기존에 XecureCrossWeb 악성 프로그램을 통해 네이버(Naver) 검색 순위 조작을 시도하던 조직이 최근 nskCapp 악성 프로그램을 이용하여 유포하는 부분을 확인하였습니다.
해당 악성 프로그램은 "LH Soft" 디지털 서명이 포함된 배포 파일<SHA-1 : f2e07cb8d8fdedd51dbd57246521c52282c6dcb6 - AhnLab V3 365 Clinic : PUP/Win32.Fakex.C722457 (VT : 28/55)>을 통해 유포가 이루어지고 있으며, 설치 및 동작시 Wireshark, WinPcap, Windows Sysinternal, Network Analyzer 분석 도구를 체크하여 분석을 방해하고 있습니다.
또한 프로그램 설치 환경 중 PC방 관리 솔루션 프로세스를 체크하여 프로그램 설치 여부를 결정합니다.
배포 파일은 특정 서버에서 설치 파일<SHA-1 : 8cc08797929e44cd87bc41dce825b130693b1489 - 알약(ALYac) : Trojan.GenericKD.2591876 (VT : 15/55)>을 추가 다운로드하여 "C:\WINDOWS\nskSetup.exe" 파일로 생성하여 설치가 진행되며 배포 파일은 자가 삭제 처리됩니다.
C:\Program Files\nskCapp
C:\Program Files\nskCapp\nskCapp.exe :: 시작 프로그램(nskCapp) 등록 파일, 메모리 상주 프로세스
C:\Program Files\nskCapp\UnInstall.exe :: 프로그램 삭제 파일
C:\Windows\atin.ini
C:\Windows\nskSetup.exe
C:\Windows\nskSetup.exe
- SHA-1 : 8cc08797929e44cd87bc41dce825b130693b1489
- 알약(ALYac) : Trojan.GenericKD.2591876 (VT : 15/55)
해당 프로그램은 "C:\Program Files\nskCapp" 폴더에 파일을 생성하며, Windows 시작시 ["C:\Program Files\nskCapp\nskCapp.exe" -start] 파일(SHA-1 : 8cedca122ab1746619f901dbb76385f6411cd6e6)을 시작 프로그램(nskCapp)으로 등록하여 자동 실행되도록 구성되어 있습니다.
- h**p://aazz8282.pnsweb.net/list_search_resettime.asp
- h**p://aazz8282.pnsweb.net/list_search_init.asp
- h**p://aazz8282.pnsweb.net/list_search_cur_run.asp?mac=(사용자 Mac Address)&code=150701
자동 실행된 프로그램은 4분이 경과하면 홍콩(Hong Kong)에 위치한 "aazz8282.pnsweb.net (183.90.188.37)" 웹 서버와 통신을 1차적으로 시도합니다.
이후 2분이 추가 경과하면 네이버(Naver) 검색 서비스에 사용할 검색 키워드 값을 불러오는 동작을 수행하며 테스트 당시에는 게임(Game) 관련 키워드 값이 확인되고 있습니다.
다음 단계에서는 5분이 추가 경과할 경우 1분 단위로 네이버(Naver) 검색 서비스에 검색 키워드 값을 이용하여 검색 활동을 수행하는 동작을 확인할 수 있으며, 해당 검색 활동은 화면상으로는 전혀 표시되지 않습니다.
■ nskCapp 악성 프로그램 삭제 방법
해당 악성 프로그램은 자신의 존재를 숨길 목적으로 제어판의 삭제 목록에 등록하지 않고 있지만 삭제 파일은 제공하고 있으므로 다음과 같은 절차를 통해 프로그램 삭제를 진행하시기 바랍니다.
(a) Windows 작업 관리자를 실행하여 메모리에 상주하는 nskCapp.exe 프로세스를 찾아 종료하시기 바랍니다.
(b) "C:\Program Files\nskCapp\UnInstall.exe" 파일을 찾아 직접 실행하시면 프로그램 삭제를 진행할 수 있습니다.
(c) 프로그램 삭제 후 다음의 폴더(파일)를 찾아 추가적으로 삭제하시기 바랍니다.
- C:\Program Files\nskCapp
- C:\Program Files\nskCapp\UnInstall.exe
- C:\Windows\atin.ini
- C:\Windows\nskSetup.exe
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_BROWSER_EMULATION
- nskCapp.exe = 9
- XecureCrossWeb.exe = 2328
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- nskCapp = "C:\Program Files\nskCapp\nskCapp.exe" -start
nskCapp 악성 프로그램은 Windows 시작 후 최소 10분이 경과한 후에 광고 행위를 백그라운드 방식으로 진행하여 불필요한 트래픽을 유발하고 있으며, 사용자가 프로그램 삭제를 쉽게 할 수 없도록 방해하고 있으므로 설치되지 않도록 각별히 주의하시기 바랍니다.
☞ <2011년~2013년 관련 정보> 국내 악성코드 : RealWeb + Search Helper _ nc. soft (2013.10.29) 외 12종
☞ 국내 악성코드 : WNetPlus (2014.2.14)
☞ 국내 악성코드 : WMIPPlus (2014.2.19)
☞ 국내 악성코드 : WMIPPlus + Helper Search wcpt. soft (2014.3.8)
☞ 제큐어(Xecure) 보안 솔루션으로 위장한 XecureCrossWeb 광고 프로그램 주의 (2014.3.27)