울지않는벌새 : Security, Movie & Society

Network Security 파일로 위장한 "softblow + softblow 1.0.0.1" 광고 프로그램 주의 (2014.6.16)

벌새::Analysis

인터넷 검색시 광고창 생성 및 특정 인터넷 쇼핑몰 접속시 제휴 코드를 추가하는 "softblow + softblow 1.0.0.1" 광고 프로그램<SHA-1 : 5d9c73711bf74814d436c75c5d6d2e6431eb1c7a - ESET : a variant of Win32/AdWare.Searchclick.A (VT : 9/54)>은 프로그램 삭제시 일부 광고 기능을 유지하여 지속적인 수익을 창출하고 있으며, Network Security 관련 파일처럼 위장하여 사용자의 눈을 속이고 있기에 자세히 살펴보도록 하겠습니다.

해당 프로그램은 기존부터 유사한 기능을 가진 다양한 광고 프로그램으로 배포가 이루어지고 있으므로 참고하시기 바랍니다.

이번에 확인된 "softblow + softblow 1.0.0.1" 프로그램은 2014년 6월 3일경부터 유포가 이루어지고 있는 것으로 보이며, 설치된 환경에서는 2개의 프로그램 이름으로 등록되어 있는 특징을 가지고 있습니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Program Files\softblow
C:\Program Files\softblow\softblow_d.exe :: 메모리 상주 프로세스
C:\Program Files\softblow\softblow_i.exe
C:\Program Files\softblow\softblow_m.exe :: 시작 프로그램(softblow) 등록 파일
C:\Program Files\softblow\softblow_s.exe :: 서비스(softblow service) 등록 파일
C:\Program Files\softblow\softblow_u.exe :: 프로그램 삭제 파일
C:\Windows\netclient.dll :: BHO 등록 파일
C:\Windows\netsecurity.exe :: 서비스(Network Security Service) 등록 파일
C:\Windows\System32\msvcr110.dll

 

[생성 파일 진단 정보]

 

C:\Program Files\softblow\softblow_d.exe
 - SHA-1 : 186d51fc9f9af8a226a0a5d048b44dfe4c604d91
 - ESET : a variant of Win32/AdWare.Searchclick.A (VT : 2/54)

 

C:\Program Files\softblow\softblow_i.exe
 - SHA-1 : edb7143d9b26a24a720624ed2f06fde3f9fb9cb5
 - AVG : Generic.B9B (VT : 2/53)

 

C:\Program Files\softblow\softblow_m.exe
 - SHA-1 : 395a786a7ff7e10b876776ff49013fb4f5ae4697
 - AVG : Generic.B9B (VT : 1/53)

 

C:\Program Files\softblow\softblow_s.exe
 - SHA-1 : 806915cc832f8b4299d7942b5b428b58f285f44a
 - ESET : probably a variant of Win32/AdWare.Searchclick.A (VT : 2/54)

 

C:\Program Files\softblow\softblow_u.exe
 - SHA-1 : b4cd3f3e28779e5efe1fa57f351aeeb04ffd8db3
 - ESET : a variant of Win32/AdWare.Searchclick.A (VT : 2/54)

 

C:\Windows\netclient.dll
 - SHA-1 : 0e1d641e2411133c40419b4363dc32dac44b02ef
 - AVG : Generic.B9B (VT : 2/54)

 

C:\Windows\netsecurity.exe
 - SHA-1 : 3a47767cf0b5c56126c820113e4d3e86e33a6569
 - AVG : Generic.B9B (VT : 1/54)

"FAMOUS SOLUTION Co.LTD,,," 디지털 서명이 포함된 해당 프로그램은 "C:\Program Files\softblow", "C:\Windows" 폴더 내에 파일을 생성합니다.

특히 Windows 폴더 내에 생성된 광고 기능 및 Windows 설정값 및 보안 기능을 무력화하는 netclient.dll, netsecurity.exe 파일은 보안(Net Security Plus-In, Network Security) 관련 파일처럼 위장하여 사용자의 눈을 속이고 있습니다.

 

1. softblow 시작 프로그램 등록값

 

Windows 시작시 softblow 시작 프로그램 등록값을 통해 "C:\Program Files\softblow\softblow_m.exe" 파일을 자동 실행하여 광고 기능을 수행하는 "C:\Program Files\softblow\softblow_d.exe" 파일을 메모리에 상주시킵니다.

자동 실행된 softblow_d.exe 파일은 특정 광고 서버에 Mac Address, IP, 운영 체제(OS) 종류, 해상도, Internet Explorer 버전 정보를 전송하여 실행 카운터(Counter) 체크를 수행합니다.

