본문 바로가기

벌새::Analysis

악성 광고 프로그램을 설치하는 utorrentk 토렌트 프로그램 주의 (2016.1.9)

728x90
반응형

예전에 광고 프로그램 배포 목적으로 제작된 UxTorrent 토렌트 프로그램이 발견된 적이 있으며, 공개된 정보를 살펴보면 외형적으로는 토렌트(Torrent) 프로그램을 통한 파일 공유 기능을 가지고 있지만 내부적으로는 다양한 광고 프로그램을 설치하도록 할 목적으로 판단됩니다.

그런데 당시 발견된 UxTorrent 프로그램과 유사한 목적을 가진 uTorrentK 토렌트 프로그램이 2015년 2월경부터 배포된 적이 있기에 살펴보도록 하겠습니다.

 

현재 확인된 정보에 의하면 uTorrentK 프로그램은 ① 특정 토렌트 사이트에서 제공하는 "고화질 플레이어" 프로그램 방식 ② 다양한 광고 프로그램과 함께 배포되는 제휴 프로그램 유포 방식으로 설치가 이루어지는 것으로 판단됩니다.

 

1. 고화질 플레이어 유포 방식

국내인을 대상으로 운영되고 있는 싱가포르(Singapore)에 위치한 특정 토렌트 사이트에서는 "고화질 플레이어 다운로드" 링크를 통해 68.4MB 설치 파일(SHA-1 : 4f1223a4fe564f31763e5da54c094037e8abbd54)을 배포하고 있습니다.

다운로드된 파일을 실행하면 uTorrentK 토렌트 프로그램을 자동 설치하며, 부가적으로 웹 상에서 스트리밍 방식의 동영상을 시청하도록 제작된 P2P 방식의 Ace Stream Media 프로그램 설치를 유도합니다.

설치가 완료된 상태에서 uTorrentK 프로그램(C:\Program Files\uTorrentK\uTorrentK.exe)을 실행하면 일반적으로 토렌트(Torrent) 프로그램처럼 기능을 제공하고 있습니다.

하지만 내부적으로 파일 구성을 살펴보면 Windows 부팅시 자동 실행되도록 구성된 "C:\Program Files\uTorrentK\uutorrentk.exe" 파일을 통해 사용자 몰래 다양한 광고 프로그램을 다운로드하는 행위가 이루어질 수 있습니다.

 

2. 제휴 프로그램 배포 방식의 uTorrentK 토렌트 프로그램의 정체

 

이번에는 확인되지 않는 유포 경로를 통해 다수의 제휴 프로그램과 함께 설치된 것으로 추정되는 uTorrentK 토렌트 프로그램(SHA-1 : 6f694489cd1d60f006b0568f240a57ef1fab91d6 - AVG : Win32/DH{gio2JQ?})을 통해 실질적인 기능을 자세하세 살펴보도록 하겠습니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Program Files\uTorrentK
C:\Program Files\uTorrentK\.resume
C:\Program Files\uTorrentK\.ses_state
C:\Program Files\uTorrentK\cutorrentk.exe
C:\Program Files\uTorrentK\unins000.dat
C:\Program Files\uTorrentK\unins000.exe :: 프로그램 삭제 파일
C:\Program Files\uTorrentK\uTorrentK.exe :: uTorrentK 프로그램 실행 파일
C:\Program Files\uTorrentK\uutorrentk.dat
C:\Program Files\uTorrentK\uutorrentk.exe :: 시작 프로그램(utorrentk) 등록 파일
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\uTorrentK
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\uTorrentK\utorrentk.lnk
C:\Users\(사용자 계정)\Desktop\utorrentk.lnk
C:\Users\(사용자 계정)\Documents\uTorrentK
C:\Users\(사용자 계정)\Favorites\무료다운로드(torrentguy.info).URL
C:\Windows\System32\amvsys.exe :: 시작 프로그램(admos) 등록 파일
C:\Windows\System32\tg.ico

 

[생성 파일 진단 정보]

 

