울지않는벌새 : Security, Movie & Society

해외 악성 광고 프로그램 HQ-V1.4 설치 주의 (2014.6.21)

벌새::Analysis

고화질 유튜브(YouTube) 동영상을 기본값으로 재생해주는 "HQ-Video Pro" 프로그램처럼 사용자를 기만하여 설치를 유도하는 해외에서 제작된 HQ-V1.4 광고 프로그램에 대해 살펴보도록 하겠습니다.

해당 프로그램의 대표적인 유포 방식은 기존의 가짜 Softpedia 파일 자료실 사례를 통해 확인하시기 바라며, HQ-V1.4 프로그램과 매우 유사한 기능을 가진 HQ-Vid-1.9b, Plus-HD-9.4, SavePass 등의 변종 광고 프로그램이 다수 발견되고 있는 것으로 파악되고 있습니다.

 

또한 HQ-V1.4 프로그램은 삭제 기능을 제공하지 않는 "Google Update Helper" 프로그램으로 위장한 globalUpdate 악성 프로그램이 함께 설치되는 형태이므로 삭제시 추가적으로 삭제하시기 바랍니다.

 

설치 과정을 살펴보면 파일 다운로드 기능을 가진 MiniGet 프로그램<SHA-1 : 4df67a8709a4c822432cc3531bbef342bc4dcb7a - Kaspersky : not-a-virus:AdWare.Win32.OutBrowse.g (VT : 13/54)>을 설치하는 과정에서 생성된 "C:\Users\(사용자 계정)\AppData\Local\Temp\f.exe" 파일<SHA-1 : 6c4bea15f2a864e8c0bb467b369c1607aded4594 - Kaspersky : not-a-virus:AdWare.Win32.OutBrowse.f (VT : 17/53)>이 추가적으로 HQ-V1.4 설치 파일<SHA-1 : 1d4357a920dbf1269d889078e77e73c45749eb88 - AVG : Generic.BEF (VT : 1/54)>을 다운로드합니다.

 

다운로드된 HQ-V1.4 설치 파일이 "C:\Users\(사용자 계정)\AppData\Local\Temp\1_Offer_1.exe" 파일을 생성 및 실행하여 "C:\Users\(사용자 계정)\AppData\Local\Temp\(영문+숫자).tmp\Folhmmcs.exe" 파일<SHA-1 : b054aeb21c48a0b22870a21fadb06c372027765b - AhnLab V3 : PUP/Win32.MulDrop.R109417 (VT : 7/53)>을 실행하여 다음과 같은 프로그램을 설치합니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Program Files\HQ-V1.4
C:\Program Files\HQ-V1.4\01c899f5-1119-4dd3-9840-d504eeae3f07-11.exe :: 예약 작업(01c899f5-1119-4dd3-9840-d504eeae3f07-11) 등록 파일
C:\Program Files\HQ-V1.4\01c899f5-1119-4dd3-9840-d504eeae3f07-2.exe :: 예약 작업(01c899f5-1119-4dd3-9840-d504eeae3f07-2) 등록 파일
C:\Program Files\HQ-V1.4\01c899f5-1119-4dd3-9840-d504eeae3f07-4.exe :: 예약 작업(01c899f5-1119-4dd3-9840-d504eeae3f07-4) 등록 파일
C:\Program Files\HQ-V1.4\01c899f5-1119-4dd3-9840-d504eeae3f07-5.exe :: 예약 작업(01c899f5-1119-4dd3-9840-d504eeae3f07-5) 등록 파일
C:\Program Files\HQ-V1.4\01c899f5-1119-4dd3-9840-d504eeae3f07.crx
C:\Program Files\HQ-V1.4\1293297481.mxaddon
C:\Program Files\HQ-V1.4\360-58362.crx
C:\Program Files\HQ-V1.4\58362.xpi
C:\Program Files\HQ-V1.4\background.html
C:\Program Files\HQ-V1.4\HQ-V1.4-bg.exe :: 메모리 상주 프로세스(Internet Explorer 실행시)
C:\Program Files\HQ-V1.4\HQ-V1.4-bho.dll :: BHO 등록 파일
C:\Program Files\HQ-V1.4\HQ-V1.4-codedownloader.exe :: 예약 작업(01c899f5-1119-4dd3-9840-d504eeae3f07-1) 등록 파일
C:\Program Files\HQ-V1.4\HQ-V1.4.ico
C:\Program Files\HQ-V1.4\Uninstall.exe :: 프로그램 삭제 파일
C:\Program Files\HQ-V1.4\utils.exe
C:\Windows\System32\Tasks\01c899f5-1119-4dd3-9840-d504eeae3f07-1
C:\Windows\System32\Tasks\01c899f5-1119-4dd3-9840-d504eeae3f07-11
C:\Windows\System32\Tasks\01c899f5-1119-4dd3-9840-d504eeae3f07-2
C:\Windows\System32\Tasks\01c899f5-1119-4dd3-9840-d504eeae3f07-4
C:\Windows\System32\Tasks\01c899f5-1119-4dd3-9840-d504eeae3f07-5
C:\Windows\Tasks\01c899f5-1119-4dd3-9840-d504eeae3f07-1.job
C:\Windows\Tasks\01c899f5-1119-4dd3-9840-d504eeae3f07-11.job
C:\Windows\Tasks\01c899f5-1119-4dd3-9840-d504eeae3f07-2.job
C:\Windows\Tasks\01c899f5-1119-4dd3-9840-d504eeae3f07-4.job
C:\Windows\Tasks\01c899f5-1119-4dd3-9840-d504eeae3f07-5.job

