울지않는벌새 : Security, Movie & Society

프로그램 정보를 수집하는 "Windows Baro Visit" 광고 프로그램 주의 (2014.7.5)

벌새::Analysis

11번가 바로가기 아이콘 생성 및 다양한 광고창 생성을 유발하는 국내에서 제작된 "Windows Baro Visit" 광고 프로그램을 확인하던 중 사용자 PC에 설치된 프로그램 정보 및 IP 정보를 수집하는 동작을 추가적으로 확인하여 설치, 동작, 삭제와 관련된 정보를 살펴보도록 하겠습니다.

"Windows Baro Visit" 광고 프로그램은 변종에 따라 서비스 이름 및 파일명이 다르게 생성될 수 있는 것으로 알려져 있으므로 참고하시기 바랍니다.

대표적인 유포 방식은 스팸(Spam) 게시글로 작성된 블로그의 첨부 파일 또는 링크를 통해 다운로드된 INSAFE 디지털 서명이 포함된 파일<SHA-1 : aa0fb70a3b6ac97a7b035789b631f2bace9fedb5 - Avira : Adware/Kraddare.IL.30 (VT : 16/54)>을 통해 10여종의 제휴 프로그램 중 "11" 또는 "바로visit" 항목을 통해 설치될 수 있습니다.

설치 과정을 살펴보면 특정 서버로부터 "Windows Baro Visit" 설치를 위한 배포 파일<SHA-1 : bd06155821bff5aa713007b0f3496987e7460b7b - BitDefender : Trojan.GenericKD.1725081 (VT : 27/54)>을 다운로드하여 "C:\Users\(사용자 계정)\AppData\Local\Temp\ins.bv.exe" 파일로 생성 및 실행됩니다.

실행된 파일은 특정 서버에서 "Windows Baro Visit" 설치 파일을 barovisit_inst.zip 압축 파일(SHA-1 : af1a0a37a6c51df79c0efb8a3d595a84bc7f35dd)로 형태로 다운로드하여 "C:\Users\(사용자 계정)\AppData\Local\Temp\barovisit_inst.exe" 파일<SHA-1 : 074f5930f663c02e6ee525f23a10a3f80bd0f1f3 - Symantec : Trojan.Gen (VT : 25/53)>로 압축 해제 및 실행합니다.

실행된 파일은 특정 서버에서 "Windows Baro Visit" 프로그램을 통해 생성될 파일을 install.zip 압축 파일(SHA-1 : fee580ea0a68eb84332801563a0bc9af3d7c32bd)로 다운로드하여 다음과 같은 파일을 생성합니다.

 

참고로 ZIP 압축 파일 내에 존재하는 barovisitm.exe 파일(SHA-1 : 044968b99c64293331495bfde39ef895fc0b1eaf)은 서비스 파일과 등록되는 "C:\Windows\bvmvboputi.exe" 파일과 동일합니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Program Files\Windows BaroVisit
C:\Program Files\Windows BaroVisit\barovisit_uninst.exe :: 프로그램 삭제 파일
C:\Program Files\Windows BaroVisit\barovisit.exe :: 메모리 상주 프로세스
C:\Program Files\Windows BaroVisit\barovisits.exe :: 예약 작업(bvsvboputi) 등록 파일
C:\Program Files\Windows BaroVisit\barovisitu.exe :: 시작 프로그램(BAROVISIT) 등록 파일, 시작 프로그램 폴더(barovisitu) 등록 파일
C:\Users\(사용자 계정)\AppData\Local\BaroVisit
C:\Users\(사용자 계정)\AppData\Local\BaroVisit\icons
C:\Users\(사용자 계정)\AppData\Local\BaroVisit\icons\11st_d.ico
C:\Users\(사용자 계정)\AppData\Local\BaroVisit\icons\11st_f.ico
C:\Users\(사용자 계정)\AppData\Local\BaroVisit\icons\11st_q.ico
C:\Users\(사용자 계정)\AppData\Local\BaroVisit\TaskBar
C:\Users\(사용자 계정)\AppData\Local\BaroVisit\TaskBar\11번가.lnk
C:\Users\(사용자 계정)\AppData\Local\BaroVisit\temp
C:\Users\(사용자 계정)\AppData\Local\Temp\barovisit_inst.exe
C:\Users\(사용자 계정)\AppData\Local\Temp\ins.bv.exe
C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\11번가.lnk
C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\11번가.lnk
C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\barovisitu.lnk
C:\Users\(사용자 계정)\Desktop\11번가.lnk
C:\Users\(사용자 계정)\Favorites\11번가.url
C:\Users\(사용자 계정)\Favorites\Links\11번가.url
C:\Windows\bvmvboputi.exe :: 서비스(bvmvboputi) 등록 파일
C:\Windows\System32\Tasks\bvsvboputi
C:\Windows\Tasks\bvsvboputi.job

