본문 바로가기

벌새::Analysis

"Google Update Helper" 프로그램으로 위장한 globalUpdate 악성 프로그램 주의 (2014.6.13)

일전에 해외 Softpedia 파일 자료실로 위장한 다수의 광고 프로그램 유포 방식에 대해 소개한 적이 있었습니다.

당시 설치되는 프로그램 중에서 Google Chrome 업데이트 프로그램(Google Update Helper)으로 위장한 globalUpdate 프로그램에 대해 간단하게 살펴보았는데, 설치된 프로그램이 제어판을 통한 삭제를 지원하지 않는 부분이 있기에 세부적으로 살펴보도록 하겠습니다.

정상적인 PC 환경에서는 Google Chrome 웹 브라우저가 설치된 경우 "C:\Program Files\Google\Update" 폴더 내부에 Google Chrome 업데이트 기능을 담당하는 "Google Update Helper" 프로그램이 함께 설치됩니다.("Google Update Helper" 프로그램은 제어판에는 등록되어 있지 않지만 Google Chrome 웹 브라우저 삭제시 함께 삭제 처리됩니다.)

 

그런데 해외에서 제작된 Plus-HD-9.4, SavePass 등의 광고 프로그램 설치시 Google Chrome 업데이트 프로그램처럼 위장한 globalUpdate 프로그램이 함께 설치될 수 있는 것으로 파악되고 있습니다.

 

테스트에서는 SavePass 광고 프로그램 설치 과정에서 자동으로 설치되는 globalUpdate 프로그램을 살펴보았습니다.

 

설치 과정에서는 SavePass 설치 파일<SHA-1 : 8739c4a7069c40ef50b16c4c0a9f6fe53c111753 - AhnLab V3 : PUP/Win32.MulDrop.R108219 (VT : 9/54)>이 특정 서버로부터 다운로드되어 실행되면 실행 압축 해제를 통해 "C:\Users\(사용자 계정)\AppData\Local\Temp\(영문+숫자).tmp\Bssaepknc.exe" 파일<SHA-1 : e3665e27ebb8cc1bf83e552d96530fc41d53cd0d - AhnLab V3 : PUP/Win32.MulDrop.C352968 (VT : 10/54)>이 임시 생성되어 globalUpdate 프로그램을 설치하도록 되어 있습니다.

 

또한 설치시에는 Bssaepknc.exe 파일이 "C:\Users\(사용자 계정)\AppData\Local\Temp\(영문).(숫자)" 폴더 내에 globalUpdate 관련 파일을 임시 생성하여 "C:\Program Files\globalUpdate" 폴더에 자가 복제하는 방식으로 진행됩니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Program Files\globalUpdate
C:\Program Files\globalUpdate\CrashReports
C:\Program Files\globalUpdate\Update
C:\Program Files\globalUpdate\Update\1.3.25.0
C:\Program Files\globalUpdate\Update\1.3.25.0\GoogleCrashHandler.exe
C:\Program Files\globalUpdate\Update\1.3.25.0\GoogleUpdate.exe
C:\Program Files\globalUpdate\Update\1.3.25.0\GoogleUpdateBroker.exe
C:\Program Files\globalUpdate\Update\1.3.25.0\GoogleUpdateHelper.msi
C:\Program Files\globalUpdate\Update\1.3.25.0\GoogleUpdateOnDemand.exe
C:\Program Files\globalUpdate\Update\1.3.25.0\goopdate.dll
C:\Program Files\globalUpdate\Update\1.3.25.0\goopdateres_en.dll
C:\Program Files\globalUpdate\Update\1.3.25.0\npGoogleUpdate4.dll :: Mozilla Firefox 웹 브라우저 플러그인 등록 파일
C:\Program Files\globalUpdate\Update\1.3.25.0\psmachine.dll
C:\Program Files\globalUpdate\Update\1.3.25.0\psuser.dll
C:\Program Files\globalUpdate\Update\Download
C:\Program Files\globalUpdate\Update\GoogleUpdate.exe :: 서비스(globalUpdate, globalUpdatem) 등록 파일, 예약 작업(globalUpdateUpdateTaskMachineCore,

globalUpdateUpdateTaskMachineUA) 등록 파일
C:\Program Files\globalUpdate\Update\Install
C:\Program Files\globalUpdate\Update\Offline
C:\Program Files\globalUpdate\Update\Offline\{6008DDB1-470A-4B6E-A025-FED1C2C8A802}
C:\Windows\System32\Tasks\globalUpdateUpdateTaskMachineCore
C:\Windows\System32\Tasks\globalUpdateUpdateTaskMachineUA
C:\Windows\Tasks\globalUpdateUpdateTaskMachineCore.job
C:\Windows\Tasks\globalUpdateUpdateTaskMachineUA.job

