2015년 2월경부터 AppIs(앱이즈) 광고 프로그램을 통해 사용자 몰래 lnkdo 광고 프로그램을 추가적으로 설치하는 행위가 발견되고 있으며, 특히 lnkdo 광고 프로그램이 설치될 경우 Windows 및 Internet Explorer 웹 브라우저 보안 기능 약화 및 삭제에 어려움이 예상됩니다.
해당 이슈와 관련하여 확인된 Themida 패커로 제작된 배포 파일<SHA-1 : 2ac73a8041425958b0fe9c900d4669b22f854689 - ESET : a variant of Win32/AdWare.KeywordFind.D (VT : 6/57)>은 lnkdo 광고 프로그램 설치시 사용자 PC 환경을 체크하여 가상 환경인 경우 설치가 이루어지지 않는 방식으로 분석을 방해합니다.
1. AppIs(앱이즈) 1.0.4.3 광고 프로그램 정보
AppIs(앱이즈) 광고 프로그램은 2011년경부터 발견되어 현재까지 장기간 배포가 이루어지고 있습니다.
설치 과정을 살펴보면 배포 파일 실행을 통해 특정 서버로부터 파일을 다운로드하여 "C:\Users\(사용자 계정)\AppData\Local\Temp\WSLutils.exe" 파일<SHA-1 : 66d18ebdc472566f458c6e44cb6138615bc5dd9d - AhnLab V3 365 Clinic : PUP/Win32.GoodComms.C164975 (VT : 5/57)>로 생성 및 실행되어 AppIs(앱이즈) 설치 파일(ISAppIs.exe)을 추가 다운로드합니다.
추가 다운로드된 설치 파일은 "C:\Users\(사용자 계정)\AppData\Local\Temp\ISutils.exe" 파일<SHA-1 : d1ce341318bb2df22b2fbd4a8ad111af11baa4db - AhnLab V3 365 Clinic : PUP/Win32.AppIs.R37962 (VT : 7/57)>로 생성 및 실행되어 다음과 같은 AppIs(앱이즈) 광고 프로그램 설치를 진행합니다.
C:\Users\(사용자 계정)\AppData\Local\AppIs
C:\Users\(사용자 계정)\AppData\Local\AppIs\appis.exe :: 시작 프로그램(appis.exe) 등록 파일, 예약 작업(AppIs) 등록 파일, 메모리 상주 프로세스
C:\Users\(사용자 계정)\AppData\Local\AppIs\free.exe
C:\Users\(사용자 계정)\AppData\Local\AppIs\observer.dll
C:\Users\(사용자 계정)\AppData\Local\AppIs\pintotask.vbs
C:\Users\(사용자 계정)\AppData\Local\AppIs\unins002.dat
C:\Users\(사용자 계정)\AppData\Local\AppIs\unins002.exe :: 앱이즈(AppIs) 프로그램 삭제 파일
C:\Users\(사용자 계정)\AppData\Local\AppIs\update.dat
C:\Users\(사용자 계정)\AppData\Local\AppIs\update.exe :: 시작 프로그램(update.exe) 등록 파일, 예약 작업(AppIsUpdate) 등록 파일
C:\Users\(사용자 계정)\AppData\Local\Temp\ISutils.exe
C:\Users\(사용자 계정)\AppData\Local\Temp\WSLutils.exe
C:\Windows\System32\Tasks\AppIs
C:\Windows\System32\Tasks\AppIsUpdate
C:\Users\(사용자 계정)\AppData\Local\AppIs\appis.exe
- SHA-1 : a13d1b5232597da4efb962bb83ba6754f9e5cbdf
- Hauri ViRobot : Adware.AppIs.1004632[h] (VT : 5/56)
"goodcomms Inc." 디지털 서명이 포함된 AppIs(앱이즈) 광고 프로그램은 숨김(H) 속성값을 가진 폴더 내의 "C:\Users\(사용자 계정)\AppData\Local\AppIs" 폴더에 파일을 생성합니다.
