울지않는벌새 : Security, Movie & Society

검색 도우미 : NEWSPOT insu24 (Remove only)

벌새::Analysis

일전에 "ADFORCE ecubekorea (Remove only)" 광고 프로그램이 설치된 환경에서 광고 팝업창을 통해 연결된 웹 사이트에서 ActiveX 설치 방식으로 추가적인 광고 프로그램을 설치를 유도하는 사례가 있었습니다.

 

최근 관련 사이트에서 배포하는 파일의 ActiveX 배포자 정보가 수정되어 설치를 유도하는 부분이 재확인하여 최종 설치가 이루어지는 "NEWSPOT insu24 (Remove only)" 광고 프로그램에 대해 살펴보도록 하겠습니다.

NEWSPOT 광고 프로그램 시리즈는 "NEWSPOT [배포 ID] (Remove only)" 패턴으로 프로그램 이름을 등록하며 현재까지 다음과 같은 다양한 변종 프로그램이 존재하고 있습니다.

  1. NEWSPOT 11am (Remove only)
  2. NEWSPOT 62moa (Remove only)
  3. NEWSPOT auraj (Remove only)
  4. NEWSPOT bongjashop (Remove only)
  5. NEWSPOT dailymonday (Remove only)
  6. NEWSPOT darkvictory (Remove only)
  7. NEWSPOT garconne (Remove only)
  8. NEWSPOT liphop (Remove only)
  9. NEWSPOT priceclub (Remove only)
  10. NEWSPOT smallman (Remove only)

배포되는 방식을 살펴보면 특정 웹 사이트 접속시 "이 웹 사이트에서 '제이디컴'에서 배포한 'insu24_NEWSPOT_AX.exe' 추가 기능을 설치하려고 합니다."라는 ActiveX 설치창이 생성되어 2014년 10월 14일경부터 배포가 이루어지고 있습니다.

이를 통해 사용자가 설치를 진행할 경우 특정 서버에 등록된 ActiveX 설치 파일<SHA-1 : 8dc65ebe47d1a917ea4114a87b47e553951ee4f5 - AhnLab V3 365 Clinic : PUP/Win32.Helper.C596883 (VT : 2/54)>을 "C:\Windows\Downloaded Program Files\insu24_NEWSPOT_AX.exe" 파일로 다운로드 및 실행하여 "NEWSPOT 설치" 창을 생성하여 설치가 진행됩니다.

 

실행된 파일은 "C:\Users\(사용자 계정)\AppData\Roaming\NEWSPOT.AX\insu24_NEWSPOT.exe" 파일(SHA-1 : 39c44f3f9d8bf6b8652846a734a02d82421b588a)을 생성하여 다음과 같은 프로그램 설치가 진행된 후 ActiveX 설치 파일(insu24_NEWSPOT_AX.exe)은 자가 삭제 처리됩니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Users\(사용자 계정)\AppData\Roaming\NEWSPOT.AX

C:\Users\(사용자 계정)\AppData\Roaming\NEWSPOT.AX\insu24_NEWSPOT.exe

C:\Users\(사용자 계정)\AppData\Roaming\NEWSPOT
C:\Users\(사용자 계정)\AppData\Roaming\NEWSPOT\insu24.ico
C:\Users\(사용자 계정)\AppData\Roaming\NEWSPOT\NEWSPOT.exe :: 시작 프로그램 등록 파일, 메모리 상주 프로세스
C:\Users\(사용자 계정)\AppData\Roaming\NEWSPOT\NEWSPOTAX.dll :: "NEWSPOTInstall Class" ActiveX 컨트롤 등록 파일
C:\Users\(사용자 계정)\AppData\Roaming\NEWSPOT\uninstall.exe :: 프로그램 삭제 파일
C:\Users\(사용자 계정)\AppData\Roaming\SQUARE.db
C:\Users\(사용자 계정)\Desktop\보험24.lnk

제이디컴 디지털 서명이 포함된 "NEWSPOT insu24 (Remove only)" 프로그램은 숨김(H) 속성값을 가진 폴더 내의 "C:\Users\(사용자 계정)\AppData\Roaming\NEWSPOT" 폴더 내에 파일을 생성합니다.

