인터넷 검색 및 웹 사이트 접속시 다양한 광고창을 생성하는 국내에서 제작된 "Windows Savepoop" 광고 프로그램에 대해 살펴보도록 하겠습니다.
해당 프로그램의 기존 배포 방식은 사용자에 의한 프로그램 삭제를 방해할 목적으로 제어판에 등록하지 않는 방식으로 설치가 이루어지고 있던 세이브팝(Savepop) 악성 광고 프로그램의 변종이므로 참고하시기 바랍니다.
대표적인 배포 방식을 살펴보면 프루나(Pruna) P2P 파일 공유 프로그램이 설치된 환경에서 업데이트 창을 통해 사용자의 눈을 속일 목적으로 매우 좁은 영역에 "SavePop" 설치 항목을 통해 설치되고 있습니다.
이를 통해 설치가 진행되면 특정 서버로부터 설치 파일<SHA-1 : 61a39e29657f57ca703570c7dee7e6f7ccd33b95 - AhnLab V3 : Adware/Win32.KorAd (VT : 33/56)>을 다운로드하여 "C:\Users\(사용자 계정)\AppData\Roaming\Savepop\savepop_agent.exe" 파일<SHA-1 : 64059d5acd0a6e2dc52e135f4e3c998382c70284 - Kaspersky : not-a-virus:AdWare.Win32.PopAd.aqx (VT : 26/52)>을 임시 생성하여 "Windows Savepoop" 광고 프로그램을 설치한 후 자가 삭제 처리됩니다.
C:\Users\(사용자 계정)\AppData\Roaming\Savepop
C:\Users\(사용자 계정)\AppData\Roaming\Savepop\jjangfile_new.dll
C:\Users\(사용자 계정)\AppData\Roaming\Savepop\jjangfile.dll
C:\Users\(사용자 계정)\AppData\Roaming\Savepop\savepop.exe :: 메모리 상주 프로세스
C:\Users\(사용자 계정)\AppData\Roaming\Savepop\savepopagent.exe :: 예약 작업(Savepop) 등록 파일
C:\Users\(사용자 계정)\AppData\Roaming\Savepop\savepopprotector32.sys
C:\Users\(사용자 계정)\AppData\Roaming\Savepop\savepopprotector64.dll
C:\Users\(사용자 계정)\AppData\Roaming\Savepop\savepopuninstall.exe :: 프로그램 삭제 파일
C:\Windows\System32\drivers\savepopprotector32.sys :: 서비스 드라이버(savepopprotector32) 등록 파일
C:\Windows\System32\Tasks\Savepop
C:\Users\(사용자 계정)\AppData\Roaming\Savepop\jjangfile_new.dll
- SHA-1 : 4935f60c351602ce5ede7beece3f2b3d206d93d8
- AhnLab V3 365 Clinic : PUP/Win32.KeywordPop (VT : 9/54)
C:\Users\(사용자 계정)\AppData\Roaming\Savepop\jjangfile.dll
- SHA-1 : 77ed507754d850c14af3a61633bae19263db1965
- AhnLab V3 365 Clinic : PUP/Win32.HubHelper (VT : 23/54)
C:\Users\(사용자 계정)\AppData\Roaming\Savepop\savepop.exe
- SHA-1 : 40ab1c219fa53b9180f8c5ae61b63c3f2c8a9dbc
- AhnLab V3 365 Clinic : PUP/Win32.savepop (VT : 9/54)
C:\Users\(사용자 계정)\AppData\Roaming\Savepop\savepopagent.exe
- SHA-1 : 95850458de4508b7f99595cdf95aa0c436a57b13
- AVG : Generic.E0E (VT : 9/55)
C:\Users\(사용자 계정)\AppData\Roaming\Savepop\savepopprotector32.sys
- SHA-1 : 7677d3d9ab6721b39c8c3403995df59a7aa8c4a2
- Avira : TR/Rootkit.Gen2 (VT : 2/54)
C:\Users\(사용자 계정)\AppData\Roaming\Savepop\savepopuninstall.exe
- SHA-1 : 1a67509667814238410e93a79920388d4ed75498
- Kaspersky : not-a-virus:AdWare.Win32.PopAd.aqx (VT : 4/54)
C:\Windows\System32\drivers\savepopprotector32.sys
- SHA-1 : 7677d3d9ab6721b39c8c3403995df59a7aa8c4a2
- Avira : TR/Rootkit.Gen2 (VT : 2/54)
"suhyeun development" 디지털 서명이 포함된 "Windows Savepoop" 광고 프로그램은 숨김(H) 속성값을 가진 폴더 내의 "C:\Users\(사용자 계정)\AppData\Roaming\Savepop" 폴더에 주요 파일을 생성합니다.
