울지않는벌새 : Security, Movie & Society

부팅시 "Click next to contine" 설치창을 생성하는 해외 광고 배포 사례 (2015.4.7)

벌새::PUP Info

최근 해외 광고 프로그램 설치를 목적으로 Windows 부팅시 다음과 같은 설치창을 자동으로 생성하여 다수의 제휴 프로그램 설치를 유도하는 사례가 확인되고 있습니다.

자동 생성된 창에서는 "Click next to contine"라는 메시지를 통해 EZ Downloader, SalePlus 쿠폰 생성, YouTube 관련 위장 광고 프로그램 등을 다수 설치할 수 있습니다.

이미 기존의 해외 광고 프로그램 유포 사례에서와 매우 흡사한 해당 설치창은 사용자의 부주의를 통해 허용(Accept) 버튼을 클릭할 경우 다양한 광고 프로그램 및 광고 설치 목적의 추가적인 파일 생성을 통해 상당한 불편을 유발할 수 있습니다.

 

현재 메일을 통한 문의 및 지식인을 통해 수집 및 해결한 정보를 바탕으로 다양한 폴더(파일)명으로 추가된 해당 광고 프로그램 설치 목적으로 제작된 악성 파일의 기본 정보는 다음과 같습니다.

  • 현재 사용자 : C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
  • 모든 사용자 : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup

Windows 시작시 시작프로그램 폴더 영역에 다수의 바로가기 등록값을 통해 다음과 같은 임의의 폴더 내의 랜덤(Random)한 파일(MD5 : CD5379BAB457E6334BCFF619B8467C1A, MD5 : EEA6B7C85AB8D7807BA42442FAD828C5)을 자동 실행할 수 있습니다.

 

[자동 실행 파일 등록 정보]

 

C:\Program Files\{2BDBF }\DF8.exe
C:\Program Files\{2E7D7 }\2E0.exe
C:\Program Files\{4401D }\1800.exe
C:\Program Files\{6BA71 }\F588.exe
C:\Program Files\{73543 }\E80.exe
C:\Program Files\{7F0E3 }\B40.exe
C:\Program Files\{EFC1D }\640.exe

 

※ 해당 폴더와 파일은 변종에 따라 다양하게 생성될 수 있습니다.

실행된 다수의 파일은 다음과 같은 임시 폴더(C:\Users\(사용자 계정)\AppData\Local\Temp)에 자신을 복사하여 원본 파일의 위치를 숨기는 방식으로 메모리에 상주하여 "Click next to contine" 창을 생성합니다.

 

이렇게 매번 Windows 부팅시마다 생성되는 설치창을 통해 사용자의 누적된 피로감을 유발하여 부주의하게 버튼을 클릭할 경우 다수의 해외 광고 프로그램이 설치되는 문제가 발생할 수 있습니다.

 

그러므로 위와 같은 증상이 발생하는 사용자는 다음과 같은 조치를 통해 문제를 해결하시기 바랍니다.

 

(a) Windows 작업 관리자를 실행하여 DF8.exe, 2E0.exe, 1800.exe, F588.exe, E80.exe, B40.exe, 640.exe, Download.exe 등과 같은 패턴의 프로세스 이름을 찾아서 종료하시기 바랍니다.(※ 일반적으로 의미없는 "영문+숫자" 또는 Download 이름으로 생성됩니다.)

 

(b) "C:\Users\(사용자 계정)\AppData\Local\Temp" 폴더 내에서 종료한 프로세스 이름과 동일한 파일을 모두 찾아 삭제하시기 바랍니다.(※ exe 실행 파일의 아이콘 모양이 모두 동일합니다.)

 

(c) "C:\Program Files\{2BDBF...}" 패턴을 가진 폴더를 찾아서 내부에 종료한 프로세스 이름과 동일한 파일이 존재할 경우 폴더 자체를 삭제하시기 바랍니다.(exe 실행 파일의 아이콘 모양이 모두 동일합니다.)

 

(d) 다음의 폴더 내에 존재하는 바로가기 파일 중 종료한 프로세스 이름과 동일한 파일이 존재할 경우 삭제하시기 바랍니다.

  • C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\1800.lnk
  • C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\2E0.lnk
  • C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\640.lnk
  • C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\B40.lnk
  • C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\DF8.lnk
  • C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\E80.lnk
  • C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\F588.lnk
  • C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1800.lnk
  • C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\2E0.lnk
  • C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\640.lnk
  • C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\B40.lnk
  • C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\DF8.lnk
  • C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\E80.lnk
  • C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\F588.lnk

해외 사이트 접속시 다운로드되는 파일 또는 해외 프로그램을 설치 과정에서 부주의한 사용자 잘못으로 인하여 PUP 프로그램이 설치되는 과정에서 사용자 몰래 추가적으로 등록된 파일은 지속적인 광고 프로그램 설치를 유도할 수 있으므로 주의하시기 바랍니다.

 

또한 안내하는 내용으로 문제를 해결할 수 없는 경우에는 "광고 프로그램 삭제 관련 문의 방법" 게시글을 참고하여 Runscanner 프로그램을 통해 제작된 run 파일을 메일을 통해 문의해 주시면 도움을 드리도록 하겠습니다.