Windows 시작시 "C:\Users\(사용자 계정)\AppData\Roaming\NEWSPOT\NEWSPOT.exe" 파일(SHA-1 : 212e94806b5732025261d87cfc1123a746e06627)을 시작 프로그램으로 등록하여 자동 실행되어 광고 구성값 정보를 체크한 후 메모리에 상주합니다.

프로그램이 설치된 환경에서는 바탕 화면에 특정 파트너 아이디(ID)가 포함된 "보험24" 바로가기 아이콘이 생성되어 관련 웹 사이트로 연결되도록 구성되어 있습니다.

 

이름

 NEWSPOTInstall Class

게시자

 제이디컴

유형

 ActiveX 컨트롤

CLSID

 {760762F5-319C-4F99-839B-CF7CCBE6E1C9}

파일

 C:\Users\(사용자 계정)\AppData\Roaming\NEWSPOT\NEWSPOTAX.dll

 

또한 "C:\Users\(사용자 계정)\AppData\Roaming\NEWSPOT\NEWSPOTAX.dll" 파일(SHA-1 : 6a6dd33672d9607494cf3f5c0b7edb940fc221a5)을 "NEWSPOTInstall Class" ActiveX 컨트롤 값으로 등록하여 보험24 웹 사이트에서 ActiveX 컨트롤이 동작하도록 구성되어 있습니다.

외형적인 광고 동작을 확인해보면 특정 검색 키워드 값을 이용하여 인터넷 검색시 시스템 트레이 알림 아이콘 상단에 "powered by NEWSPOT" 광고 팝업창이 주기적으로 생성되는 동작을 확인할 수 있습니다.

 

"NEWSPOT insu24 (Remove only)" 광고 프로그램 삭제 방법

광고 동작 중지 및 프로그램 삭제를 위해서는 Windows 작업 관리자를 실행하여 메모리에 상주하는 NEWSPOT.exe 프로세스를 찾아 종료하시기 바랍니다.

그 후 체크잇(CheckIt : www.checkitinfo.com) 또는 제어판에 등록된 "NEWSPOT insu24 (Remove only)" 삭제 항목을 찾아 삭제를 진행하시기 바랍니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - NEWSPOT = "C:\Users\(사용자 계정)\AppData\Roaming\NEWSPOT\NEWSPOT.exe"
HKEY_CURRENT_USER\Software\NEWSPOT
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\{A87A1DF8-DF39-46D0-A926-851E90E27508}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\NEWSPOTAX.DLL
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{760762F5-319C-4F99-839B-CF7CCBE6E1C9}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{C823AF68-C036-4B80-A519-5D4B53AD436E}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\NEWSPOTAX.NEWSPOTInstall
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\NEWSPOTAX.NEWSPOTInstall.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{D2E07289-1A60-41F4-AB81-5FBFB30D6915}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{760762F5-319C-4F99-839B-CF7CCBE6E1C9}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
NEWSPOT
HKEY_LOCAL_MACHINE\SOFTWARE\NEWSPOT

 

또한 프로그램 삭제 후에는 레지스트리 편집기(regedit)를 실행하여 삭제되지 않는 "NEWSPOT" 시작 프로그램 레지스트리 값을 찾아 반드시 삭제하시기 바랍니다.

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - NEWSPOT = "C:\Users\(사용자 계정)\AppData\Roaming\NEWSPOT\NEWSPOT.exe"

해당 광고 프로그램은 기존의 ADFORCE 광고 프로그램 시리즈<※ 예 : ADFORCE cmad (Remove only), ADFORCE dlawhdtn (Remove only)>와 유사성이 강하며, 배포지에 따라 다양한 이름으로 설치가 이루어진다는 점을 고려하여 프로그램을 찾아 삭제하시기 바랍니다.