 

[생성 파일 진단 정보]

 

C:\Program Files\Windows BaroVisit\barovisit_uninst.exe
 - SHA-1 : 289a4334c350c1b44ccf1e55fa935acdd85f3f02
 - Hauri ViRobot : Adware.Agent.381952.A (VT : 26/54)

 

C:\Program Files\Windows BaroVisit\barovisit.exe
 - SHA-1 : d0febdfbc2892d1f41252ffd78cbb960a908098d
 - avast! : Win32:Dropper-NSH [Drp] (VT : 27/53)

 

C:\Program Files\Windows BaroVisit\barovisits.exe
 - SHA-1 : fb1a113864824cb5695ecb69ecb7695f5a02236f
 - AhnLab V3 : PUP/Win32.IntClient (VT : 31/54)

 

C:\Program Files\Windows BaroVisit\barovisitu.exe
 - SHA-1 : f9eefdc821b91f1a3ce354fa03fd175e53b5bb9d
 - BitDefender : Gen:Variant.Graftor.145198 (VT : 29/54)

 

C:\Users\(사용자 계정)\AppData\Local\Temp\barovisit_inst.exe
 - SHA-1 : 074f5930f663c02e6ee525f23a10a3f80bd0f1f3
 - Symantec : Trojan.Gen (VT : 25/53)

 

C:\Users\(사용자 계정)\AppData\Local\Temp\ins.bv.exe
 - SHA-1 : bd06155821bff5aa713007b0f3496987e7460b7b
 - BitDefender : Trojan.GenericKD.1725081 (VT : 27/54)

 

C:\Windows\bvmvboputi.exe
 - SHA-1 : 044968b99c64293331495bfde39ef895fc0b1eaf
 - AVG : Generic5.AYIO (VT : 26/54)

해당 프로그램은 "C:\Program Files\Windows BaroVisit" 폴더와 Windows 폴더 내부에 파일을 생성하며, 다음과 같은 다양한 등록값을 통해 시스템 시작시 자동으로 실행되도록 구성되어 있습니다.

 

1. "bvmvboputi (표시 이름 : Baro Visit Update)" 서비스 등록 정보

"bvmvboputi (표시 이름 : Baro Visit Update)" 서비스 항목을 등록하여 시스템 시작시 ["C:\Windows\bvmvboputi.exe" /srv] 파일을 자동 실행하도록 구성되어 있습니다.(※ 변종에 따라 서비스 이름 및 파일명이 변경될 수 있습니다.)

자동 실행된 서비스 파일(bvmvboputi.exe)은 프로그램 업데이트 정보를 체크하여 생성 파일을 패치할 수 있습니다.

특히 사용자 PC의 시스템 정보(운영 체제(OS) 버전, Internet Explorer 버전)와 함께 실행 프로세스, 시작 프로그램, 예약 작업, 서비스 등록 정보 일부와 IP 정보를 서버로 전송하는 동작을 확인할 수 있습니다.(#(프로세스명);(파일 경로);(파일 크기);(제작사))

 

위와 같은 사용자 PC에서 동작하는 프로그램 정보를 수집하는 이유는 "Windows Baro Visit" 광고 프로그램이 외부에서 분석되는 것을 방해할 목적으로 수집된 파일 정보를 기반으로 특정 조건 환경에서는 프로그램 실행을 하지 않도록 할 목적으로 추정됩니다.

 

2. 예약 작업(bvsvboputi) 등록 정보

예약 작업 영역에 bvsvboputi 작업 스케줄러 항목을 등록하여 시스템 시작시 "C:\Program Files\Windows BaroVisit\barovisits.exe /sch" 파일을 자동 실행하도록 구성되어 있습니다.

 

이를 통해 프로그램 업데이트 체크, 사용자 PC에 등록된 서비스 등록값 체크 후 광고 기능을 수행하는 "C:\Program Files\Windows BaroVisit\barovisit.exe" 파일을 로딩하여 메모리에 상주시킵니다.

 

하지만 실행되는 barovisit.exe 파일은 가상 환경(VMware, Oracle VM VirtualBox) 및 분석 도구(Sysinternals, OllyDbg, RootkitRevealer, Fiddler Web Debugger, WinPcap, PE Explorer 등)가 설치된 환경에 체크되는 경우 자동 종료 처리되어 더 이상 동작하지 않습니다.

 

3. 시작 프로그램(BAROVISIT) 및 시작 프로그램 폴더(barovisitu) 등록 정보

 

(1) 시작 프로그램(BAROVISIT) 등록 정보

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - BAROVISIT = "C:\Program Files\Windows BaroVisit\barovisitu.exe" /run

Windows 시작시 BAROVISIT 시작 프로그램 등록값을 등록하여 ["C:\Program Files\Windows BaroVisit\barovisitu.exe" /run] 파일을 자동 실행하여 프로그램 업데이트 정보를 체크합니다.

