본문 바로가기

벌새::Analysis

Network Security 파일로 위장한 "softblow + softblow 1.0.0.1" 광고 프로그램 주의 (2014.6.16)

인터넷 검색시 광고창 생성 및 특정 인터넷 쇼핑몰 접속시 제휴 코드를 추가하는 "softblow + softblow 1.0.0.1" 광고 프로그램<SHA-1 : 5d9c73711bf74814d436c75c5d6d2e6431eb1c7a - ESET : a variant of Win32/AdWare.Searchclick.A (VT : 9/54)>은 프로그램 삭제시 일부 광고 기능을 유지하여 지속적인 수익을 창출하고 있으며, Network Security 관련 파일처럼 위장하여 사용자의 눈을 속이고 있기에 자세히 살펴보도록 하겠습니다.

해당 프로그램은 기존부터 유사한 기능을 가진 다양한 광고 프로그램으로 배포가 이루어지고 있으므로 참고하시기 바랍니다.

이번에 확인된 "softblow + softblow 1.0.0.1" 프로그램은 2014년 6월 3일경부터 유포가 이루어지고 있는 것으로 보이며, 설치된 환경에서는 2개의 프로그램 이름으로 등록되어 있는 특징을 가지고 있습니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Program Files\softblow
C:\Program Files\softblow\softblow_d.exe :: 메모리 상주 프로세스
C:\Program Files\softblow\softblow_i.exe
C:\Program Files\softblow\softblow_m.exe :: 시작 프로그램(softblow) 등록 파일
C:\Program Files\softblow\softblow_s.exe :: 서비스(softblow service) 등록 파일
C:\Program Files\softblow\softblow_u.exe :: 프로그램 삭제 파일
C:\Windows\netclient.dll :: BHO 등록 파일
C:\Windows\netsecurity.exe :: 서비스(Network Security Service) 등록 파일
C:\Windows\System32\msvcr110.dll

 

[생성 파일 진단 정보]

 

C:\Program Files\softblow\softblow_d.exe
 - SHA-1 : 186d51fc9f9af8a226a0a5d048b44dfe4c604d91
 - ESET : a variant of Win32/AdWare.Searchclick.A (VT : 2/54)

 

C:\Program Files\softblow\softblow_i.exe
 - SHA-1 : edb7143d9b26a24a720624ed2f06fde3f9fb9cb5
 - AVG : Generic.B9B (VT : 2/53)

 

C:\Program Files\softblow\softblow_m.exe
 - SHA-1 : 395a786a7ff7e10b876776ff49013fb4f5ae4697
 - AVG : Generic.B9B (VT : 1/53)

 

C:\Program Files\softblow\softblow_s.exe
 - SHA-1 : 806915cc832f8b4299d7942b5b428b58f285f44a
 - ESET : probably a variant of Win32/AdWare.Searchclick.A (VT : 2/54)

 

C:\Program Files\softblow\softblow_u.exe
 - SHA-1 : b4cd3f3e28779e5efe1fa57f351aeeb04ffd8db3
 - ESET : a variant of Win32/AdWare.Searchclick.A (VT : 2/54)

 

C:\Windows\netclient.dll
 - SHA-1 : 0e1d641e2411133c40419b4363dc32dac44b02ef
 - AVG : Generic.B9B (VT : 2/54)

 

C:\Windows\netsecurity.exe
 - SHA-1 : 3a47767cf0b5c56126c820113e4d3e86e33a6569
 - AVG : Generic.B9B (VT : 1/54)

"FAMOUS SOLUTION Co.LTD,,," 디지털 서명이 포함된 해당 프로그램은 "C:\Program Files\softblow", "C:\Windows" 폴더 내에 파일을 생성합니다.

특히 Windows 폴더 내에 생성된 광고 기능 및 Windows 설정값 및 보안 기능을 무력화하는 netclient.dll, netsecurity.exe 파일은 보안(Net Security Plus-In, Network Security) 관련 파일처럼 위장하여 사용자의 눈을 속이고 있습니다.