C:\Program Files\uTorrentK\cutorrentk.exe
 - SHA-1 : 800fbef27d46def3d53cf59b1ab8e2307b2a14ee
 - Malwarebytes : Adware.Kraddare

 

C:\Program Files\uTorrentK\uutorrentk.exe
 - SHA-1 : a38204323118d78ed980de2a4f912dea68380352
 - Malwarebytes : Adware.Kraddare

 

C:\Windows\System32\amvsys.exe
 - SHA-1 : 52078ee50cf0dbd10b98f145f181e8efb8d53ba0
 - Hauri ViRobot : Adware.Agent.3241984[h]

"keemcee Corp. / yummy box" 2종의 디지털 서명이 포함된 해당 프로그램은 "C:\Program Files\uTorrentK" 폴더와 시스템 폴더에 파일들을 각각 생성합니다.

설치된 uTorrentK 프로그램은 파일 공유 목적으로 FileDownClient 프로그램(C:\Program Files\uTorrentK\uTorrentK.exe)을 Windows 방화벽 허용 프로그램에 추가합니다.

이를 통해 사용자가 생성된 바로가기 아이콘(C:\Users\(사용자 계정)\Desktop\utorrentk.lnk)을 실행하면 uTorrentK 토렌트 프로그램이 동작하는 정상적인 모습을 보여주고 있지만, 외형적인 파일 공유 기능을 가진 uTorrentK 프로그램의 실제 배포 목적은 다음과 같습니다.

  • h**p://kinssa.com/content.xml

Windows 시작시 admos 시작 프로그램 등록값에 추가된 "C:\Windows\system32\amvsys.exe" 파일은 자동 실행되어 현재는 연결되지 않는 "kinssa.com" 서버에서 광고와 관련된 정보로 추정되는 구성값 정보를 체크한 후 종료되도록 구성되어 있습니다.

 

또한 Windows 시작시 utorrentk 시작 프로그램 등록값에 추가된 "C:\Program Files\utorrentk\uutorrentk.exe" 파일은 다음과 같은 2가지 기능을 수행할 수 있습니다.

우선 uTorrentK 프로그램의 실행 파일(uTorrentK.exe)에 대한 업데이트 패치(SHA-1 : 164b06326ce6ef5f3e419e015e506d7130130040 → SHA-1 : f7ef1a3cc0720d80d500b92c6438f3aa0014ad88)가 진행됩니다.

 

이후 다음과 같은 2종의 국내 악성 광고 프로그램을 사용자 동의없이 자동으로 설치하는 행위를 수행합니다.

 

(1) 검색 도우미 : pvinc plugin (2015.6.16)

  • h**p://update.pop**vaccine.com/setup/pvinc_si.exe (SHA-1 : 5bfbfbf450f5785bc06a57593c4e75dd1b05f019) - Avira : TR/Samca.A.497

다운로드된 파일은 "C:\Windows\System32\pvinc_si.exe" 파일로 생성 및 실행되어 "C:\Program Files\setup.exe" 파일을 임시 생성하여 "pvinc plugin" 악성 광고 프로그램을 자동 설치합니다.

Gong-gam 디지털 서명이 포함된 "pvinc plugin" 광고 프로그램은 "C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\sofa" 폴더에 설치됩니다.

 

(2) [삭제] MicrowindowSearch (2012.2.26)

  • h**p://update.**links.kr/MicrowindowSearch/MicrowindowSearch_Setup_silent_01.exe (SHA-1 : c3fcea95fa88197fdd987af18e04c0536a5374d0) - avast! : Win32:Adware-ASB [PUP]

다운로드된 파일은 "C:\Windows\System32\mswa.exe" 파일로 생성 및 실행되어 "C:\Program Files\MicrowindowSearch_setup_01.exe" 파일을 임시 생성하여 일명 MicrowindowSearch 악성 광고 프로그램을 자동 설치합니다.

"keemcee Corp." 디지털 서명이 포함된 해당 광고 프로그램은 "C:\Windows\System32\MicrowindowSearch" 폴더와 시스템 폴더에 파일을 생성합니다.

