본문 바로가기

벌새::Analysis

검색 도우미 : AdmSvc Plugin

728x90
반응형

인터넷 검색시 11번가 상품 구매 페이지를 생성할 수 있는 국내에서 제작된 "AdmSvc Plugin" 광고 프로그램에 대해 살펴보도록 하겠습니다.

 

해당 광고 프로그램은 2014년 9월 1일경부터 배포가 이루어졌던 것으로 추정되며, 일부 프로그램상의 문제로 인해 현재는 정상적으로 동작하지 않을 수 있습니다.

설치 과정을 살펴보면 배포 파일<SHA-1 : a065113d07c7d77f52dc07935cff777f766adddb - AhnLab V3 365 Clinic : PUP/Win32.Downloader.C534993 (VT : 21/54)> 실행을 통해 업데이트 서버에서 설치 파일<SHA-1 : 752b87923c38908aa4d82083de4ec2822986469b - AVG : Win32/DH{DyRb?} (VT : 6/55)>을 다운로드하여 "C:\Users\Public\Documents\setup.exe" 파일로 임시 생성하며, 광고 프로그램 설치가 완료될 경우 배포 및 설치 파일은 자동 삭제 처리됩니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\admPlugin
C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\admPlugin\admsvc
C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\admPlugin\admsvc\admsvc.exe :: 메모리 상주 프로세스
C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\admPlugin\admsvc\cadmsvc.exe
C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\admPlugin\admsvc\uadmsvc.dat
C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\admPlugin\admsvc\uadmsvc.exe
C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\admPlugin\admsvc\unins000.dat
C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\admPlugin\admsvc\unins000.exe :: 프로그램 삭제 파일

 

[생성 파일 진단 정보]

 

C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\admPlugin\admsvc\admsvc.exe
 - SHA-1 : e8f1b872c2069afc9aad7c6a5f77e618c4ac7587
 - AVG : Win32/DH{DyRb?} (VT : 7/54)

 

C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\admPlugin\admsvc\cadmsvc.exe
 - SHA-1 : 1347d9c3a1ba9435a368d59775c7491b0356fa00
 - Malwarebytes : Adware.Kraddare (VT : 2/55)

 

C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\admPlugin\admsvc\uadmsvc.exe
 - SHA-1 : 487b9d929296865be14aac5fe7a1765eff7f611b
 - AhnLab V3 365 Clinic : PUP/Win32.WindowsLiveProtect.R29168 (VT : 6/55)

Gong-gam 디지털 서명이 포함된 "AdmSvc Plugin" 광고 프로그램은 마이크로소프트(Microsoft) 폴더 내의 "C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\admPlugin\admsvc" 폴더 내에 파일을 생성합니다.

 

프로그램이 설치된 환경에서는 실제 존재하지 않는 "C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\admPlugin\admsvc\uadmsvcd.exe" 파일을 시작 프로그램(admsvc)으로 등록하여 자동 실행되도록 구성되어 있는 문제로 자동 실행이 이루어지지 않고 있습니다.

하지만 설치 파일의 코드를 확인해보면 부팅시 "C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\admPlugin\admsvc\uadmsvc.exe" 업데이트 파일(TrueUpdate Client)을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.

만약 정상적으로 업데이트 기능이 수행된다면 업데이트 서버에서 암호화된 구성값 정보를 체크하여 광고 기능을 수행하는 "C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\admPlugin\admsvc\admsvc.exe" 파일을 메모리에 상주시킵니다.

 

또한 테스트 당시에는 정상적인 추가 다운로드가 이루어지지 않지만 2종의 유사 광고 프로그램 설치 파일을 다운로드하여 자동 설치할 수 있으므로 주의하시기 바랍니다.

 

(1) [삭제] MicrowindowSearch (2012.2.26)

  • h**p://update.**links.kr/MicrowindowSearch/MicrowindowSearch_Setup_silent_08.exe (SHA-1 : 48bab9bebf524214d7eaed9fb60c2c1d294e8083) - Avira : TR/Drop.Agent.1097392.2 (VT : 16/55)

(2) 검색 도우미 : pvinc plugin (2015.6.16)

  • h**p://update.pop**vaccine.com/setup/pvinc_si.exe (SHA-1 : 5bfbfbf450f5785bc06a57593c4e75dd1b05f019) - Dr.Web : Trojan.MulDrop6.10744 (VT : 10/54)

광고 기능을 살펴보면 광고 기능을 수행하는 admsvc.exe 파일은 특정 광고 서버에서 광고 구성값 정보를 체크합니다.

이를 통해 특정 인터넷 검색 키워드 또는 웹 사이트 접속시 자동으로 관련 상품을 판매하는 11번가 특정 상품 페이지로 자동 연결되어 구매를 유도할 수 있습니다.

 

"AdmSvc Plugin" 광고 프로그램 삭제 방법

(a) Windows 작업 관리자를 실행하여 메모리에 상주하는 admsvc.exe 프로세스를 찾아 종료하시기 바랍니다.

(b) 제어판 또는 체크잇(CheckIt : www.checkitinfo.com) 프로그램에 등록된 "AdmSvc Plugin" 삭제 항목을 실행하여 프로그램 삭제를 진행하시기 바랍니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - admsvc = C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\admPlugin\admsvc\uadmsvcd.exe
HKEY_LOCAL_MACHINE\SOFTWARE\AppDataLow
 - admxsd = 0
HKEY_LOCAL_MACHINE\SOFTWARE\AppDataLow\admsvc
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - admsvc = C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\admPlugin\admsvc\uadmsvcd.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\admsvc_is1

 

"AdmSvc Plugin" 광고 프로그램은 마이크로소프트(Microsoft) 폴더 내에 생성되어 사용자가 프로그램 이름 및 폴더로 광고 프로그램인지 찾기 어렵게 제작되어 있으므로 설치되지 않도록 주의하시기 바랍니다.

 

 
728x90
반응형