 

또한 예약 작업에 등록된 bvsvboputi 작업 스케줄러 항목(C:\Windows\System32\Tasks\bvsvboputi, C:\Windows\Tasks\bvsvboputi.job)을 재등록할 수 있습니다.

 

이를 통해 광고 기능을 수행하는 "C:\Program Files\Windows BaroVisit\barovisit.exe" 파일을 로딩하여 메모리에 상주시킬 수 있으며, 특정 소프트웨어가 설치된 PC 환경에서는 프로그램 분석을 방해할 목적으로 파일 실행을 중지합니다.

 

(2) 시작 프로그램 폴더(barovisitu)

시작 프로그램 폴더(C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup) 내에 barovisitu 항목을 추가하여 시스템 시작시 ["C:\Program Files\Windows BaroVisit\barovisitu.exe" /startup] 파일을 자동 실행하여 시작 프로그램과 동일한 동작을 수행하도록 등록되어 있습니다.

 

4. "Windows Baro Visit" 기본 광고 동작

"Windows Baro Visit" 광고 프로그램은 기본적으로 빠른 실행, 바탕 화면, 즐겨찾기 영역에 11번가 바로가기 아이콘을 등록하며, 이를 통해 11번가 인터넷 쇼핑몰 접속시 특정 제휴 코드를 통해 수익을 얻을 수 있습니다.

 

또한 메모리에 상주하는 "C:\Program Files\Windows BaroVisit\barovisit.exe" 프로세스는 사용자가 웹 브라우저 실행(종료), 인터넷 검색, 웹 사이트 접속 등의 다양한 조건에서 다양한 광고창 생성이 가능할 수 있습니다.

 

5. 프로그램 삭제 방법

 

(1) 제어판을 통한 프로그램 삭제 방법

 

(a) Windows 작업 관리자를 실행하여 메모리에 상주하는 barovisit.exe 프로세스가 존재할 경우 종료하시기 바랍니다.

 

(b) Internet Explorer 웹 브라우저를 종료한 상태에서 제어판에 등록된 "Windows Baro Visit" 삭제 항목을 이용하여 프로그램을 삭제할 수 있습니다.

[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\BaroVisit
HKEY_LOCAL_MACHINE\SOFTWARE\BaroVisit
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\bv
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - BAROVISIT = "C:\Program Files\Windows BaroVisit\barovisitu.exe" /run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
BaroVisit
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{DFBF4841-7C08-4C89-8AA1-29E9DA804108}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\bvsvboputi
HKEY_LOCAL_MACHINE\SOFTWARE\uninstall_BaroVisit
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\bvmvboputi

 

(2) 사용자에 의한 수동 삭제 방법

 

"Windows Baro Visit" 광고 프로그램의 삭제 파일(C:\Program Files\Windows BaroVisit\barovisit_uninst.exe)을 다수의 보안 제품에서 진단하는 문제로 제어판을 통한 삭제가 이루어지지 않을 가능성이 있으므로 다음과 같은 절차에 따라 삭제하실 수 있습니다.

 

(a) Windows 작업 관리자를 실행하여 barovisit.exe 프로세스가 존재할 경우 종료하시기 바랍니다.

 

(b) "보조 프로그램 → 명령 프롬프트" 메뉴를 "관리자 권한으로 실행"하여 생성된 명령 프롬프트 창에 [sc delete "bvmvboputi"] 명령어를 입력 및 실행하여 서비스 등록값을 자동으로 삭제하시기 바랍니다.(※ 변종에 따라 서비스 이름은 변경될 수 있습니다.)

(c) "생성 폴더 / 파일 등록 정보"를 참고하여 관련 폴더와 파일을 모두 삭제하시기 바라며, 레지스트리 편집기(regedit)를 실행하여 "생성 레지스트리 등록 정보"를 참고하여 관련 레지스트리 값을 모두 삭제하시기 바랍니다.

 

참고로 만약 시스템 시작시 자동 실행되는 파일을 일부 삭제하지 않은 상태로 Windows 재부팅을 진행할 경우 삭제된 등록값(서비스, 예약 작업, 시작 프로그램)이 재생성되므로 주의하시기 바랍니다.

 

"Windows Baro Visti" 광고 프로그램은 단순히 인터넷 쇼핑몰 바로가기 아이콘 및 광고창 생성 기능 외에 사용자 PC에 설치된 프로그램 정보를 수집하며, Windows 시작시 다양한 자동 실행 등록값을 통해 프로그램 동작을 지속하는 능력이 있으므로 설치되지 않도록 각별히 주의하시기 바랍니다.