본문 바로가기

벌새::Analysis

"Google Update Helper" 프로그램으로 위장한 globalUpdate 악성 프로그램 주의 (2014.6.13)

반응형

일전에 해외 Softpedia 파일 자료실로 위장한 다수의 광고 프로그램 유포 방식에 대해 소개한 적이 있었습니다.

당시 설치되는 프로그램 중에서 Google Chrome 업데이트 프로그램(Google Update Helper)으로 위장한 globalUpdate 프로그램에 대해 간단하게 살펴보았는데, 설치된 프로그램이 제어판을 통한 삭제를 지원하지 않는 부분이 있기에 세부적으로 살펴보도록 하겠습니다.

정상적인 PC 환경에서는 Google Chrome 웹 브라우저가 설치된 경우 "C:\Program Files\Google\Update" 폴더 내부에 Google Chrome 업데이트 기능을 담당하는 "Google Update Helper" 프로그램이 함께 설치됩니다.("Google Update Helper" 프로그램은 제어판에는 등록되어 있지 않지만 Google Chrome 웹 브라우저 삭제시 함께 삭제 처리됩니다.)

 

그런데 해외에서 제작된 Plus-HD-9.4, SavePass 등의 광고 프로그램 설치시 Google Chrome 업데이트 프로그램처럼 위장한 globalUpdate 프로그램이 함께 설치될 수 있는 것으로 파악되고 있습니다.

 

테스트에서는 SavePass 광고 프로그램 설치 과정에서 자동으로 설치되는 globalUpdate 프로그램을 살펴보았습니다.

 

설치 과정에서는 SavePass 설치 파일<SHA-1 : 8739c4a7069c40ef50b16c4c0a9f6fe53c111753 - AhnLab V3 : PUP/Win32.MulDrop.R108219 (VT : 9/54)>이 특정 서버로부터 다운로드되어 실행되면 실행 압축 해제를 통해 "C:\Users\(사용자 계정)\AppData\Local\Temp\(영문+숫자).tmp\Bssaepknc.exe" 파일<SHA-1 : e3665e27ebb8cc1bf83e552d96530fc41d53cd0d - AhnLab V3 : PUP/Win32.MulDrop.C352968 (VT : 10/54)>이 임시 생성되어 globalUpdate 프로그램을 설치하도록 되어 있습니다.

 

또한 설치시에는 Bssaepknc.exe 파일이 "C:\Users\(사용자 계정)\AppData\Local\Temp\(영문).(숫자)" 폴더 내에 globalUpdate 관련 파일을 임시 생성하여 "C:\Program Files\globalUpdate" 폴더에 자가 복제하는 방식으로 진행됩니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Program Files\globalUpdate
C:\Program Files\globalUpdate\CrashReports
C:\Program Files\globalUpdate\Update
C:\Program Files\globalUpdate\Update\1.3.25.0
C:\Program Files\globalUpdate\Update\1.3.25.0\GoogleCrashHandler.exe
C:\Program Files\globalUpdate\Update\1.3.25.0\GoogleUpdate.exe
C:\Program Files\globalUpdate\Update\1.3.25.0\GoogleUpdateBroker.exe
C:\Program Files\globalUpdate\Update\1.3.25.0\GoogleUpdateHelper.msi
C:\Program Files\globalUpdate\Update\1.3.25.0\GoogleUpdateOnDemand.exe
C:\Program Files\globalUpdate\Update\1.3.25.0\goopdate.dll
C:\Program Files\globalUpdate\Update\1.3.25.0\goopdateres_en.dll
C:\Program Files\globalUpdate\Update\1.3.25.0\npGoogleUpdate4.dll :: Mozilla Firefox 웹 브라우저 플러그인 등록 파일
C:\Program Files\globalUpdate\Update\1.3.25.0\psmachine.dll
C:\Program Files\globalUpdate\Update\1.3.25.0\psuser.dll
C:\Program Files\globalUpdate\Update\Download
C:\Program Files\globalUpdate\Update\GoogleUpdate.exe :: 서비스(globalUpdate, globalUpdatem) 등록 파일, 예약 작업(globalUpdateUpdateTaskMachineCore,

globalUpdateUpdateTaskMachineUA) 등록 파일
C:\Program Files\globalUpdate\Update\Install
C:\Program Files\globalUpdate\Update\Offline
C:\Program Files\globalUpdate\Update\Offline\{6008DDB1-470A-4B6E-A025-FED1C2C8A802}
C:\Windows\System32\Tasks\globalUpdateUpdateTaskMachineCore
C:\Windows\System32\Tasks\globalUpdateUpdateTaskMachineUA
C:\Windows\Tasks\globalUpdateUpdateTaskMachineCore.job
C:\Windows\Tasks\globalUpdateUpdateTaskMachineUA.job

유효하지 않은 "Google Inc (TEST)" 디지털 서명이 포함된 해당 프로그램은 "C:\Program Files\globalUpdate" 폴더에 파일을 생성합니다.

생성된 대부분의 파일은 디지털 서명을 포함하고 있지 않으며, GoogleCrashHandler.exe (SHA-1 : 0e7cc420b0be38296ef8516dc3786361119f1f5f), goopdateres_en.dll (SHA-1 : e607200684ae0e1ec0294ca57853533d138fb852)파일에 포함된 구글(Google) 디지털 서명처럼 등록된 "Google Inc (TEST)" 서명은 유효하지 않은 상태임을 알 수 있습니다.(※ 참고로 정상적인 Google Chrome 업데이트 파일은 모두 "Google Inc" 디지털 서명을 포함하고 있습니다.)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}

이렇게 설치된 globalUpdate 프로그램은 정상적인 Google Chrome 업데이트 프로그램이 등록한 "Google Update Helper" 삭제 레지스트리 값을 변조하는 부분을 발견할 수 있습니다.