- 예약 작업(AppIs) 등록값 : C:\Users\(사용자 계정)\AppData\Local\AppIs\appis.exe
- 예약 작업(AppIsUpdate) 등록값 : C:\Users\(사용자 계정)\AppData\Local\AppIs\update.exe admin
- 시작 프로그램(appis.exe) 등록값 : C:\Users\(사용자 계정)\AppData\Local\AppIs\appis.exe
- 시작 프로그램(update.exe) 등록값 : C:\Users\(사용자 계정)\AppData\Local\AppIs\update.exe (SHA-1 : b011780509f292341aeca4f17946872b3ab8a22e)
AppIs(앱이즈) 광고 프로그램은 시스템 시작시 예약 작업 영역에 AppIs, AppIsUpdate 작업 스케줄러와 appis.exe, update.exe 시작 프로그램 등록값을 통해 자동 실행하여 프로그램 업데이트 및 광고 구성값을 체크한 후 광고 기능을 수행하는 "C:\Users\(사용자 계정)\AppData\Local\AppIs\appis.exe" 파일을 메모리에 상주시킵니다.
이를 통해 인터넷 검색을 통한 웹 사이트 접속시 Internet Explorer 웹 브라우저 상단에 AppIs 광고바가 생성되는 것을 확인할 수 있습니다.
2. lnkdo 광고 프로그램 정보
lnkdo 광고 프로그램은 AppIs(앱이즈) 광고 프로그램 설치 과정에서 사용자 PC 환경(Wireshark, Fiddler Web Debugger, Simtec Limited(HttpWatch), Colasoft, EffeTech, WinPcap, XK72 Ltd, IE Inspector, VMware, Oacle VM VirtualBox)을 체크하여 설치 여부가 결정됩니다.
- h**p://down.lnk**.com/ldo1/ver5/lnkdo.dll (SHA-1 : 768acf6408c03d5e460f8ff104cd566ddba74b00) - ESET : a variant of Win32/AdWare.KeywordFind.D (VT : 9/57)
- h**p://down.lnk**.com/ldo1/ver5/lnkdoc.exe (SHA-1 : 20522fa9ec1bbc54628173fda1cc2ef992e57a4d) - AhnLab V3 365 Clinic : PUP/Win32.LinkDouMi.C740312 (VT : 22/56)
- h**p://down.lnk**.com/ldo1/ver5/lnkdoj.dll (SHA-1 : b2ea0187693ccb71e9535001bdd4d89dd3d8c3b2) - ESET : a variant of Win32/AdWare.KeywordFind.D (VT : 6/57)
- h**p://down.lnk**.com/ldo1/ver5/lnkdou.exe (SHA-1 : fd09d552246f314256f11be6570a0c9263c36ade) - avast! : Win32:Adware-gen [Adw] (VT : 19/57)
- h**p://down.lnk**.com/ldo1/uninstall.exe (SHA-1 : 8018c2e01fda177789026d6ded896c04a1da4925) - Avira : ADWARE/KeywordFind.940264 (VT : 24/57)
이를 통해 자신을 분석하는 환경이 아닌 경우 사용자 몰래 생성 파일을 특정 서버에서 다운로드하여 다음과 같이 설치가 이루어집니다.
C:\Users\(사용자 계정)\AppData\Local\AppIs\unins000.dat
C:\Users\(사용자 계정)\AppData\Local\AppIs\unins000.exe :: "앱이즈(AppIs) + lnkdo" 프로그램 삭제 파일
C:\Users\(사용자 계정)\AppData\Roaming\lnkdo
C:\Users\(사용자 계정)\AppData\Roaming\lnkdo\lnkdo.dll :: BHO 등록 파일, 메모리 상주 광고 모듈
C:\Users\(사용자 계정)\AppData\Roaming\lnkdo\lnkdoc.exe :: 시작 프로그램(exaplc, lnkdoc) 등록 파일, 메모리 상주 프로세스
C:\Users\(사용자 계정)\AppData\Roaming\lnkdo\lnkdoj.dll
C:\Users\(사용자 계정)\AppData\Roaming\lnkdo\lnkdou.exe :: 시작 프로그램(lnkdou) 등록 파일
C:\Users\(사용자 계정)\AppData\Local\AppIs\unins000.exe
- SHA-1 : 8018c2e01fda177789026d6ded896c04a1da4925
- Avira : ADWARE/KeywordFind.940264 (VT : 24/57)
C:\Users\(사용자 계정)\AppData\Roaming\lnkdo\lnkdo.dll
- SHA-1 : 768acf6408c03d5e460f8ff104cd566ddba74b00
- ESET : a variant of Win32/AdWare.KeywordFind.D (VT : 9/57)
C:\Users\(사용자 계정)\AppData\Roaming\lnkdo\lnkdoc.exe
- SHA-1 : 20522fa9ec1bbc54628173fda1cc2ef992e57a4d
- AhnLab V3 365 Clinic : PUP/Win32.LinkDouMi.C740312 (VT : 22/56)
C:\Users\(사용자 계정)\AppData\Roaming\lnkdo\lnkdoj.dll
- SHA-1 : b2ea0187693ccb71e9535001bdd4d89dd3d8c3b2
- ESET : a variant of Win32/AdWare.KeywordFind.D (VT : 6/57)
C:\Users\(사용자 계정)\AppData\Roaming\lnkdo\lnkdou.exe
- SHA-1 : fd09d552246f314256f11be6570a0c9263c36ade
- avast! : Win32:Adware-gen [Adw] (VT : 19/57)
SIAD 디지털 서명이 포함된 lnkdo 광고 프로그램은 숨김(H) 속성값을 가진 폴더 내의 "C:\Users\(사용자 계정)\AppData\Roaming\lnkdo" 폴더에 파일을 생성합니다.
