본문 바로가기

벌새::Analysis

"Micro Security Service + microengine" 기능을 제거하지 않는 appone 광고 프로그램 주의 (2015.4.17)

728x90
반응형

특정 인터넷 쇼핑몰 이용시 사용자 몰래 제휴 코드를 추가하며 프로그램 삭제 이후에도 지속적으로 동작하는 국내에서 제작된 appone 광고 프로그램<SHA-1 : 3e132db7c4839bae4ec02dd577adff1d851d2371 - Avira : ADWARE/Searchclick.6180560 (VT : 14/57)>에 대해 살펴보도록 하겠습니다.

해당 광고 프로그램은 2015년 1월경부터 배포가 이루어졌으며 기존의 SearchClick 계열의 "micro + micro 1.0.0.1" 광고 프로그램의 변종으로 확인되고 있습니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Program Files\appone
C:\Program Files\appone\apponed.exe :: 시작 프로그램(appone) 등록 파일
C:\Program Files\appone\apponei.exe
C:\Program Files\appone\uninstall.exe :: 프로그램 삭제 파일
C:\Windows\microengine.dll :: BHO 등록 파일
C:\Windows\microsecurity.exe :: 서비스(Micro Security Service) 등록 파일, 메모리 상주 프로세스
C:\Windows\System32\msvcr110.dll

 

[생성 파일 진단 정보]

 

C:\Program Files\appone\apponed.exe
 - SHA-1 : b81745c65fab0c5179db994d27fbdb2034c7d76d
 - ESET : a variant of Win32/AdWare.Searchclick.A (VT : 6/57)

 

C:\Program Files\appone\apponei.exe
 - SHA-1 : 246c169073e721f21cf458f3261277c17eb55603
 - Dr.Web : Trojan.Click3.10700 (VT : 3/55)

 

C:\Windows\microengine.dll
 - SHA-1 : 846109b499ebccd2d6c30253eb41fd58051192fe
 - ESET : a variant of Win32/AdWare.Searchclick.A (VT : 4/55)

 

C:\Windows\microsecurity.exe
 - SHA-1 : 71407ecd9c6132215e2b9f51cb24c6dbbad71f15
 - ESET : Win32/Adware.Searchclick.B (VT : 3/57)

"FAMOUS SOLUTION Co.LTD,,," 디지털 서명이 포함된 appone 광고 프로그램은 "C:\Program Files\appone" 폴더와 Windows 폴더에 파일을 각각 생성합니다.

 

1. appone 시작 프로그램 등록 정보

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - appone = "C:\Program Files\appone\apponed.exe"

Windows 시작시 appone 시작 프로그램 등록값을 통해 "C:\Program Files\appone\apponed.exe" 파일을 자동 실행하도록 구성되어 있습니다.

이를 통해 특정 서버에 사용자 배포 코드, Mac Address, IP, 운영 체제 종류, 화면 해상도, Internet Explorer 버전 정보를 전송하여 실행 카운터(Counter)를 체크한 후 종료 처리됩니다.

 

2. "Micro Security Service" 서비스 등록 정보

"Micro Security Service (표시 이름 : Micro Service)" 서비스 항목을 등록하여 시스템 시작시 "C:\Windows\microsecurity.exe" 파일을 자동 실행하도록 구성되어 있습니다.

  • h**p://211.210.115.**/app/bho/microengine.dll (SHA-1 : b7c4f346e5039a03a44b913e0bbe203cf786eed2) - AhnLab V3 365 Clinic : PUP/Win32.Helper.C681592 (VT : 10/56)

실행된 서비스 파일(microsecurity.exe)은 BHO 등록값을 체크하여 파일이 삭제되었거나 구버전인 경우 특정 서버에서 microengine.dll 파일을 다운로드하여 재등록한 후 메모리에 상주합니다.

 

3. microengine 브라우저 도우미 개체(BHO) 등록 정보

 

이름

 microengine

게시자

 FAMOUS SOLUTION Co.LTD,,,

유형

 브라우저 도우미 개체

CLSID

 {358D8A21-5EFC-46CB-AAA6-B1552639222D}

폴더 / 파일

 C:\Windows\microengine.dll

 

appone 광고 프로그램은 Internet Explorer 웹 브라우저의 확장 프로그램에 microengine 브라우저 도우미 개체(BHO)를 등록하여 웹 브라우저 실행시 "C:\Windows\microengine.dll" 광고 모듈을 로딩하도록 구성되어 있습니다.

이를 통해 Internet Explorer 웹 브라우저 실행을 통해 11번가, G마켓, 옥션과 같은 특정 인터넷 쇼핑몰 사이트를 이용하는 과정에서 제휴 코드를 사용자 몰래 추가하여 특정 조건을 만족시킬 경우 수익이 발생할 것으로 추정됩니다.

 

appone 프로그램 삭제 방법

(a) "보조프로그램 → 명령 프롬프트" 메뉴를 "관리자 권한으로 실행"하여 생성된 명령 프롬프트 창에 [sc stop "Micro Security Service"] 명령어를 입력 및 실행하여 서비스 파일을 종료 처리하시기 바랍니다.

(b) Internet Explorer 웹 브라우저를 종료한 상태에서 제어판 또는 체크잇(CheckIt : www.checkitinfo.com) 프로그램에 등록된 appone 삭제 항목을 이용하여 삭제하시기 바랍니다.

 

하지만 제어판을 통한 프로그램 삭제 이후에도 Windows 폴더에 등록된 파일, 자동 실행 및 BHO 등록값을 제거하지 않고 시스템 시작시마다 자동 실행되어 광고 기능을 지속적으로 수행하므로 다음과 같은 추가적인 제거를 진행하시기 바랍니다.

(c) "보조프로그램 → 명령 프롬프트" 메뉴를 "관리자 권한으로 실행"하여 생성된 명령 프롬프트 창에 [sc delete "Micro Security Service"] 명령어를 입력 및 실행하여 서비스 등록값을 자동 삭제하시기 바랍니다.

 

(d) Internet Explorer 웹 브라우저를 반드시 종료한 상태에서 다음의 폴더(파일)를 찾아 직접 삭제하시기 바랍니다.

  • C:\Program Files\appone
  • C:\Windows\microengine.dll
  • C:\Windows\microsecurity.exe

(e) 레지스트리 편집기(regedit)를 실행하여 BHO 등록값으로 추가된 "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer

\Browser Helper Objects\{358D8A21-5EFC-46CB-AAA6-B1552639222D}" 값을 찾아 삭제하시기 바랍니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_LOCAL_MACHINE\SOFTWARE\appone
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{358D8A21-5EFC-46CB-AAA6-B1552639222D}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{625C75AF-1128-47A1-B68A-B135108E6118}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\microengine.Helper
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\microengine.Helper.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{8ED0B5EA-5202-4B20-9DE6-8B1B14738D35}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{358D8A21-5EFC-46CB-AAA6-B1552639222D}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - appone = "C:\Program Files\appone\apponed.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\appone
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Micro Security Service

 

appone 광고 프로그램은 제어판을 통해 정상적으로 프로그램 삭제를 지원하는 것처럼 되어 있지만 프로그램 삭제 이후에도 핵심적인 광고 기능을 유지하여 지속적인 수익 창출을 수행할 수 있으므로 주의하시기 바랍니다.

 


728x90
반응형