유효하지 않은 "Google Inc (TEST)" 디지털 서명이 포함된 해당 프로그램은 "C:\Program Files\globalUpdate" 폴더에 파일을 생성합니다.

생성된 대부분의 파일은 디지털 서명을 포함하고 있지 않으며, GoogleCrashHandler.exe (SHA-1 : 0e7cc420b0be38296ef8516dc3786361119f1f5f), goopdateres_en.dll (SHA-1 : e607200684ae0e1ec0294ca57853533d138fb852)파일에 포함된 구글(Google) 디지털 서명처럼 등록된 "Google Inc (TEST)" 서명은 유효하지 않은 상태임을 알 수 있습니다.(※ 참고로 정상적인 Google Chrome 업데이트 파일은 모두 "Google Inc" 디지털 서명을 포함하고 있습니다.)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}

이렇게 설치된 globalUpdate 프로그램은 정상적인 Google Chrome 업데이트 프로그램이 등록한 "Google Update Helper" 삭제 레지스트리 값을 변조하는 부분을 발견할 수 있습니다.

 

설치된 globalUpdate 프로그램은 Google Chrome 업데이트 프로그램(Google Update Helper)과 동일하게 2개의 서비스와 작업 스케줄러를 등록하여 사용자에게 혼란을 유발하고 있습니다.

 

1. globalUpdate, globalUpdatem 서비스 등록값

■ Google Chrome 업데이트 서비스(정상)

 

 Google 업데이트 서비스 (gupdate)

 "C:\Program Files\Google\Update\GoogleUpdate.exe" /svc

 Google 업데이트 서비스 (gupdatem)

 "C:\Program Files\Google\Update\GoogleUpdate.exe" /medsvc

 

globalUpdate 업데이트 서비스(가짜)

 

 globalUpdate Update Service (globalUpdate)

 C:\Program Files\globalUpdate\Update\GoogleUpdate.exe /svc

 globalUpdate Update Service (globalUpdatem)

 C:\Program Files\globalUpdate\Update\GoogleUpdate.exe /medsvc

설치된 globalUpdate 프로그램은 "globalUpdate (표시 이름 : globalUpdate Update Service (globalUpdate))" 서비스 항목을 등록하여 시스템 시작시 "C:\Program Files\globalUpdate\Update\GoogleUpdate.exe /svc" 파일(SHA-1 : 01c53fbc0030066fe9032fec431d9ea26b5811cc)을 자동 실행하도록 구성되어 있습니다.

 

또한 "globalUpdatem (표시 이름 : globalUpdate Update Service (globalUpdatem))" 서비스 항목을 등록하여 시스템 시작시 "C:\Program Files\globalUpdate\Update\GoogleUpdate.exe /medsvc" 파일을 자동 실행하도록 구성되어 있습니다.

 

이를 통해 특정 업데이트 서버에서 OutBrowse Software 관련 프로그램(※ 예시 : SavePass 프로그램)의 업데이트 정보를 체크하며, 특정 시점에서는 프로그램 패치가 이루어질 수 있습니다.

 

2. globalUpdateUpdateTaskMachineCore, globalUpdateUpdateTaskMachineUA 작업 스케줄러 등록값

■ Google Chrome 업데이트 작업 스케줄러(정상)

 

 GoogleUpdateTaskMachineCore

 "C:\Program Files\Google\Update\GoogleUpdate.exe"

 /medsvc /c

 GoogleUpdateTaskMachineUA

 "C:\Program Files\Google\Update\GoogleUpdate.exe" /medsvc /ua

 /installsource scheduler

 

globalUpdate 업데이트 작업 스케줄러(가짜)

 

 globalUpdateUpdateTaskMachineCore

 C:\Program Files\globalUpdate\Update\GoogleUpdate.exe /c

 globalUpdateUpdateTaskMachineUA

 C:\Program Files\globalUpdate\Update\GoogleUpdate.exe /ua

 /installsource scheduler

 

설치된 globalUpdate 프로그램은 예약 작업 영역에 "globalUpdateUpdateTaskMachineCore" 작업 스케줄러 항목을 등록하여 시스템 시작시 "C:\Program Files\globalUpdate\Update\GoogleUpdate.exe /c" 파일을 자동 실행되도록 구성되어 있습니다.