 

[생성 파일 진단 정보]

 

C:\Program Files\HQ-V1.4\01c899f5-1119-4dd3-9840-d504eeae3f07-11.exe
 - SHA-1 : 57d294cf20c716c500db328154dfeb46cdfc6c3b
 - ESET : a variant of Win32/Toolbar.CrossRider.AG (VT : 3/54)

 

C:\Program Files\HQ-V1.4\01c899f5-1119-4dd3-9840-d504eeae3f07-2.exe
 - SHA-1 : 06bcedd567e6db6b64c84fb58e50fbdac54a20bd
 - AVG : Generic.BEF (VT : 5/54)

 

C:\Program Files\HQ-V1.4\01c899f5-1119-4dd3-9840-d504eeae3f07-4.exe
 - SHA-1 : 00883ac844e28f345588cabea0b98d63f071a967
 - AVG : Generic.BEF (VT : 2/51)

 

C:\Program Files\HQ-V1.4\01c899f5-1119-4dd3-9840-d504eeae3f07-5.exe
 - SHA-1 : 74b907bdcf1c15be79c1b435e0d38ee26250bf6d
 - ESET : a variant of Win32/Toolbar.CrossRider.AH (VT : 4/54)

 

C:\Program Files\HQ-V1.4\01c899f5-1119-4dd3-9840-d504eeae3f07.crx
 - SHA-1 : 259433254cbedfb2846244d8be5c14016f8efeb6
 - Symantec : Adware.Crossid (VT : 4/53)

 

C:\Program Files\HQ-V1.4\360-58362.crx
 - SHA-1 : 89f7fdbef31433fd1851ac8304ac57087d1afeb6
 - ESET : JS/Toolbar.Crossrider.B (VT : 4/52)

 

C:\Program Files\HQ-V1.4\58362.xpi
 - SHA-1 : 6b3bc197808555afa88c8a5677c29aba66ddbc59
 - Symantec : Adware.Crossid (VT : 4/54)

 

C:\Program Files\HQ-V1.4\HQ-V1.4-bg.exe
 - SHA-1 : a16f4abe0692ab7736723cde64689325a11e7b96
 - AVG : Generic.BEF (VT : 5/54)

 

C:\Program Files\HQ-V1.4\HQ-V1.4-bho.dll
 - SHA-1 : 800582a386bfb70f82cb7eab5477046ebcacbe1b
 - ESET : a variant of Win32/Toolbar.CrossRider.AF (VT : 3/54)

 

C:\Program Files\HQ-V1.4\HQ-V1.4-codedownloader.exe
 - SHA-1 : bffca3cc377fbf35ecabd4369bb4ab93fbeb24e1
 - ESET : a variant of Win32/Toolbar.CrossRider.AJ (VT : 5/53)

 

C:\Program Files\HQ-V1.4\utils.exe
 - SHA-1 : 5e71c8b9079e513d75cf2e7c0758b921c7bc7757
 - AhnLab V3 : PUP/Win32.MulDrop (VT : 3/54)

해당 프로그램은 "C:\Program Files\HQ-V1.4" 폴더에 파일을 생성하며, 시스템 시작시 다음과 같은 다수의 작업 스케줄러 등록값을 등록하여 다수의 파일을 자동 실행하도록 구성되어 있습니다.