 

1. softblow 시작 프로그램 등록값

 

Windows 시작시 softblow 시작 프로그램 등록값을 통해 "C:\Program Files\softblow\softblow_m.exe" 파일을 자동 실행하여 광고 기능을 수행하는 "C:\Program Files\softblow\softblow_d.exe" 파일을 메모리에 상주시킵니다.

자동 실행된 softblow_d.exe 파일은 특정 광고 서버에 Mac Address, IP, 운영 체제(OS) 종류, 해상도, Internet Explorer 버전 정보를 전송하여 실행 카운터(Counter) 체크를 수행합니다.

이를 통해 메모리에 상주하는 softblow_d.exe 프로세스는 사용자가 인터넷 검색 또는 웹 사이트 접속시 다양한 광고창을 생성하며 생성된 광고창 중에서는 불법 도박 광고도 포함되어 있습니다.

 

2. "softblow service" 서비스 등록값

"softblow service (표시 이름 : softblow)" 서비스 항목을 등록하여 시스템 시작시 "C:\Program Files\softblow\softblow_s.exe" 파일을 자동 실행하도록 구성되어 있습니다.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\

System
 - EnableLUA = 1 :: 변경 전
 - EnableLUA = 0 :: 변경 후

자동 실행된 softblow_s.exe 파일은 Windows 보안 기능인 사용자 계정 컨트롤(UAC) 기능을 비활성화하도록 설정값을 변경합니다.

사용자 계정 컨트롤(UAC) 설정값을 "알리지 않음"으로 변경한 후에는 추가적인 다운로드된 프로그램이 백그라운드로 조용히 설치될 수 있도록 하기 위함으로 추정됩니다.

 

3. "Net Security Plus-In" 브라우저 도우미 개체(BHO) 등록값

 

이름

 Net Security Plus-In

게시자

 FAMOUS SOLUTION Co.LTD,,,

유형

 브라우저 도우미 개체

CLSID

 {5AEFB56F-2B9C-4628-A577-FD54A73AB18C}

파일

 C:\Windows\netclient.dll

 

Internet Explorer 웹 브라우저 실행시 "C:\Windows\netclient.dll" 파일을 "Net Security Plus-In" 브라우저 도우미 개체(BHO)로 등록하여 광고 기능을 수행합니다.

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Ext
 - IgnoreFrameApprovalCheck = 1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Ext
 - IgnoreFrameApprovalCheck = 1

특히 "softblow + softblow 1.0.0.1" 프로그램 설치시 "Net Security Plus-In" 브라우저 도우미 개체(BHO)를 Internet Explorer 웹 브라우저 추가 기능 관리에 노란색 알림바를 표시하고 등록하도록 IgnoreFrameApprovalCheck 레지스트리 값을 추가하고 있습니다.

이를 통해 Internet Explorer 웹 브라우저 실행시마다 특정 광고 서버에서 광고 구성값 정보를 받아오는 동작을 확인할 수 있습니다.

광고 구성값에서는 11번가, G마켓, 옥션 인터넷 쇼핑몰 접속시 사용자 몰래 제휴 코드(click.dotmap.co.kr)를 추가하여 특정 조건을 만족시킬 경우 수익이 발생할 것으로 판단됩니다.

 

특히 "Net Security Plus-In" 브라우저 도우미 개체(BHO)는 "softblow + softblow 1.0.0.1" 프로그램 삭제 이후에도 제거되지 않고 지속적인 수익 활동을 진행하도록 제작되어 있습니다.

 

4. "Network Security Service" 서비스 등록값

"Network Security Service (표시 이름 : Network Security)" 서비스 항목을 등록하여 시스템 시작시 "C:\Windows\netsecurity.exe" 파일을 자동 실행하도록 구성되어 있습니다.

자동 실행된 netsecurity.exe 파일은 "C:\Program Files\softblow\softblow_s.exe" 서비스 파일과 마찬가지로 부팅시마다 사용자 계정 컨트롤(UAC) 보안 기능을 무력화 시도합니다.

