치시 레지스트리 등록값(IgnoreFrameApprovalCheck) 추가를 통해 Internet Explorer 웹 브라우저시 "Web Security Plus-In" 브라우저 도우미 개체(BHO) 허용을 표시하는 노란바 생성을 차단하여 자동 등록하고 있습니다.

 

또한 사용자가 "Web Security Plus-In" 브라우저 도우미 개체(BHO) 기능을 중지하지 못하게 "사용 안 함" 버튼 클릭시 변경되지 않도록 방해하는 동작을 확인할 수 있습니다.

정상적으로 브라우저 도우미 개체(BHO)로 등록된 경우 사용자가 Internet Explorer 웹 브라우저를 실행할 때마다 특정 서버에 Mac Address, 운영 체제(OS), Internet Explorer 웹 브라우저 버전 정보를 전송하며 인터넷 쇼핑몰(11번가, G마켓, 옥션) 제휴 코드 구성값을 받아옵니다.

이를 통해 사용자가 11번가, G마켓, 옥션 인터넷 쇼핑몰에 접속하는 과정에서 자동으로 제휴 코드가 추가되는 동작을 확인할 수 있습니다.

 

4. "Windows Security Service Controller" 서비스 등록값

"Windows Security Service Controller (표시 이름 : Windows Security Controller)" 서비스 항목을 등록하여 시스템 시작시 "C:\Windows\winsecurity.exe" 파일(SHA-1 : 6c735ba4ca6f03d37ade6983994d154ceff21d8d)을 자동 실행하도록 구성되어 있습니다.

자동 실행된 winsecurity.exe 파일은 "Web Security Plus-In" 브라우저 도우미 개체(BHO) 업데이트 및 구성값을 체크하여 사용자가 "사용 안 함"으로 변경한 경우 재활성화를 시도합니다.

  •  h**p://www.sear**click.co.kr/app/bho/webclient.dll (SHA-1 : 2f5b0dbb45087c4a240b9b64687ca38453aeedc5)

또한 파일 분석 과정에서 유포 서버에서 webclient.dll 변종 파일도 확인할 수 있었습니다.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\
System
 - EnableLUA = 1 :: 변경 전
 - EnableLUA = 0 :: 변경 후

또한 xeengine 프로그램 설치 후 최초 "Windows Security Service Controller" 서비스 실행이 이루어질 경우 Windows 보안 기능인 사용자 계정 컨트롤(UAC) 기능을 사용자 몰래 강제로 비활성화 처리하여 Windows 재부팅시마다 자동으로 "사용자 계정 컨트롤" 알림창이 표시되지 않도록 합니다.

이렇게 사용자 계정 컨트롤(UAC) 설정값을 강제로 비활성화하는 이유는 "C:\Windows\wnddown.exe" 파일을 통해 사용자 몰래 다양한 프로그램을 설치할 때 외형적으로 사용자가 인지하지 못하게 할 목적으로 판단되고 있습니다.

 

5. wnddown 시작 프로그램 등록값

 

Windows 시작시 wnddown 시작 프로그램 등록값을 통해 "C:\Windows\wnddown.exe" 파일을 자동 실행하도록 구성되어 있습니다.

자동 실행된 wnddown.exe 파일은 특정 서버에 Mac Address, 운영 체제(OS), Internet Explorer 웹 브라우저 버전 정보를 전송하며, 서버에 등록된 배포 파일이 등록되어 있을 경우 자동으로 다운로드 및 설치가 이루어질 것으로 추정됩니다.

  • h**p://www.sear**click.co.kr/app/baepo/wnddown.exe (SHA-1 : e34959cb8e649c43a636fd8152baac982f9e6f07)

또한 서버에서는 wnddown.exe 변종 파일도 발견되고 있으므로 참고하시기 바랍니다.

 

xeengine 프로그램 삭제 방법

 

xeengine 악성 프로그램은 기본적으로 제어판을 통해 삭제 기능을 제공하는 것처럼 제작되어 있지만, 프로그램 삭제 이후에도 Windows 폴더 내에 생성된 파일을 그대로 유지하여 지속적인 돈벌이 및 차후 사용자 몰래 추가적인 프로그램 설치 기능을 유지하고 있습니다.

 

(a) Windows 작업 관리자를 실행하여 메모리에 상주하는 xeengine_d.exe 프로세스를 찾아 종료하시기 바랍니다.

 

(b) 제어판에 등록된 xeengine 삭제 항목을 찾아 프로그램 삭제를 진행하시기 바랍니다.

 

(c) "보조 프로그램 → 명령 프롬프트" 메뉴를 "관리자 권한으로 실행"하여 생성된 명령 프롬프트 창에 [sc delete "Windows Security Service Controller"] 명령어를 입력하여 서비스를 자동 삭제하시기 바랍니다.

 

(d) Internet Explorer 웹 브라우저를 모두 종료한 상태에서 다음의 파일을 찾아 삭제하시기 바랍니다.