해당 프로그램은 프로그램 보호 기능을 가진 "savepopprotector32 (표시 이름 : savepopprotector32)" 서비스 드라이버 항목을 추가하여 시스템 시작시 "system32\DRIVERS\savepopprotector32.sys" 파일을 로딩하도록 등록되어 있습니다.
또한 예약 작업 영역에 Savepop 작업 스케줄러 값을 등록하여 시스템 시작시 ["C:\Users\(사용자 계정)\AppData\Roaming\Savepop\savepopagent.exe" "/run"] 파일을 자동 실행하도록 구성되어 있습니다.
- h**p://save***.co.kr/app/download/savepop_silent.exe
- h**p://save***.co.kr/app/download/savepop_update.exe
자동 실행된 savepopagent.exe 파일은 특정 서버로부터 프로그램 업데이트 정보를 체크하여 추가적인 파일 다운로드가 가능할 수 있습니다.
그 후 광고 기능을 수행하는 "C:\Users\(사용자 계정)\AppData\Roaming\Savepop\savepop.exe" 파일을 로딩하여 메모리에 상주시키며, 파일 실행시 PC 환경을 체크하여 Fiddler Web Debugger, Wireshark, WinPcap 분석 도구를 비롯한 특정 조건에서는 실행되지 않도록 제작되어 있습니다.
그러므로 위와 같은 조건을 체크하는 광고 프로그램의 동작을 방해하기 위해서는 분석 프로그램을 일부 설치해 두시면 많은 도움을 받을 수 있습니다.
메모리에 상주하는 savepop.exe 파일은 추가적으로 jjangfile_new.dll, jjangfile.dll 광고 모듈을 로딩하여 다음과 같은 광고 행위를 수행할 수 있습니다.
사용자가 인터넷 검색 및 웹 사이트 접속시 특정 광고 서버에 검색 키워드, 광고 모듈, 검색 엔진 정보를 전송하여 특정 제휴 코드가 포함된 다양한 광고창을 생성할 수 있습니다.
■ "Windows Savepoop" 광고 프로그램 삭제 방법
광고 기능 중지 및 프로그램 삭제를 위해서는 Windows 작업 관리자를 실행하여 메모리에 상주하는 savepop.exe 프로세스를 찾아 종료하시기 바랍니다.
그 후 제어판 또는 체크잇(CheckIt : www.checkitinfo.com) 프로그램을 이용하여 "Windows Savepoop" 삭제 항목을 통해 프로그램 삭제를 진행할 수 있으며, 프로그램 삭제 후에는 추가적으로 "C:\Users\(사용자 계정)\AppData\Roaming\Savepop" 폴더를 찾아 삭제하시기 바랍니다.
HKEY_CURRENT_USER\Software\Savepop
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
Savepop
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{2B3618D3-B5BE-401C-9310-F679F4635FE2}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Savepop
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\savepopprotector32
세이브팝(Savepop) 광고 프로그램이 설치된 환경에서는 Internet Explorer 웹 브라우저를 이용시 속도 저하 유발 및 광고창 생성으로 불편을 경험할 것으로 판단되므로 설치되지 않도록 주의하시기 바랍니다.