울지않는벌새 : Security, Movie & Society

가짜 삭제 기능을 제공하는 ecplugin 악성 광고 프로그램 주의 (2014.6.15)

벌새::Analysis

2014년 4월 8일경 확인된 보안 관련 파일로 위장한 국내에서 제작된 xeengine 악성 광고 프로그램의 기능 중 "Web Security Plus-In" 브라우저 도우미 개체(BHO)를 추가하는 또 다른 유포 파일이 확인되어 정보를 공개해 드리겠습니다.

이번에 확인된 유포 파일<SHA-1 : 084c10fcf237583f34c77a5a901c94acf227277c - AhnLab V3 : Trojan/Win32.Agent.C302053 (VT : 20/54)>은 2014년 4월 9일경 유포가 시작된 것으로 보이며 xeengine 악성 프로그램의 업데이트 기능을 통해 사용자 몰래 "Web Security Plus-In" 브라우저 도우미 개체(BHO) 등록 파일만을 생성한 것이 아닌가 강하게 의심됩니다.

 

프로그램 설치 과정을 살펴보면 특정 서버로부터 다운로드된 유포 파일이 실행되면 "C:\Users\(사용자 계정)\AppData\Roaming\ecplugin" 폴더 내에 다음과 같은 2개의 파일을 생성합니다.

 

[생성 폴더 / 파일 및 진단 정보]

 

C:\Users\(사용자 계정)\AppData\Roaming\ecplugin\eclipse_plugin.exe
 - SHA-1 : 996644bc7b067db7645c643a96ab9d79508fba16
 - AVG : Generic.B9B (VT : 3/54)

 

C:\Users\(사용자 계정)\AppData\Roaming\ecplugin\webclient.dll
 - SHA-1 : 5d039607e0eebc8ab1964bc697641d0a4cd0dd54
 - ESET : a variant of Win32/AdWare.Searchclick.A (VT : 2/54)

생성된 eclipse_plugin.exe 파일 실행을 통해 "C:\Windows\webclient.dll" 파일을 생성하여 "Web Security Plus-In" 브라우저 도우미 개체(BHO) 등록을 한 후 "C:\Users\(사용자 계정)\AppData\Roaming\ecplugin" 폴더 내에 생성된 파일을 자가 삭제(C:\Users\(사용자 계정)\AppData\Roaming\ecplugin\SelfDelete.bat) 처리하여 흔적을 제거합니다.

 

[생성 폴더 / 파일 및 진단 정보]

 

C:\Users\(사용자 계정)\AppData\Roaming\ecplugin
C:\Windows\System32\msvcr110.dll
C:\Windows\webclient.dll :: BHO 등록 파일

 - SHA-1 : 5d039607e0eebc8ab1964bc697641d0a4cd0dd54
 - ESET : a variant of Win32/AdWare.Searchclick.A (VT : 2/54)

"FAMOUS SOLUTION Co.LTD,,," 디지털 서명이 포함된 "C:\Windows\webclient.dll" 파일의 "Web Security Plus-In" 속성값은 마치 웹 보안 관련 파일처럼 사용자의 눈을 속이고 있는 특징을 가지고 있으며, 이전의 xeengine 악성 프로그램에서 생성된 파일과 동일한 Hash 값을 가지는 파일입니다.

 

이름

 Web Security Plus-In

게시자

 FAMOUS SOLUTION Co.LTD,,,

유형

 브라우저 도우미 개체

CLSID

 {EE92A291-D17F-4BAB-9D21-EF81A648DD45}

파일

 C:\Windows\webclient.dll

 

프로그램이 설치된 환경에서 동작 방식을 살펴보면 사용자가 Internet Explorer 웹 브라우저 실행시마다 "Web Security Plus-In" 브라우저 도우미 개체(BHO) 등록을 통해 "C:\Windows\webclient.dll" 광고 모듈을 실행합니다.

이를 통해 특정 광고 서버에 Mac Address, 운영 체제(OS) 종류, Internet Explorer 버전 정보를 전송하여 광고 구성값을 받아오도록 되어 있습니다.

이후 사용자가 11번가, G마켓, 옥션 인터넷 쇼핑몰에 접속시마다 특정 제휴 코드(click.dotmap.co.kr)를 추가하여 수익을 창출하고 있습니다.

해당 프로그램이 설치된 경우에는 제어판에 ecplugin 프로그램 이름으로 등록되어 있지만 프로그램 삭제시에는 오류창만 생성됩니다.

프로그램 삭제시 오류가 발생하는 이유는 ecplugin 프로그램 삭제를 위해 등록된 파일은 실제로는 존재하지도 않는 "C:\Users\(사용자 계정)\AppData\Roaming\ecplugin\ecpluginUninstall.exe" 파일을 실행하도록 되어 있기 때문이며, 즉 ecplugin 삭제 기능은 사용자를 기만하는 가짜 기능입니다.

 

그러므로 ecplugin 프로그램 삭제는 다음과 같은 방식으로 삭제를 진행하시길 권장합니다.

 

(a) Internet Explorer 웹 브라우저를 종료한 상태에서 다음의 폴더(파일)를 찾아 삭제하시기 바랍니다.

  • C:\Users\(사용자 계정)\AppData\Roaming\ecplugin
  • C:\Windows\webclient.dll

(b) 레지스트리 편집기(regedit)를 실행하여 다음의 레지스트리 값이 존재할 경우 삭제하시기 바랍니다.

 

ecplugin
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{1EF42E6D-E228-4F42-88B3-18CF5810EF41}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{B33E0C4C-58AF-4F0B-8519-FF08F03B13A0}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\webclient.Helper
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\webclient.Helper.1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{EE92A291-D17F-4BAB-9D21-EF81A648DD45}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
ecplugin

 

ecplugin 악성 광고 프로그램은 삭제 기능을 제공하는 것처럼 사용자를 속여서 프로그램 삭제 이후에도 지속적으로 광고 기능을 수행하도록 제작되어 있으므로 xeengine 프로그램과 함께 설치되지 않도록 주의하시기 바랍니다.