본문 바로가기

벌새::Analysis

마이크로소프트(Microsoft) 파일로 위장한 포털 자동 검색 프로그램 주의 (2015.6.23)

728x90
반응형

2015년 4월 8일경부터 일본(Japan)에 위치한 웹 서버를 통해 운세보기 프로그램(SHA-1 : b738113af82e0ea6316595d31ce1c5d3b21b0425)으로 설치되어 사용자 몰래 포털 사이트 인터넷 검색을 자동으로 수행하는 악성 광고 프로그램에 대해 살펴보도록 하겠습니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Program Files\unse
C:\Program Files\unse\desk_icon.ico
C:\Program Files\unse\eula.txt
C:\Program Files\unse\IFUA99C.inf
C:\Program Files\unse\Unse.exe :: 올해운세 프로그램 실행 파일
C:\Windows\IFinst27.exe
C:\Windows\svcnetwork.exe :: 시작 프로그램(SvcNetwork) 등록 파일, 메모리 상주 프로세스
C:\Users\(사용자 계정)\Desktop\운세보기.LNK

해당 프로그램은 "C:\Program Files\unse" 폴더에 운세 관련 파일을 생성하며, Windows 폴더 내에는 마이크로소프트(Microsoft) 업체에서 제작한 것으로 위장한 svcnetwork.exe 파일(Host Process for Windows Service)을 추가합니다.

 

Windows 시작시 "C:\Windows\svcnetwork.exe" 파일(SHA-1 : f9a7fe49b6a79400d9307d7c4ca8b30ff19a7fb9)을 시작 프로그램(SvcNetwork)으로 등록하여 자동 실행되어 메모리에 상주하도록 구성되어 있습니다.

설치된 프로그램은 바탕 화면에 "운세보기" 바로가기 아이콘을 생성하여 사용자가 실행시 "C:\Program Files\unse\Unse.exe" 파일(SHA-1 : 04c9eb6572d0115159be607c9b65a158beda00f6)을 로딩하여 "올해운세" 프로그램을 수행하도록 제작되어 있습니다.

 

하지만 해당 프로그램의 모습은 다음과 같은 악의적인 행위를 위한 포장일 뿐 프로그램 배포 목적은 다음과 같습니다.

자동 실행된 "C:\Windows\svcnetwork.exe" 파일은 일본(Japan)에 위치한 특정 서버로부터 일정 시간 주기로 검색 키워드 값을 받아옵니다.

이를 통해 주기적으로 네이버(Naver) 또는 다음카카오(DaumKakao) 포털 검색 서비스에 검색 키워드를 입력하여 자동으로 인터넷 검색을 수행합니다.

프로그램이 설치된 PC 화면상에는 표시되지 않지만 백그라운드 방식으로 위와 같은 특정 검색 키워드를 이용한 인터넷 검색이 자동으로 진행되어 트래픽 및 시스템 속도 저하를 유발할 수 있습니다.

 

운세보기 광고 프로그램 삭제 방법

(a) Windows 작업 관리자를 실행하여 메모리에 상주하는 svcnetwork.exe 프로세스를 찾아 종료하시기 바랍니다.

"C:\Windows\IFinst27.exe" -UC:\Program Files\unse\IFUA99C.inf

(b) 제어판 또는 체크잇(CheckIt : www.checkitinfo.com) 프로그램에 등록된 "운세보기 삭제" 항목을 이용하여 프로그램을 제거하시기 바랍니다.

 

프로그램 삭제 이후에도 포털 검색 행위를 수행하는 "C:\Windows\svcnetwork.exe" 악성 파일은 삭제되지 않고 지속적으로 부팅시마다 동작하므로 다음과 같이 추가적인 삭제를 진행하시기 바랍니다.

 

(c) "C:\Windows\svcnetwork.exe" 파일을 찾아 삭제한 후 레지스트리 편집기(regedit)를 실행하여 다음의 레지스트리 값을 삭제하시기 바랍니다.

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - SvcNetwork = C:\WINDOWS\svcnetwork.exe

해당 광고 프로그램은 다수의 광고 프로그램과 함께 설치되는 과정에서 이용약관을 비롯한 설치 화면을 제시하는 것으로 보이므로 실제 설치된 사용자는 극히 적을 것으로 판단됩니다.

 

하지만 외형적으로 제공되는 운세보기 기능과는 무관하게 마이크로소프트(Microsoft)로 위장한 파일로 인하여 원치않는 인터넷 검색 활동이 진행되며, 프로그램 삭제 이후에도 지속적으로 동작한다는 점에서 설치되지 않도록 주의하시기 바랍니다.

728x90
반응형