 

또한 "globalUpdateUpdateTaskMachineUA" 작업 스케줄러 항목을 등록하여 시스템 시작시 "C:\Program Files\globalUpdate\Update\GoogleUpdate.exe /ua /installsource scheduler" 파일을 자동 실행하도록 구성되어 있으며, 실행 후 6시간 주기로 업데이트 체크를 수행할 수 있습니다.

 

이렇게 설치된 globalUpdate 프로그램은 Google Chrome 업데이트 프로그램(Google Update Helper)과 매우 유사하게 등록되어 사용자의 눈을 속이고 있으며 다음과 같이 요약할 수 있습니다.

  1. 광고 기능은 존재하지 않습니다.
  2. 다른 광고 프로그램과 함께 자동 설치되어 프로그램 업데이트 기능을 담당합니다.
  3. 제어판을 통한 삭제 기능을 제공하지 않습니다.

그러므로 프로그램 삭제를 위해서는 다음과 같은 절차에 따라 삭제를 진행하시기 바랍니다.

 

(a) "보조 프로그램 → 명령 프롬프트" 메뉴를 "관리자 권한으로 실행"하여 생성된 명령 프롬프트 창에 [sc delete "globalUpdate"], [sc delete "globalUpdatem"] 명령어를 차례대로 입력 및 실행하여 서비스 등록값을 자동으로 삭제하시기 바랍니다.

(b) "C:\Program Files\globalUpdate" 폴더를 찾아 삭제하시기 바랍니다.

 

(c) "제어판 → 시스템 및 보안 → 관리 도구 → 예약 작업" 메뉴를 실행하여 생성된 "작업 스케줄러" 창의 "작업 스케줄러 라이브러리"에 등록된 "globalUpdateUpdateTaskMachineCore, globalUpdateUpdateTaskMachineUA" 2개의 값을 찾아 삭제하시기 바랍니다.

 

이번 사례와 같이 Google Chrome 업데이트 프로그램(Google Update Helper)과 매우 유사한 파일 구조와 디지털 서명까지 포함한 프로그램이 존재할 수 있으며, 해외에서 제공하는 파일을 실행하는 과정에서 다양한 불필요한 프로그램(PUP)이 설치되는 경우가 매우 많으므로 각별히 주의하시기 바랍니다.

  • 밥풀레옹 2014.06.15 00:36 댓글주소 수정/삭제 댓글쓰기

    크롬이 갑자기 이상해져서 뒤져보던 중에 위의 문제가 있는 것을 발견했네요.
    덕분에 해결했습니다. 정말 감사합니다!!

  • minterm 2014.07.05 23:08 댓글주소 수정/삭제 댓글쓰기

    와 신뢰할 수 없는 사이트 추가하는 것만으로는 불충분한 거 같아서 찾아보니 이런 좋은 글이 있었네요!! 감사합니다!!

  • 냠냠 2014.07.08 15:58 댓글주소 수정/삭제 댓글쓰기

    감사합니다. 큰 도움이 되었습니다.
    검색해 보면 이런 내용은 여기서만 유일하게 나오더라그요.
    님 없었으면 윈도우 갈아엎을뻔 했습니다.
    다시 한번 감사하다는 말 드립니다.

  • chicdoo 2014.08.06 13:31 댓글주소 수정/삭제 댓글쓰기

    감사합니다. 정말 아무 생각없이 프리웨어 프로그램 하나 설치했다가...(공식 홈페이지에서 받아서 설치했어요) ㅋㅋㅋ 이상한거 다 깔려버리네요. 언인스톨 시키면 또 새로운거 깔리고.... 미쳐버릴뻔했어요. 다시한번 감사드려요.