 

이는 사용자가 "softblow + softblow 1.0.0.1" 파일을 삭제한 이후에도 삭제되지 않고 동작하는 "C:\Windows\netsecurity.exe" 서비스 파일의 추가 기능을 외부적 표시없이 유지시킬 목적으로 판단됩니다.

또한 netsecurity.exe 서비스 파일은 IgnoreFrameApprovalCheck 레지스트리 정책값을 조작하여 노란색 알림바 표시없이 "Net Security Plus-In" 브라우저 도우미 개체(BHO) 파일을 업데이트할 수 있도록 하고 있습니다.

특히 사용자가 "Net Security Plus-In" 브라우저 도우미 개체(BHO)를 "사용 안 함"으로 변경한 경우 부팅시 자동 실행되는 "C:\Windows\netsecurity.exe" 서비스 파일은 재활성하여 광고 기능을 수행하게 하고 있습니다.

  • h**p://www.sear**click.co.kr/app/bho/netclient.dll (SHA-1 : 543f329762eff9d0bb910f6bee7e2b42a1db2699) - AVG : Generic.B9B (VT : 2/53)

또한 차후 "Net Security Plus-In" 브라우저 도우미 개체(BHO) 등록 파일(netclient.dll) 업데이트를 통해 파일을 패치할 수 있는 다운로드 기능이 포함되어 있는 것으로 확인되고 있습니다.

 

"softblow + softblow 1.0.0.1" 프로그램 삭제 방법

 

해당 프로그램이 설치된 환경에서는 제어판의 설치 프로그램 목록에 softblow, softblow 1.0.0.1 2개의 삭제 항목으로 등록됩니다.

하지만 프로그램 삭제시 "softblow 1.0.0.1" 삭제 항목을 이용하여 프로그램 삭제를 진행할 경우 오류창이 생성되는 부분을 발견할 수 있습니다.

오류창 생성 원인은 "softblow 1.0.0.1" 프로그램의 삭제 등록 파일이 실제로는 존재하지 않는 "C:\Program Files\softblow\Uninstall.exe" 파일로 등록되어 있기 때문입니다.

 

그러므로 정상적으로 프로그램 삭제를 위해서는 다음과 같은 절차에 따라 진행하시기 바랍니다.

 

(a) Windows 작업 관리자를 실행하여 softblow_d.exe 프로세스를 찾아 종료하시기 바랍니다.

 

(b) Internet Explorer 웹 브라우저를 종료한 상태에서 제어판에 등록된 "softblow", "softblow 1.0.0.1" 삭제 항목을 클릭하여 삭제를 진행하시기 바라며, "softblow 1.0.0.1" 삭제시 생성된 오류창에서는 "예(Y)" 버튼을 클릭하시기 바랍니다.

 

(c) 프로그램 삭제 후에는 "C:\Program Files\softblow" 폴더를 찾아 추가적으로 삭제하시기 바랍니다.

 

위와 같은 프로그램 삭제 이후에도 지속적인 수익 활동을 위해 삭제되지 않은 광고 기능은 다음과 같이 삭제하시기 바랍니다.

 

(d) "보조 프로그램 → 명령 프롬프트" 메뉴를 "관리자 권한으로 실행"하여 생성된 명령 프롬프트 창에 [sc delete "Network Security Service"] 명령어를 입력 및 실행하여 서비스 등록값을 자동 삭제하시기 바랍니다.

(e) Internet Explorer 웹 브라우저를 종료한 상태에서 다음의 파일을 찾아 직접 삭제하시기 바랍니다.

  • C:\Windows\netclient.dll
  • C:\Windows\netsecurity.exe

(f) 레지스트리 편집기(regedit)를 실행하여 다음의 레지스트리 값을 찾아 삭제하시기 바랍니다.

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer
    \Browser Helper Objects\{5AEFB56F-2B9C-4628-A577-FD54A73AB18C}

(g) "제어판 → 시스템 및 보안 → 관리 센터 → 사용자 계정 컨트롤 설정 변경" 메뉴를 실행하여 사용자 계정 컨트롤(UAC) 설정값을 "알리지 않음"에서 상단으로 슬라이드 바를 올린 후 Windows 재부팅을 진행하시기 바랍니다.