- 시작 프로그램(exaplc) 등록값 : "C:\Users\(사용자 계정)\AppData\Roaming\lnkdo\lnkdoc.exe"
- 시작 프로그램(lnkdoc) 등록값 : "C:\Users\(사용자 계정)\AppData\Roaming\lnkdo\lnkdoc.exe"
- 시작 프로그램(lnkdou) 등록값 : "C:\Users\(사용자 계정)\AppData\Roaming\lnkdo\lnkdou.exe"
Windows 시작시 exaplc, lnkdoc, lnkdou 3개의 시작 프로그램 등록값을 통해 프로그램 업데이트 및 광고 구성값 체크를 통해 광고 기능을 수행하는 "C:\Users\(사용자 계정)\AppData\Roaming\lnkdo\lnkdoc.exe" 파일을 메모리에 상주시킵니다.
■ lnkdo 광고 프로그램 설치로 인한 Windows 보안 설정 변경
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
- ConsentPromptBehaviorAdmin = 5 :: 변경 전
- ConsentPromptBehaviorAdmin = 0 :: 변경 후
lnkdo 광고 프로그램은 자신의 설치 및 업데이트를 목적으로 사용자 계정 컨트롤 설정을 표시하지 않도록 비활성화합니다.
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
- NoProtectedModeBanner = 1
Internet Explorer 웹 브라우저의 인터넷 영역 보안 설정값에서 "보호 모드 사용"을 해제합니다.
또한 "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies
\Ext\DisableAddonLoadTimePerformanceNotifications" 레지스트리 조작을 통해 Internet Explorer 웹 브라우저의 "추가 기능 성능 알림 끄기" 기능을 활성화 처리하여 lnkdo 광고 프로그램으로 인한 웹 브라우저 속도 저하를 사용자가 인지하기 힘들게 하니다.
특히 메모리에 상주하는 "C:\Users\(사용자 계정)\AppData\Roaming\lnkdo\lnkdoc.exe" 파일은 2분 주기로 설정값을 체크하여 임의로 삭제(수정)된 경우 재설정하도록 보호 기능이 포함되어 있으며, 이 과정에서 "C:\Windows\System32\rundll32.exe" 시스템 파일을 통해 "C:\Users\(사용자 계정)\AppData\Roaming\lnkdo\lnkdoj.dll" 모듈을 로딩하여 lnkdoc.exe 프로세스를 재할당합니다.
■ 브라우저 도우미 개체(BHO) 등록 정보
lnkdo 광고 프로그램 설치시 Internet Explorer 웹 브라우저를 통한 광고 기능 수행을 목적으로 lnkdo 브라우저 도우미 개체(BHO)를 등록하는 과정에서 사용자 동의없이 사용하도록 설정됩니다.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Ext\CLSID
- {CC01FC6C-2A2F-4A64-BD86-30F1DB8CB6F4} = 1
특히 추가된 lnkdo 브라우저 도우미 개체(BHO)값은 사용자에 의한 중지를 방해할 목적으로 레지스트리 정책값에 {CC01FC6C-2A2F-4A64-BD86-30F1DB8CB6F4} 클래스 값을 추가하여 버튼을 비활성화 처리합니다.
|
이름 |
lnkdo |
|
게시자 |
SIAD |
|
유형 |
브라우저 도우미 개체 |
|
CLSID |
{CC01FC6C-2A2F-4A64-BD86-30F1DB8CB6F4} |
|
폴더 및 파일 |
C:\Users\(사용자 계정)\AppData\Roaming\lnkdo\lnkdo.dll |
그러므로 lnkdo 브라우저 도우미 개체(BHO) 버튼 활성화를 위해서는 레지스트리 편집기(regedit)를 실행하여 "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies
\Ext\CLSID\{CC01FC6C-2A2F-4A64-BD86-30F1DB8CB6F4}" 값을 찾아 삭제하시기 바랍니다.