  • C:\Windows\webclient.dll
  • C:\Windows\winsecurity.exe
  • C:\Windows\wnddown.exe

(e) 레지스트리 편집기(regedit)를 실행하여 다음의 레지스트리 값이 존재할 경우 삭제하시기 바랍니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Ext
 - IgnoreFrameApprovalCheck = 1
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - wnddown = C:\Windows\wnddown.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{EE92A291-D17F-4BAB-9D21-EF81A648DD45}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{1EF42E6D-E228-4F42-88B3-18CF5810EF41}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{B33E0C4C-58AF-4F0B-8519-FF08F03B13A0}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\webclient.Helper
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\webclient.Helper.1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{EE92A291-D17F-4BAB-9D21-EF81A648DD45}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Ext
 - IgnoreFrameApprovalCheck = 1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - xeengine = "C:\Program Files\xeengine\xeengine_m.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
xeengine
HKEY_LOCAL_MACHINE\SOFTWARE\xeengine
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Windows Security Service Controller
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\xeengine service

 

(f) "제어판 → 시스템 및 보안 → 관리 센터""사용자 계정 컨트롤 설정 변경" 메뉴를 실행하여 사용자 계정 컨트롤(UAC) 설정값을 "알리지 않음"에서 상단으로 슬라이드를 올리시기 바랍니다.

 

xeengine 악성 광고 프로그램은 프로그램 삭제 이후에도 11번가, G마켓, 옥션 인터넷 쇼핑몰 접속시마다 자동으로 제휴 코드를 추가하여 수익을 창출하고 있으며, 파일 다운로드 기능을 통해 사용자 몰래 다양한 프로그램을 설치하도록 할 수 있으므로 주의하시기 바랍니다.

  • 이런 못된 경우가 있군요. 어제는 드랍박스를 가장한 스미싱을 주의하라는 글을 보았습니다. 파렴치한 행위가 없어져야 하는데 더욱 기승이네요.

  • 비밀댓글입니다

    • 레지스트리 부분에서 붉은색 표시는 레지스트리 편집기의 좌측이 아닌 우측 영역에 있는 부분을 따로 표시한 부분입니다.

      그러므로 삭제시 붉은색 부분 영역을 무시하고 좌측 영역키 전체를 삭제하면 시스템에 문제가 발생할 수 있으며, 레지스트리는 시스템 복원 기능 외에는 복구하기 매우 까다롭습니다.

  • dsfa 2014.06.18 01:23 댓글주소 수정/삭제 댓글쓰기

    님 제가 ooo님 <서울정부> 명예훼손 어쩌구 저쩌구 하면서 문자왔는데 씹었고 그게 보니까 스팸이더라구요 그래서 저번에도 그런문자왔다고 클릭했는데 apk파일 설치됬어요 그리고 어플화면에 어플은 안깔려있고요 단순히 그냥 어플일까요? 실행은 하지않았습니다 ㅋ
    혹시찝찝한데 폰 사진,동영상 빼고는 다 초기화 하면 없어지나요? 폰은 초기화 하면 공인인증서도 없어지나요?

    • 당연히 해당 악성 apk 파일은 정보 유출, 모바일 뱅킹앱 바꿔치기, SMS 문자 발송 등의 악의적 기능을 수행합니다.

      기본적으로 감염되어 설치된 악성앱은 기기관리자 권한으로 동작하므로 기기관리자에서 악성앱을 찾아 비활성화한 후 애플리케이션에서 찾아 제거하시면 됩니다.

      또한 추가적인 악성앱 다운로드가 있을 수 있으므로 AhnLab V3 모바일 백신으로 이용하여 정밀 검사를 하시는 것을 권장합니다.

      마지막으로 폰에 모바일뱅킹앱이나 공인인증서가 있다면 공인인증서는 폐기를 하고 재발급 받으시기 바라며, 공장 초기화를 하면 원천적으로 악성앱은 모두 제거됩니다. 단지 공인인증서를 그래도 사용하는 일은 없도록 하시기 바랍니다.

  • 망.ㅜㅜㅜ 2014.06.21 21:50 댓글주소 수정/삭제 댓글쓰기

    레지스트리까지 수정을 마쳤고 확실히 애드웨어는 제거됬습니다! 감사합니다^^

    그러나.... 재부팅을 해보니까 그 작업표시줄 알림영역에 볼륨아이콘과 무선네트워크 아이콘이 사라졌고 ㅜ 시작메뉴에서 기본프로그램을 선택하니까 {26EE0668-어쩌구}하는게 없다고 하는데 찾아보니까 있구요..ㅜ ctrl+F 로 뭔가를 찾는 기능도 애가 이상한거만 찾고 못찾네요.ㅜㅜ 복구를 해봐도 똑같고 아예 윈도우 다시깔아야하나요?ㅜㅜ

    • 일단 이 글에서는 말씀하시는 26ee0668-a00a-44d7-9371-beb064c98683 레지스트리 값 삭제는 표시되어 있지 않습니다.