  • @.2 2014.08.17 19:39 댓글주소 수정/삭제 댓글쓰기

    갑자기 크롬 뭐 할때마다 광고떠서 왜이러지 싶었는데 이거였군!
    감사합니다~

  • 착한 우려론자 2014.08.25 04:52 댓글주소 수정/삭제 댓글쓰기

    검색해보아도 다른 정보들이 없는데,
    벌새님의 수고로운 포스팅으로 유익한 정보덕에
    컴맹 초보인 저도 잘 이해하고...
    또,
    설명에 따라 해당 파일들 삭제하였습니다.
    감사합니다.

    이 따위 쓰레기짓거리를 왜 하는지, 모르겠네요... 외국 광고쟁이들...
    사용자 모르게 이런 짓거리하는건 범죄행위로 간주되어서 처벌도 됐으면...

    • 착한 우려론자 2014.08.25 05:01 댓글주소 수정/삭제

      [참고]

      본문중에...

      (a) "보조 프로그램 → 명령 프롬프트" 메뉴를 "관리자 권한으로 실행"하여 생성된 명령 프롬프트 창에 [sc delete "globalUpdate"], [sc delete "globalUpdatem"] 명령어를 차례대로 입력 및 실행하여 서비스 등록값을 자동으로 삭제하시기 바랍니다.

      이 부분에서
      명령 프롬프트 사용하실적에
      sc delete "globalUpdate"와 sc delete "globalUpdatem" 라고 입력할 때, "U"를 소문자로 입력하시길...

    • 대소문자를 구분하던가요?

  • 멜로니아 2014.10.18 18:47 댓글주소 수정/삭제 댓글쓰기

    와우!!완전 감사해요 덕분에 속이다시원하게 지워졌습니다ㅋ
    근데요 알려주신 (a),(b).(c)방법을 늦게봐서 고클린과 v3 그리고 직접 c드라이브 들어가서 삭제했는데도 고클린 서비스관리 프로그램 시작/중지에서 목록에 자꾸만 있어서 알려주신 a방법으로 했더니 고클린 목록에도 사라졌네요^^

    근데 b,c방법도 실행해야 되나요?? b방법은 이미 지워졌는지 안보이고요
    c방법은 라이브러리 들어갔는데 역시 지워진건지 어떻게 찾는지 모르겠어요;;

    • (b)의 폴더는 직접 찾아서 존재하지 않는다면 지워진 것으로 판단되며, (c)의 예약 작업에 등록된 작업 스케줄러 값이 없다면 제거된 것으로 보입니다.

      감사합니다.^^

  • 미카미 2014.11.16 02:47 댓글주소 수정/삭제 댓글쓰기

    못보던 폴더가 하나있길래 검색해보니 이런 정보가 있었네요
    크롬이 이상한게 이것때문이었다니
    고맙습니다.
    덕분에 좋은정보 얻어갑니다.

  • 삭막한세상 2014.12.30 10:16 댓글주소 수정/삭제 댓글쓰기

    프로그램 프로그램에 저 폴더가 있어서 뭔가 했는데 가짜였군요~
    차례대로 해봤어요~ 감사ㅎ

  • 지나가다 2015.01.11 12:23 댓글주소 수정/삭제 댓글쓰기


    뭔가가 설치되어서 당황했었는데
    쉽게 설명 되있어서 잘 따라 했습니다
    감사합니다

  • 루크 2015.01.11 17:53 댓글주소 수정/삭제 댓글쓰기

    이런글 원래 안남기는데 정말 디테일한설명 감사합니다. 덕분에 싸그리 삭제하며 기존에 깔려있던 의심스러운 프로그램까지 삭제할수 있었습니다.

  • 나는왜 2015.09.12 18:49 댓글주소 수정/삭제 댓글쓰기

    지정된 서비스가 설치된 서비스로는 없다는데

    왜 안지워질까유

    • 변경되었거나 이미 제거되었을 수 있습니다.

      http://hummingbird.tistory.com/notice/4859

      링크 내용을 참고하여 run 파일을 제작하여 문의해 주시기 바랍니다.

  • ㅇㅇ 2017.10.20 17:07 댓글주소 수정/삭제 댓글쓰기

    명령프롬프트로 했는데 자꾸 fail 뜨고 아무리해도 안돼요...딴 방법도 다 안돼요..