이를 통해 메모리에 상주하는 softblow_d.exe 프로세스는 사용자가 인터넷 검색 또는 웹 사이트 접속시 다양한 광고창을 생성하며 생성된 광고창 중에서는 불법 도박 광고도 포함되어 있습니다.

 

2. "softblow service" 서비스 등록값

"softblow service (표시 이름 : softblow)" 서비스 항목을 등록하여 시스템 시작시 "C:\Program Files\softblow\softblow_s.exe" 파일을 자동 실행하도록 구성되어 있습니다.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\

System
 - EnableLUA = 1 :: 변경 전
 - EnableLUA = 0 :: 변경 후

자동 실행된 softblow_s.exe 파일은 Windows 보안 기능인 사용자 계정 컨트롤(UAC) 기능을 비활성화하도록 설정값을 변경합니다.

사용자 계정 컨트롤(UAC) 설정값을 "알리지 않음"으로 변경한 후에는 추가적인 다운로드된 프로그램이 백그라운드로 조용히 설치될 수 있도록 하기 위함으로 추정됩니다.

 

3. "Net Security Plus-In" 브라우저 도우미 개체(BHO) 등록값

 

이름

 Net Security Plus-In

게시자

 FAMOUS SOLUTION Co.LTD,,,

유형

 브라우저 도우미 개체

CLSID

 {5AEFB56F-2B9C-4628-A577-FD54A73AB18C}

파일

 C:\Windows\netclient.dll

 

Internet Explorer 웹 브라우저 실행시 "C:\Windows\netclient.dll" 파일을 "Net Security Plus-In" 브라우저 도우미 개체(BHO)로 등록하여 광고 기능을 수행합니다.

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Ext
 - IgnoreFrameApprovalCheck = 1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Ext
 - IgnoreFrameApprovalCheck = 1

특히 "softblow + softblow 1.0.0.1" 프로그램 설치시 "Net Security Plus-In" 브라우저 도우미 개체(BHO)를 Internet Explorer 웹 브라우저 추가 기능 관리에 노란색 알림바를 표시하고 등록하도록 IgnoreFrameApprovalCheck 레지스트리 값을 추가하고 있습니다.

이를 통해 Internet Explorer 웹 브라우저 실행시마다 특정 광고 서버에서 광고 구성값 정보를 받아오는 동작을 확인할 수 있습니다.

광고 구성값에서는 11번가, G마켓, 옥션 인터넷 쇼핑몰 접속시 사용자 몰래 제휴 코드(click.dotmap.co.kr)를 추가하여 특정 조건을 만족시킬 경우 수익이 발생할 것으로 판단됩니다.

 

특히 "Net Security Plus-In" 브라우저 도우미 개체(BHO)는 "softblow + softblow 1.0.0.1" 프로그램 삭제 이후에도 제거되지 않고 지속적인 수익 활동을 진행하도록 제작되어 있습니다.

 

4. "Network Security Service" 서비스 등록값

"Network Security Service (표시 이름 : Network Security)" 서비스 항목을 등록하여 시스템 시작시 "C:\Windows\netsecurity.exe" 파일을 자동 실행하도록 구성되어 있습니다.

자동 실행된 netsecurity.exe 파일은 "C:\Program Files\softblow\softblow_s.exe" 서비스 파일과 마찬가지로 부팅시마다 사용자 계정 컨트롤(UAC) 보안 기능을 무력화 시도합니다.

 

이는 사용자가 "softblow + softblow 1.0.0.1" 파일을 삭제한 이후에도 삭제되지 않고 동작하는 "C:\Windows\netsecurity.exe" 서비스 파일의 추가 기능을 외부적 표시없이 유지시킬 목적으로 판단됩니다.

또한 netsecurity.exe 서비스 파일은 IgnoreFrameApprovalCheck 레지스트리 정책값을 조작하여 노란색 알림바 표시없이 "Net Security Plus-In" 브라우저 도우미 개체(BHO) 파일을 업데이트할 수 있도록 하고 있습니다.

특히 사용자가 "Net Security Plus-In" 브라우저 도우미 개체(BHO)를 "사용 안 함"으로 변경한 경우 부팅시 자동 실행되는 "C:\Windows\netsecurity.exe" 서비스 파일은 재활성하여 광고 기능을 수행하게 하고 있습니다.

  • h**p://www.sear**click.co.kr/app/bho/netclient.dll (SHA-1 : 543f329762eff9d0bb910f6bee7e2b42a1db2699) - AVG : Generic.B9B (VT : 2/53)

또한 차후 "Net Security Plus-In" 브라우저 도우미 개체(BHO) 등록 파일(netclient.dll) 업데이트를 통해 파일을 패치할 수 있는 다운로드 기능이 포함되어 있는 것으로 확인되고 있습니다.