 

그 외에도 Internet Explorer 웹 브라우저의 정상적인 추가 기능 관리에 등록되는 항목의 허용 여부를 노란색 알림바로 표시되도록 하기 위해서는 다음의 붉은색 레지스트리 값을 삭제하시기 바랍니다.

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Ext
 - IgnoreFrameApprovalCheck = 1

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Ext
 - IgnoreFrameApprovalCheck = 1

[생성 레지스트리 등록 정보]

 

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5AEFB56F-2B9C-4628-A577-FD54A73AB18C}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{79D5C9B5-7CCB-45B9-BFA0-B87A25B88D68}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{B476E7E6-EAFE-457E-B4C0-4CFF2B772FDF}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\netclient.Helper
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\netclient.Helper.1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{5AEFB56F-2B9C-4628-A577-FD54A73AB18C}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - softblow = "C:\Program Files\softblow\softblow_m.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
softblow
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
softblow 1.0.0.1
HKEY_LOCAL_MACHINE\SOFTWARE\softblow
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Network Security Service
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\softblow service

 

"softblow + softblow 1.0.0.1" 광고 프로그램은 설치시 프로그램 동작을 위해 Windows 보안 기능 및 레지스트리 값 조작을 통해 프로그램 삭제 이후에도 문제를 유발하고 있으며, 제어판을 통한 삭제 기능은 제공하지만 핵심적인 광고 기능을 제거하지 않는 방식으로 지속적인 수익 활동을 유지하므로 설치되지 않도록 각별히 주의하시기 바랍니다.

  • 스벨괴 2014.06.18 01:13 댓글주소 수정/삭제 댓글쓰기

    안녕하세요. 다름이 아니라 어디 물어볼 곳이 없어서 여기다가 댓글 답니다.

    구글에 '윈도우 8.1 작업표시줄 투명' 이라고 검색을하면 검색결과가 뜨는데.
    그 검색 결과중 맨 아랫줄에 "아~좋다! :: 윈도우 8, 8.1 작업표시줄 투명하지 않게 하기 or 투명하게 ..." 라는 제목의 링크를 클릭하니까 악성코드가 자동으로 다운로드가 됩니다. 그 제목링크 아래의 티스토리 주소로 접속하면 정상인데 바로위의 구글검색 결과 제목을 클릭하면 악성코드 사이트로 넘어갑니다.

    다른 분들도 이런건지 아니면 저만그런건지 모르겠습니다.
    다행스럽게도 구글크롬에서 자체적으로 차단과 동시에 defender에서 탐지해서 제거는 되었습니다.

    제 네트워크가 비정상인건가요? 아니면 구글이 비정상인가요?

    추가: 윈도우8.1은 작업표시줄 불투명하게 하는 옵션이 없나요? 방법 찾다가 엉뚱한 악성코드만 찾았습니다.

    이상한 구글링크:
    https://www.virustotal.com/ko/url/d0f168c3eabf18c6acc8f0b4cdece2abc4203ec79e59a8e7d1d5d91a55b1d8b1/analysis/1403020969/

    아마도 k뱅크라 의심되는 악성코드:
    https://www.virustotal.com/ko/file/dbed1df2667b5a982c5f8c5ce89319ee69af5e4bfc60fde99d83912fc4144639/analysis/1402998569/

    • 확인 결과 블로그 해킹을 통해 특정 조건으로 해킹된 블로그 접속시 자동으로 납치를 통해 바이러스 파일을 다운로드하는 수법으로 확인되고 있습니다.

      최근에 위와 같은 방식이 보고되고 있기에 관련 정보를 차후 블로그를 통해 공개하도록 하겠습니다.

      제공해주신 정보 감사합니다.^^

  • 김진 2014.10.14 23:39 댓글주소 수정/삭제 댓글쓰기

    좋은 정보 감사합니다.