참고로 레지스트리 값 삭제를 한 경우 Internet Explorer 웹 브라우저 실행시 lnkdo 브라우저 도우미 개체(BHO) 사용 여부를 묻는 노란색 바가 생성되어 사용자가 인지할 수 있음을 알 수 있습니다.
또한 lnkdo.dll 광고 모듈은 Internet Explorer 웹 브라우저 이외에 Windows 탐색기(explorer.exe) 실행시 RegQueryValue 체크를 통해 "HKEY_CLASSES_ROOT\CLSID\{CC01FC6C-2A2F-4A64-BD86-30F1DB8CB6F4}\InprocServer32\(기본값)" 레지스트리 값에 등록된 "C:\Users\(사용자 계정)\AppData\Roaming\lnkdo\lnkdo.dll" 모듈을 자동 로딩하도록 구성되어 있습니다.
이를 통해 5분 주기로 외부와 통신을 시도하며, 항상 메모리에 상주하는 Windows 탐색기(explorer.exe) 프로세스에 추가되어 lnkdo 광고 프로그램을 사용자가 수동으로 삭제하지 못하게 방해할 수 있습니다.
■ lnkdo 광고 프로그램 주요 기능
사용자가 웹 브라우저를 통해 특정 인터넷 쇼핑몰(웹 사이트)에 접속할 경우 암호화된 쇼핑몰 목록을 참조하여 매칭 여부를 판단합니다.(※ 대표적인 인터넷 쇼핑몰 : 11번가, G마켓, 옥션 등)
이를 통해 목록에 포함된 인터넷 쇼핑몰로 접속이 이루어진 경우 암호화된 제휴 코드를 추가하여 사용자가 조건(물품 구매, 회원 가입 등)을 만족시킬 경우 금전적 수익이 발생할 수 있습니다.
3. AppIs(앱이즈), lnkdo 광고 프로그램 삭제 방법
AppIs(앱이즈) 광고 프로그램 설치시 사용자 몰래 추가적으로 설치되는 lnkdo 광고 프로그램은 제어판에 표시하지 않는 방식으로 자신의 존재를 숨기고 있습니다.
- C:\Users\(사용자 계정)\AppData\Local\AppIs\unins000.dat
- C:\Users\(사용자 계정)\AppData\Local\AppIs\unins000.exe
특히 lnkdo 광고 프로그램 설치시 프로그램의 삭제 파일을 AppIs(앱이즈) 광고 프로그램 폴더에 추가하여 "C:\Users\(사용자 계정)\AppData\Roaming\lnkdo" 폴더 내에서는 삭제 파일을 찾을 수 없습니다.
(1) 제어판을 통한 프로그램 삭제 방법
(a) Windows 작업 관리자를 실행하여 appis.exe, lnkdoc.exe 프로세스를 찾아 종료하시기 바랍니다.
(b) Internet Explorer 웹 브라우저를 종료한 상태에서 제어판 또는 체크잇(CheckIt : www.checkitinfo.com) 프로그램에 등록된 AppIs(앱이즈) 삭제 항목을 이용하여 삭제를 진행할 수 있습니다.
- C:\Users\(사용자 계정)\AppData\Local\AppIs\unins000.exe
- C:\Users\(사용자 계정)\AppData\Local\AppIs\unins002.exe
참고로 AppIs(앱이즈) 폴더 내에는 삭제 파일이 2개 존재하며, 제어판을 통한 프로그램 삭제시에는 "C:\Users\(사용자 계정)\AppData\Local\AppIs\unins000.exe" 파일을 통해 삭제가 이루어집니다.
이를 통해 AppIs(앱이즈) 및 lnkdo 광고 프로그램이 함께 삭제가 진행되며, 추가적으로 다음의 폴더(파일)를 찾아 수동으로 삭제하시기 바랍니다.