  • 01c899f5-1119-4dd3-9840-d504eeae3f07-1 → C:\Program Files\HQ-V1.4\HQ-V1.4-codedownloader.exe
  • 01c899f5-1119-4dd3-9840-d504eeae3f07-11 → C:\Program Files\HQ-V1.4\01c899f5-1119-4dd3-9840-d504eeae3f07-11.exe
  • 01c899f5-1119-4dd3-9840-d504eeae3f07-2 → C:\Program Files\HQ-V1.4\01c899f5-1119-4dd3-9840-d504eeae3f07-2.exe
  • 01c899f5-1119-4dd3-9840-d504eeae3f07-4 → C:\Program Files\HQ-V1.4\01c899f5-1119-4dd3-9840-d504eeae3f07-4.exe
  • 01c899f5-1119-4dd3-9840-d504eeae3f07-5 → C:\Program Files\HQ-V1.4\01c899f5-1119-4dd3-9840-d504eeae3f07-5.exe

예약 작업 영역에 5개의 작업 스케줄러 항목을 등록하여 자동 실행된 파일들은 특정 광고 서버에서 업데이트 및 광고 구성값 정보를 체크한 후 자동 종료 처리됩니다.

 

기본적으로 HQ-V1.4 광고 프로그램은 Internet Explorer, Google Chrome, Mozilla Firefox, Maxthon Cloud Browser 기반에서 인터넷 검색 및 웹 사이트 접속시 광고를 노출하는 방식으로 제작되어 있습니다.

 

테스트에서는 Google Chrome 웹 브라우저의 확장 프로그램(C:\Program Files\HQ-V1.4\360-58362.crx)에 추가하도록 되어 있지만 정상적으로 추가되지 않는 것으로 보이므로, Internet Explorer와 Mozilla Firefox 웹 브라우저 환경에서 테스트를 진행하였습니다.

 

1. Internet Explorer 웹 브라우저 환경

HQ-V1.4 프로그램이 설치된 환경에서 사용자가 Internet Explorer 웹 브라우저를 실행할 경우 iexplore.exe 프로세스 하위에 ["C:\program files\hq-v1.4\hq-v1.4-bg.exe" /IeWnGNNe] 파일을 추가 로딩하여 동작하도록 제작되어 있습니다.

 

이름

 HQ-V1.4

게시자

 SIMONA-VIORICA MARIN

유형

 브라우저 도우미 개체

CLSID

 {11111111-1111-1111-1111-110511831162}

파일

 C:\Program Files\HQ-V1.4\HQ-V1.4-bho.dll

 

특히 Internet Explorer 웹 브라우저의 추가 기능 관리에 등록되는 HQ-V1.4 브라우저 도우미 개체(BHO)는 Internet Explorer 웹 브라우저 실행시 "C:\Program Files\HQ-V1.4\HQ-V1.4-bho.dll" 파일을 로딩하여 광고 기능을 수행하도록 하는데, 사용자의 허용없이 자동 등록(HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Approved Extensions\{11111111-1111-1111-1111-110511831162})되며 강제적으로 사용하도록 "사용 함", "사용 안 함" 버튼을 비활성화 처리합니다.

위와 같은 브라우저 도우미 개체(BHO) 버튼 비활성화 수법은 기존의 해외 광고 프로그램에서도 발견된 적이 있었습니다.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Ext\CLSID
 - {11111111-1111-1111-1111-110511831162} = 1

HQ-V1.4 브라우저 도우미 개체(BHO) 버튼 활성화를 위해서는 레지스트리에 등록된 "{11111111-1111-1111-1111-110511831162} = 1" 값을 찾아 삭제 처리하시면 해결됩니다.

프로그램이 설치된 환경에서 구글(Google) 검색 서비스를 이용하여 인터넷 검색시 검색 결과에 "Powered by Deal Finder"에서 제공하는 "Visual Search results" 이미지 광고가 노출될 수 있습니다.