 

설치된 globalUpdate 프로그램은 Google Chrome 업데이트 프로그램(Google Update Helper)과 동일하게 2개의 서비스와 작업 스케줄러를 등록하여 사용자에게 혼란을 유발하고 있습니다.

 

1. globalUpdate, globalUpdatem 서비스 등록값

■ Google Chrome 업데이트 서비스(정상)

 

 Google 업데이트 서비스 (gupdate)

 "C:\Program Files\Google\Update\GoogleUpdate.exe" /svc

 Google 업데이트 서비스 (gupdatem)

 "C:\Program Files\Google\Update\GoogleUpdate.exe" /medsvc

 

globalUpdate 업데이트 서비스(가짜)

 

 globalUpdate Update Service (globalUpdate)

 C:\Program Files\globalUpdate\Update\GoogleUpdate.exe /svc

 globalUpdate Update Service (globalUpdatem)

 C:\Program Files\globalUpdate\Update\GoogleUpdate.exe /medsvc

설치된 globalUpdate 프로그램은 "globalUpdate (표시 이름 : globalUpdate Update Service (globalUpdate))" 서비스 항목을 등록하여 시스템 시작시 "C:\Program Files\globalUpdate\Update\GoogleUpdate.exe /svc" 파일(SHA-1 : 01c53fbc0030066fe9032fec431d9ea26b5811cc)을 자동 실행하도록 구성되어 있습니다.

 

또한 "globalUpdatem (표시 이름 : globalUpdate Update Service (globalUpdatem))" 서비스 항목을 등록하여 시스템 시작시 "C:\Program Files\globalUpdate\Update\GoogleUpdate.exe /medsvc" 파일을 자동 실행하도록 구성되어 있습니다.

 

이를 통해 특정 업데이트 서버에서 OutBrowse Software 관련 프로그램(※ 예시 : SavePass 프로그램)의 업데이트 정보를 체크하며, 특정 시점에서는 프로그램 패치가 이루어질 수 있습니다.

 

2. globalUpdateUpdateTaskMachineCore, globalUpdateUpdateTaskMachineUA 작업 스케줄러 등록값

■ Google Chrome 업데이트 작업 스케줄러(정상)

 

 GoogleUpdateTaskMachineCore

 "C:\Program Files\Google\Update\GoogleUpdate.exe"

 /medsvc /c

 GoogleUpdateTaskMachineUA

 "C:\Program Files\Google\Update\GoogleUpdate.exe" /medsvc /ua

 /installsource scheduler

 

globalUpdate 업데이트 작업 스케줄러(가짜)

 

 globalUpdateUpdateTaskMachineCore

 C:\Program Files\globalUpdate\Update\GoogleUpdate.exe /c

 globalUpdateUpdateTaskMachineUA

 C:\Program Files\globalUpdate\Update\GoogleUpdate.exe /ua

 /installsource scheduler

 

설치된 globalUpdate 프로그램은 예약 작업 영역에 "globalUpdateUpdateTaskMachineCore" 작업 스케줄러 항목을 등록하여 시스템 시작시 "C:\Program Files\globalUpdate\Update\GoogleUpdate.exe /c" 파일을 자동 실행되도록 구성되어 있습니다.

 

또한 "globalUpdateUpdateTaskMachineUA" 작업 스케줄러 항목을 등록하여 시스템 시작시 "C:\Program Files\globalUpdate\Update\GoogleUpdate.exe /ua /installsource scheduler" 파일을 자동 실행하도록 구성되어 있으며, 실행 후 6시간 주기로 업데이트 체크를 수행할 수 있습니다.

 

이렇게 설치된 globalUpdate 프로그램은 Google Chrome 업데이트 프로그램(Google Update Helper)과 매우 유사하게 등록되어 사용자의 눈을 속이고 있으며 다음과 같이 요약할 수 있습니다.

  1. 광고 기능은 존재하지 않습니다.
  2. 다른 광고 프로그램과 함께 자동 설치되어 프로그램 업데이트 기능을 담당합니다.
  3. 제어판을 통한 삭제 기능을 제공하지 않습니다.

그러므로 프로그램 삭제를 위해서는 다음과 같은 절차에 따라 삭제를 진행하시기 바랍니다.

 

(a) "보조 프로그램 → 명령 프롬프트" 메뉴를 "관리자 권한으로 실행"하여 생성된 명령 프롬프트 창에 [sc delete "globalUpdate"], [sc delete "globalUpdatem"] 명령어를 차례대로 입력 및 실행하여 서비스 등록값을 자동으로 삭제하시기 바랍니다.

(b) "C:\Program Files\globalUpdate" 폴더를 찾아 삭제하시기 바랍니다.

 

(c) "제어판 → 시스템 및 보안 → 관리 도구 → 예약 작업" 메뉴를 실행하여 생성된 "작업 스케줄러" 창의 "작업 스케줄러 라이브러리"에 등록된 "globalUpdateUpdateTaskMachineCore, globalUpdateUpdateTaskMachineUA" 2개의 값을 찾아 삭제하시기 바랍니다.

 

이번 사례와 같이 Google Chrome 업데이트 프로그램(Google Update Helper)과 매우 유사한 파일 구조와 디지털 서명까지 포함한 프로그램이 존재할 수 있으며, 해외에서 제공하는 파일을 실행하는 과정에서 다양한 불필요한 프로그램(PUP)이 설치되는 경우가 매우 많으므로 각별히 주의하시기 바랍니다.

728x90
반응형