- C:\Users\(사용자 계정)\AppData\Local\Temp\ISutils.exe
- C:\Users\(사용자 계정)\AppData\Local\Temp\WSLutils.exe
- C:\Users\(사용자 계정)\AppData\Roaming\lnkdo
HKEY_CURRENT_USER\Software\AppIs
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{39932A4E-63C1-400a-9F3D-3C1655DC5E00}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{39932A4E-63C1-400a-9F3D-3C1655DC5E00}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- appis.exe = C:\Users\(사용자 계정)\AppData\Local\AppIs\appis.exe
- update.exe = C:\Users\(사용자 계정)\AppData\Local\AppIs\update.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\AppIs(앱이즈)_is1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{5681158E-F122-491C-A0A2-687768A4E18C}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{F6DA1FE5-BFE1-46BD-926D-DA45F4EEF815}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\AppIs
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\AppIsUpdate
[생성/수정된 레지스트리 등록 정보 : lnkdo]
HKEY_CURRENT_USER\Software\Bloc
HKEY_CURRENT_USER\Software\lnkdo
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
- NoProtectedModeBanner = 1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CC01FC6C-2A2F-4A64-BD86-30F1DB8CB6F4}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\lnkdo.lnkdo
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{CC01FC6C-2A2F-4A64-BD86-30F1DB8CB6F4}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Ext
- DisableAddonLoadTimePerformanceNotifications = 1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Ext\CLSID
- {CC01FC6C-2A2F-4A64-BD86-30F1DB8CB6F4} = 1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
- ConsentPromptBehaviorAdmin = 5 :: 변경 전
- ConsentPromptBehaviorAdmin = 0 :: 변경 후
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- exaplc = "C:\Users\(사용자 계정)\AppData\Roaming\lnkdo\lnkdoc.exe"
- lnkdoc = "C:\Users\(사용자 계정)\AppData\Roaming\lnkdo\lnkdoc.exe"
- lnkdou = "C:\Users\(사용자 계정)\AppData\Roaming\lnkdo\lnkdou.exe"
(2) lnkdo 광고 프로그램 수동 삭제 방법
lnkdo 광고 프로그램의 삭제 파일(C:\Users\(사용자 계정)\AppData\Local\AppIs\unins000.exe)에 대하여 특히 해외 보안 제품 일부가 악성코드로 진단하는 문제로 인해 제어판을 통한 삭제가 이루어지지 않는 문제가 있을 수 있습니다.
그러므로 제어판을 통해 AppIs(앱이즈) 프로그램 삭제시 ""C:\Users\(사용자 계정)\AppData\Local\AppIs\unins000.exe"을(를) 찾을 수 없습니다. 이름을 올바르게 입력했는지 확인하고 다시 시도하십시오."라는 메시지가 생성된 경우에는 다음과 같은 방식으로 제거하시기 바랍니다.
(a) "C:\Users\(사용자 계정)\AppData\Local\AppIs\unins002.exe" 파일을 찾아 직접 실행하시면 AppIs(앱이즈) 광고 프로그램은 자동으로 삭제할 수 있습니다.
(b) Internet Explorer 웹 브라우저를 종료한 상태에서 "보조프로그램 → 명령 프롬프트" 메뉴를 "관리자 권한으로 실행"하여 명령 프롬프트 창을 띄운 후 Windows 작업 관리자를 실행하여 explorer.exe 프로세스(Windows 탐색기)를 찾아 종료하시기 바랍니다.
(c) 명령 프롬프트 창에 [RD /S "C:\Users\(사용자 계정)\AppData\Roaming\lnkdo"] 명령어를 입력 및 실행한 후 "Y" 입력을 통해 lnkdo 폴더 및 내부 파일을 삭제할 수 있습니다.
(d) Windows 작업 관리자의 "파일 → 새 작업(실행...)" 메뉴를 실행하여 explorer.exe 파일명을 입력하여 실행하시면 Windows 탐색기가 재실행됩니다.
(e) 이후 레지스트리 편집기(regedit)를 실행하여 lnkdo 광고 프로그램 설치로 인해 생성(수정)된 레지스트리 값을 찾아 삭제 및 수정하시면 됩니다.
이번 사례와 같이 AppIs(앱이즈) 광고 프로그램 설치시 사용자 몰래 추가적인 lnkdo 광고 프로그램을 설치하여 화면 상으로는 표시되지 않는 인터넷 쇼핑몰 접속시 제휴 코드 삽입 방식으로 동작하는 과정에서 광고 프로그램의 기능을 목적으로 Windows 및 Internet Explorer 웹 브라우저의 보안 설정을 임의로 변경하여 보안을 취약하게 만들 수 있는 것을 알 수 있었습니다.
그러므로 이런 광고 프로그램이 설치된 경우 임의로 변경된 보안 설정은 프로그램 삭제시 자동으로 복구되지 않는 문제가 있을 수 있으므로 원치않는 광고 프로그램이 설치되지 않도록 주의하시기 바랍니다.