      26ee0668-a00a-44d7-9371-beb064c98683 레지스트리 값을 조사해보니 시스템에서 사용하는 필수 레지스트리 값으로 보이며, 아마 사용자가 삭제시 뭔가 실수로 다른 것을 삭제한 것이 아닌가 의심됩니다.

      시스템 복원으로도 해결되지 않는다면 윈도우를 재설치할 수 밖에 없어 보입니다.ㅠㅠ

      만약 제가 제공하는 백업 레지스트 파일을 받아서 적용해 보길 원하신다면 http://hummingbird.tistory.com/notice/911 글에 소개한 메일 주소로 메일을 주시면 레지 관련 파일과 사용법을 전달해 드리겠습니다.

      단지 100% 복구 가능한지는 장담 못합니다.

  • 감사합니다 2014.06.28 16:05 댓글주소 수정/삭제 댓글쓰기

    벌새님 정말 감사합니다. wnddown이 프로그램은 지우고 부팅해도 자꾸 살아나 너무 힘들었는데 알려주신대로 하니 없어졌어요!

  • ㅠㅠㅠㅠwnddown 지워도 계속살아나는데ㅠㅠ.. 너무어려워요ㅠㅠㅠㅠ

  • 안녕하세요 제가이글보고하라는대로삭제하라는거다하고레지스트인가그것도나와있는거다제거했는데그래도광고가떠요
    실행중인툴바에도web security가없는데왜이러는걸까요?

    • 아마 숨어있는 다른 광고 프로그램이 있는게 아닌가 싶습니다.

      http://hummingbird.tistory.com/notice/4859

      링크 내용을 확인하시고 문의해 주시기 바랍니다.

  • ㅜㅜ 2016.07.12 11:30 댓글주소 수정/삭제 댓글쓰기

    오늘 스마트폰으로 인터넷하다가 click.clickmon.co.kr 으로 이동된 것 같습니다 클릭 뭐시기 주소였는데요. 블로그에 언급된 사이트가 아니더라도 바로 뒤로가기 눌러서 나왔다면 괜찮을까요? 이 글만 봐서는 그냥 광고인지 위험한 곳이었는지 모르겠습니다ㅜㅜ

    • 단순한 국내 광고 페이지로 연결된 듯 합니다. 그냥 사이트에서 나오시면 됩니다.

    • ㅜㅜ 2016.07.12 16:01 댓글주소 수정/삭제

      답변 감사합니다

      앞으로도 자의든 타이든 어떤 광고 사이트에 연결되면
      바로 창을 닫고 백신 한 번 돌리고
      이상 없으면 괜찮나요?

      요즘 폰으로 다음이나 네이버 그외에 제가 자주 가는 사이트들에접속하고 있으면요 제가 뭘 잘못 눌러서 이동되거나 혹은 스스로 광고사이트가 보일때가 있어요

      그때마다 창 닫거나 강제종료  후 백신 검사 후 쓰고 있는데요

      매번 접속된 사이트가 나쁜 곳인지 단순 광고 사이트인지 검색하러 다닐 수도 없고ㅜㅜ 진짜 이상한 사이트로 유인하는 것 들 너무 싫네요

      흠 답변 다시  한 번 감사합니다
      건강하세요

    • 자동으로 광고 사이트로 연결될 경우 apk 파일만 다운로드되지 않는다면 백신으로 검사까지 하실 필요는 없을겁니다.

    • ㅜㅜ 2016.07.12 17:58 댓글주소 수정/삭제

      제가 뭘 잘못 눌러서 사이트에 방문했어도 애플리케이션 파일이 다운로드 되지만 않는다면 백신검사까지는 안 해도 될까요?

    • 일반적으로 자동 연결된 사이트에서 apk 파일이 자동 다운로드될 수 있지만 자동 설치로는 연결되기 쉽지 않습니다.

      그러므로 직접 다운로드한 apk 파일이 아닐 경우에는 함부로 실행하여 설치하지 않도록 하시기 바랍니다.

    • ㅜㅜ 2016.07.12 21:22 댓글주소 수정/삭제

      님 제가 뭘 잘못 눌러서 사이트에 접속했다는 말은 수동 접속이라는 의미였는데요

      스스로 광고사이트로 넘어가거나는
      자동 접속이라는 의미였어요

      그거나 그거나인가요ㅜㅜ

      뭐 제가 자동접속이나 수동접속이나
      의미없이 님께서 말씀 하신 것 처럼
      사이트로 넘어가도 바로 창을 종료시키거나 애플이 다운받아져도 설치를 안 하면 위험하지 않는건가요?

      다시 한 번 정확하게 이해하기 위해서 여쭈어볼게요. 그럼 푹 쉬세요

    • 똑같은 말은 계속 답변하기 그렇네요. 그냥 사이트 연결된 것을 무시하시면 됩니다.

    • ㅜㅜ 2016.07.12 23:52 댓글주소 수정/삭제

      역시 제가 이해력이 딸렸나봐요ㅜㅜ
      좋은 정보 알고 갑니다
      감사해요!!!