울지않는벌새 : Security, Movie & Society

사용자 몰래 웹 사이트 연결을 시도하는 "Windows Search Patch Drivers" 광고 프로그램 주의 (2014.7.14)

벌새::Analysis

바탕 화면과 즐겨찾기에 바로가기 아이콘을 생성하는 기능을 가진 "Windows Search Patch Drivers" 광고 프로그램이 추가적인 파일 생성을 통해 사용자 몰래 다양한 웹 사이트에 백그라운드 방식으로 연결을 시도하는 사례에 대해 살펴보도록 하겠습니다.

해당 프로그램은 기존의 동일한 기능을 가진 "Windows Search Key Drivers" 광고 프로그램의 변종이므로 참고하시기 바랍니다.

 

설치 과정을 살펴보면 광고 배포 파일을 통해 특정 서버에서 "Windows Search Patch Drivers" 설치 파일<SHA-1 : 7f990f2eace5e8743ec725148b564e546a35d2e6 - AhnLab V3 : PUP/Win32.SearchKey.R93881 (VT : 17/54)>을 다운로드하여 "C:\Users\(사용자 계정)\AppData\Local\Temp\sk04.exe" 파일로 생성되어 프로그램 설치가 진행됩니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Program Files\skpatch
C:\Program Files\skpatch\skpatch.exe :: 시작 프로그램 등록 파일
C:\Program Files\skpatch\uninstall.exe :: 프로그램 삭제 파일
C:\Users\(사용자 계정)\AppData\Local\Temp\sk04.exe

 

[생성 파일 진단 정보]

 

C:\Program Files\skpatch\skpatch.exe
 - SHA-1 : 129fb59a1b0a5ec531928be50afbf06f66197d60
 - AhnLab V3 : PUP/Win32.SearchKey (VT : 4/54)

 

C:\Program Files\skpatch\uninstall.exe
 - SHA-1 : 391ff8a53ae36169b3478fec956edb94b5250cee
 - AhnLab V3 : PUP/Win32.SearchKey (VT : 3/54)

 

C:\Users\(사용자 계정)\AppData\Local\Temp\sk04.exe
 - SHA-1 : 7f990f2eace5e8743ec725148b564e546a35d2e6
 - AhnLab V3 : PUP/Win32.SearchKey.R93881 (VT : 17/54)

"Windows Search Patch Drivers" 프로그램은 "C:\Program Files\skpatch" 폴더에 파일을 생성하며, Windows 시작시 ["C:\Program Files\skpatch\skpatch.exe" startup] 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.

자동 실행된 파일(skpatch.exe)은 특정 서버로부터 광고 구성값 정보를 체크하여 바탕 화면(최신영화 - 오디스크)과 즐겨찾기(파일조 - 원하는 모든것!!) 영역에 바로가기 아이콘을 생성할 수 있으며, 테스트 당시에는 정상적으로 아이콘을 생성을 수행하지 않습니다.

또한 프로그램 업데이트 정보를 체크하여 이를 통해 다음과 같은 추가적인 파일 다운로드를 진행할 수 있습니다.

  • h**p://search***.kr/en/jms.exe (SHA-1 : 2cc1786b7051a8248605a2355feae5bc3bb03dc0) - ESET : a variant of Win32/TrojanClicker.Agent.NVJ (VT : 4/54)

특정 서버로부터 다운로드된 파일은 "C:\Users\(사용자 계정)\AppData\Local\Temp\jms.exe" 파일로 생성된 후 5분 30초 가량 자동 실행되도록 구성되어 있습니다.

실행된 파일(jms.exe)은 외형적으로는 표시되지 않도록 백그라운드 방식으로 특정 검색 사이트에 검색 키워드 값을 전송하여 검색을 수행하는 동작을 확인할 수 있으며, 이는 해당 웹 사이트에 등록된 다양한 광고 노출을 목적으로 한 것으로 추정됩니다.

또한 다양한 웹 사이트를 5분 30초 가량 지속적으로 연결을 시도하여 불필요한 트래픽 유발이 이루어집니다.

프로그램 삭제는 제어판에 등록된 "Windows Search Patch Drivers" 삭제 항목을 이용하여 삭제가 가능하며, 프로그램 삭제 후에는 추가적으로 다음의 파일을 찾아 삭제하시기 바랍니다.

우선 Windows 작업 관리자를 실행하여 메모리에 상주하는 jms.exe 프로세스가 존재할 경우 종료한 후, "C:\Users\(사용자 계정)\AppData\Local\Temp\jms.exe" 파일을 찾아 삭제하시기 바랍니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\skpatch
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - skpatchInit = "C:\Program Files\skpatch\skpatch.exe" startup
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\skpatch

 

"Windows Search Patch Drivers" 광고 프로그램은 부팅 후 사용자 몰래 다양한 웹 사이트 접속 행위를 백그라운드 방식으로 진행하여 트래픽을 유발하여 속도 저하를 유발할 수 있으므로 설치되지 않도록 주의하시기 바랍니다.