울지않는벌새 : Security, Movie & Society

국내 악성코드 : System Management - stupopdsup.exe (2014.6.30)

벌새::Analysis

특정 시점에서 Windows 부팅시 업데이트 창 생성을 통해 다수의 추천 프로그램 설치를 유도하며, 제어판의 설치 프로그램 목록에 등록하지 않는 방식으로 사용자에게 설치 여부를 숨기려는 국내에서 제작된 "System Management" 프로그램에 대해 살펴보도록 하겠습니다.

"System Management" 프로그램은 기존부터 다양한 광고 프로그램 설치를 유발하는 사례에서 발견되고 있으며, 변종에 따라 다양한 서비스 및 파일명으로 설치가 이루어지고 있는 것으로 파악되고 있습니다.

 

대표적인 유포 방식은 스팸(Spam) 블로그에 등록된 유용한 소프트웨어로 위장한 첨부 파일 또는 다운로드 링크를 통해 다운로드된 파일을 실행할 경우 생성된 다운로드 창에 추가된 제휴 프로그램 중 "시스템관리" 항목을 통해 설치될 수 있습니다.

테스트에서는 Nero Burning Rom 파일을 다운로드할 수 있는 배포 파일<SHA-1 : ca681b903a5723450f64393165c5cc3d59914388 - AhnLab V3 : Trojan/Win32.Gen (VT : 27/54)>을 통해 확인해 보았습니다.

사용자가 다운로드 창의 실행 또는 저장 버튼을 클릭할 경우 소프트웨어 다운로드를 진행하면서 백그라운드 방식으로 특정 파일 서버에서 "System Management" 프로그램 설치를 위한 압축 파일<service2.zip : SHA-1 : 63f9e6dc267edefed7dba983c0b637b86d81b9bd - AhnLab V3 : PUP/Win32.IntClient.C395671 (VT : 19/52)>을 자동으로 다운로드 시도합니다.

  • C:\Users\(사용자 계정)\AppData\Local\Temp\service2.exe
  • C:\Users\(사용자 계정)\AppData\Local\Temp\service2uninst.exe

다운로드된 압축 파일은 임시 폴더에 압축 해제 후 다음과 같은 위치에 복사한 후 자신은 자가 삭제 처리됩니다.

 

[생성 파일 및 진단 정보]

 

C:\Windows\stupopdsup.exe :: 서비스(stupopdsup) 등록 파일
 - SHA-1 : 85a9239ea7ebf888654187e042b3a6bdc47a1d28
 - AhnLab V3 : PUP/Win32.IntClient.C395671 (VT : 18/54)

 

C:\Windows\stupopdsup_uninstall.exe :: 프로그램 삭제 파일
 - SHA-1 : 2f0f1be2298e908fe9d9978d1742353d6fd9c3e9
 - AhnLab V3 : Adware/Win32.Kradare.C422810 (VT : 11/53)

"System Management" 프로그램은 Windows 폴더 내에 실행 파일(제품 이름 : Service Manager)과 삭제 파일로 구성된 2개의 파일을 생성하며 변종에 따라 다양한 파일명으로 설치될 수 있습니다.

"stupopdsup (표시 이름 : System Management)" 서비스 항목을 등록하여 시스템 시작시 "C:\Windows\stupopdsup.exe" 파일을 자동 실행하도록 구성되어 있습니다.

자동 실행된 서비스 파일(stupopdsup.exe)은 특정 서버에서 구성값 정보를 체크하며, 특정 시점에서는 "업데이트 안내" 창을 통해 "마우스 컨트롤 서비스"를 비롯한 다양한 제휴 프로그램의 설치를 유도할 수 있을 것으로 추정되므로 매우 주의하시기 바랍니다.(※ 설치되는 제휴 프로그램을 "추천 프로그램으로 표기하여 설치를 유도할 수 있습니다.)으로 표기하여 설치를 유도할 수 있습니다.)

 

만약 사용자의 부주의로 인하여 업데이트 창의 체크 박스를 해제하지 않은 상태로 확인 버튼을 클릭할 경우 다양한 설치 파일을 다운로드하여 "C:\Users\(사용자 계정)\AppData\Local\UtilFolder\temp" 폴더에 생성하여 설치가 자동으로 이루어질 수 있습니다.

특히 "System Management" 프로그램은 국내 웹하드 프로그램과 유사하게 제어판의 설치 프로그램 목록에 등록하지 않고 시작 메뉴 내에 프로그램 정보를 추가하여 실행 및 삭제를 지원하고 있습니다.

 

이로 인하여 프로그램이 설치된 사용자들은 제어판에서 표시되지 않는 문제로 프로그램 설치 여부를 제대로 인지하지 못하고 있으며, 프로그램 이름 자체가 중요 시스템 관련 프로그램으로 오해를 유발할 수 있습니다.

 

"System Management" 프로그램 삭제 방법

기본적으로 "System Management" 프로그램 삭제는 시작 메뉴에 등록된 "C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\System Management\Uninstall.lnk" 메뉴를 통해 삭제할 수 있습니다.

 

만약 수동으로 프로그램 삭제가 필요한 경우에는 다음과 같은 절차에 따라 삭제를 진행하시기 바랍니다.

 

(a) "보조 프로그램 → 명령 프롬프트" 메뉴를 "관리자 권한으로 실행"하여 생성된 명령 프롬프트 창에 [sc delete "stupopdsup"] 명령어를 입력 및 실행하여 서비스 등록값을 자동 삭제하시기 바랍니다.(※ 변종에 따라 서비스 값(stupopdsup)은 실행 파일명에 따라 달라질 수 있습니다.)

(b) 다음의 폴더(파일)를 찾아 직접 삭제하시기 바랍니다.

  • C:\Users\(사용자 계정)\AppData\Local\UtilFolder
  • C:\Users\(사용자 계정)\AppData\Local\UtilFolder\temp
  • C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\System Management
  • C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\System Management\Uninstall.lnk
  • C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\System Management\업데이트.lnk
  • C:\Windows\stupopdsup.exe
  • C:\Windows\stupopdsup_uninstall.exe

참고로 워낙 다양한 변종이 존재하므로 폴더 또는 파일명은 다양하게 등록되어 있을 수 있습니다.

 

(c) 레지스트리 편집기(regedit)를 실행하여 다음의 레지스트리 값이 존재할 경우 삭제하시기 바랍니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_LOCAL_MACHINE\SOFTWARE\stupopdsup
HKEY_LOCAL_MACHINE\SOFTWARE\uninstall_stupopdsup
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\stupopdsup

 

"System Management" 프로그램이 설치된 환경에서는 배포자의 의도에 따라 Windows 부팅 이후 업데이트 창 생성을 통해 추천 프로그램처럼 설치를 유도하여 불필요한 프로그램(PUP) 다수를 설치하여 PC 사용에 심각한 불편을 유발할 수 있으므로 설치되지 않도록 주의하시기 바랍니다.