 

"softblow + softblow 1.0.0.1" 프로그램 삭제 방법

 

해당 프로그램이 설치된 환경에서는 제어판의 설치 프로그램 목록에 softblow, softblow 1.0.0.1 2개의 삭제 항목으로 등록됩니다.

하지만 프로그램 삭제시 "softblow 1.0.0.1" 삭제 항목을 이용하여 프로그램 삭제를 진행할 경우 오류창이 생성되는 부분을 발견할 수 있습니다.

오류창 생성 원인은 "softblow 1.0.0.1" 프로그램의 삭제 등록 파일이 실제로는 존재하지 않는 "C:\Program Files\softblow\Uninstall.exe" 파일로 등록되어 있기 때문입니다.

 

그러므로 정상적으로 프로그램 삭제를 위해서는 다음과 같은 절차에 따라 진행하시기 바랍니다.

 

(a) Windows 작업 관리자를 실행하여 softblow_d.exe 프로세스를 찾아 종료하시기 바랍니다.

 

(b) Internet Explorer 웹 브라우저를 종료한 상태에서 제어판에 등록된 "softblow", "softblow 1.0.0.1" 삭제 항목을 클릭하여 삭제를 진행하시기 바라며, "softblow 1.0.0.1" 삭제시 생성된 오류창에서는 "예(Y)" 버튼을 클릭하시기 바랍니다.

 

(c) 프로그램 삭제 후에는 "C:\Program Files\softblow" 폴더를 찾아 추가적으로 삭제하시기 바랍니다.

 

위와 같은 프로그램 삭제 이후에도 지속적인 수익 활동을 위해 삭제되지 않은 광고 기능은 다음과 같이 삭제하시기 바랍니다.

 

(d) "보조 프로그램 → 명령 프롬프트" 메뉴를 "관리자 권한으로 실행"하여 생성된 명령 프롬프트 창에 [sc delete "Network Security Service"] 명령어를 입력 및 실행하여 서비스 등록값을 자동 삭제하시기 바랍니다.

(e) Internet Explorer 웹 브라우저를 종료한 상태에서 다음의 파일을 찾아 직접 삭제하시기 바랍니다.

  • C:\Windows\netclient.dll
  • C:\Windows\netsecurity.exe

(f) 레지스트리 편집기(regedit)를 실행하여 다음의 레지스트리 값을 찾아 삭제하시기 바랍니다.

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer
    \Browser Helper Objects\{5AEFB56F-2B9C-4628-A577-FD54A73AB18C}

(g) "제어판 → 시스템 및 보안 → 관리 센터 → 사용자 계정 컨트롤 설정 변경" 메뉴를 실행하여 사용자 계정 컨트롤(UAC) 설정값을 "알리지 않음"에서 상단으로 슬라이드 바를 올린 후 Windows 재부팅을 진행하시기 바랍니다.

 

그 외에도 Internet Explorer 웹 브라우저의 정상적인 추가 기능 관리에 등록되는 항목의 허용 여부를 노란색 알림바로 표시되도록 하기 위해서는 다음의 붉은색 레지스트리 값을 삭제하시기 바랍니다.

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Ext
 - IgnoreFrameApprovalCheck = 1

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Ext
 - IgnoreFrameApprovalCheck = 1

[생성 레지스트리 등록 정보]

 

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5AEFB56F-2B9C-4628-A577-FD54A73AB18C}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{79D5C9B5-7CCB-45B9-BFA0-B87A25B88D68}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{B476E7E6-EAFE-457E-B4C0-4CFF2B772FDF}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\netclient.Helper
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\netclient.Helper.1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{5AEFB56F-2B9C-4628-A577-FD54A73AB18C}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - softblow = "C:\Program Files\softblow\softblow_m.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
softblow
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
softblow 1.0.0.1
HKEY_LOCAL_MACHINE\SOFTWARE\softblow
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Network Security Service
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\softblow service

 

"softblow + softblow 1.0.0.1" 광고 프로그램은 설치시 프로그램 동작을 위해 Windows 보안 기능 및 레지스트리 값 조작을 통해 프로그램 삭제 이후에도 문제를 유발하고 있으며, 제어판을 통한 삭제 기능은 제공하지만 핵심적인 광고 기능을 제거하지 않는 방식으로 지속적인 수익 활동을 유지하므로 설치되지 않도록 각별히 주의하시기 바랍니다.