 

2. Mozilla Firefox 웹 브라우저 환경

 

Mozilla Firefox 웹 브라우저가 설치되어 있는 환경에서는 HQ-V1.4 광고 프로그램 설치시 "C:\Program Files\HQ-V1.4\58362.xpi" 파일을 통해 "C:\Users\(사용자 계정)\AppData\Roaming\Mozilla\Firefox\Profiles\(영문+숫자).default\extensions\508d4e2f-a469-421d-a294-135dbb84fe1b@f7b17943-cc9e-4d4a-b223-0bd1e7cfc871.com" 확장 기능을 추가합니다.

이를 통해 Mozilla Firefox 웹 브라우저의 확장 기능에 "HQ-V1.4 0.94.39" 플러그인이 추가된 것을 확인할 수 있습니다.

이를 통해 해외 인터넷 쇼핑몰 이용시 "Deal Finder"에서 제공하는 광고를 교묘하게 추가하여 노출하는 동작을 확인할 수 있습니다.

프로그램 삭제시에는 Internet Explorer 웹 브라우저를 종료한 상태에서 제어판에 등록된 "HQ-V1.4" 삭제 항목을 이용하여 삭제할 수 있으며, 프로그램 삭제 후에는 사용하는 웹 브라우저의 확장 프로그램(기능)에 등록된 플러그인이 정상적으로 삭제되어 있는지 체크하시기 바랍니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\AppDataLow\Software\Crossrider
HKEY_CURRENT_USER\Software\AppDataLow\Software\HQ-V1.4
HKEY_CURRENT_USER\Software\InstalledBrowserExtensions\HQV1.4
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Approved Extensions
 - {11111111-1111-1111-1111-110511831162}
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{1568f518-4e1d-40b6-b793-f7678c528549}
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{491FEEEC-B00E-40D3-B137-F2A1419DE035}
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{6519da7c-c316-4d16-9353-5fe78b5fa46f}
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{C166DD0F-3B0D-4856-B12C-DD4FC9999FD9}
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{E8836641-22EE-4E78-8ACD-824FDB482975}
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{EACE61D-A96C-4C19-9625-2CB6E074F1A}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{11111111-1111-1111-1111-110511831162}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{22222222-2222-2222-2222-220522832262}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CrossriderApp0058362.BHO
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CrossriderApp0058362.BHO.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CrossriderApp0058362.Sandbox
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CrossriderApp0058362.Sandbox.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{55555555-5555-5555-5555-550555835562}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{66666666-6666-6666-6666-660566836662}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{44444444-4444-4444-4444-440544834462}
HKEY_LOCAL_MACHINE\SOFTWARE\HQ-V1.4
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{1568f518-4e1d-40b6-b793-f7678c528549}
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{6519da7c-c316-4d16-9353-5fe78b5fa46f}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{11111111-1111-1111-1111-110511831162}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Ext\CLSID
 - {11111111-1111-1111-1111-110511831162} = 1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\HQ-V1.4
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{063FFF4A-BCCB-46CB-A534-417D2608A94F}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{0B50F722-E504-4524-BFCB-9209508DA546}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{1B652271-26D0-486C-9AD9-1F6AF77419F6}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{436A7281-A01E-4617-B94E-898D36099D9C}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{8CEC165A-D014-43D3-AE2D-8B40A1B85FD7}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\01c899f5-1119-4dd3-9840-d504eeae3f07-1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\01c899f5-1119-4dd3-9840-d504eeae3f07-11
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\01c899f5-1119-4dd3-9840-d504eeae3f07-2
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\01c899f5-1119-4dd3-9840-d504eeae3f07-4
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\01c899f5-1119-4dd3-9840-d504eeae3f07-5

 

국내 광고 프로그램과 마찬가지로 해외 광고 프로그램 역시 주기적으로 프로그램 이름, 폴더, 파일을 변경하여 유사한 광고 기능을 지속적으로 노출시키며, Internet Explorer 웹 브라우저 이외의 Google Chrome, Mozilla Firefox 등 다양한 웹 브라우저에서도 광고 기능이 동작하므로 확장 프로그램 등록 정보를 잘 확인하여 숨어있는 광고 기능을 제거하도록 하시기 바랍니다.