 

(3) 국내 악성코드 : catroot (2015.11.2)

  • h**p://update.catroot**.com/download/ctsins.exe (SHA-1 : 33c62f16f513c1fc4259e3364a3baec13170e951) - Kaspersky : Trojan-Downloader.Win32.Banload.aahnt
  • <추가 다운로드> h**p://update.catroot**.com/setup/catins4.exe (SHA-1 : 3e5cbc3ee074666bd640b010163922b0a163f9ab) - AhnLab V3 : Win-Adware/Catroot.1063128

다운로드된 파일은 "C:\Windows\System32\ctsins.exe" 파일로 생성 및 실행되어 추가적인 파일 다운로드를 통해 "C:\Users\Public\Documents\catins4.exe" 파일을 임시 생성 및 실행하여 일명 catroot 악성 광고 프로그램을 자동 설치합니다.

cnkcompany 디지털 서명이 포함된 해당 광고 프로그램은 "C:\Windows\System32\AppCompat\catroot" 폴더에 파일을 생성합니다.

 

(4) 국내 악성코드 : wininlt (2015.10.30)

  • h**p://update.win**lt.com/download/winsh_ss.exe (SHA-1 : b4fad721c1bd7d5d22f6c91c3cac95422ae2cbff) - ESET : a variant of Win32/Adware.Kraddare.LA

다운로드된 파일은 "C:\Windows\System32\winsh_ss.exe" 파일로 생성 및 실행되어 "C:\Program Files\Windows Sidebar\wininlt_setup.exe" 파일을 임시 생성 및 실행하여 wininlt 악성 광고 프로그램을 자동 설치합니다.

keimc 디지털 서명이 포함된 wininlt 광고 프로그램은 "C:\Program Files\Windows Sidebar\wininlt" 폴더에 파일을 생성합니다.

이렇게 사용자 동의없이 자동으로 설치된 악성 광고 프로그램은 사용자에 의한 프로그램 삭제를 방해할 목적으로 제어판에 일부(pvinc plugin, wininlt)만 표시하고 있습니다.

 

uTorrentK 프로그램 삭제 방법

(a) 제어판 또는 체크잇(CheckIt : www.checkitinfo.com) 프로그램에 등록된 utorrentk 삭제 항목을 실행하여 프로그램 제거를 진행하시기 바랍니다.

 

(b) 즐겨찾기에 추가된 "C:\Users\(사용자 계정)\Favorites\무료다운로드(torrentguy.info).URL" 항목을 찾아 삭제하시기 바랍니다.

 

(c) 레지스트리 편집기(regedit)를 실행하여 삭제되지 않은 admos 시작 프로그램 문자열을 찾아 삭제하시기 바랍니다.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - admos = C:\Windows\system32\amvsys.exe
[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - utorrentk - C:\Program Files\utorrentk\uutorrentk.exe
HKEY_LOCAL_MACHINE\SOFTWARE\AppDataLow\uTorrentK
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{90977690-A75A-4979-A311-CE07E01ACE4C}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{E5A57D1E-534A-4389-92EF-3E23546CC00A}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\uTorrentK.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - admos = C:\Windows\system32\amvsys.exe
 - utorrentk = C:\Program Files\utorrentk\uutorrentk.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\uTorrentK_is1
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters

\FirewallPolicy\FirewallRules
 - TCP Query User{FCEDCA69-FE70-4429-97A6-7A11F11A9B91}C:\program files\utorrentk\utorrentk.exe = v2.10|Action=Allow|Active=TRUE|Dir=In|Protocol=6|Profile=Private|App=C:\program files\utorrentk\utorrentk.exe|Name=FileDownClient|Desc=FileDownClient|Defer=User|
 - UDP Query User{E309F0E7-21A2-45C2-8C72-746A3CB0C9B6}C:\program files\utorrentk\utorrentk.exe = v2.10|Action=Allow|Active=TRUE|Dir=In|Protocol=17|Profile=Private|App=C:\program files\utorrentk\utorrentk.exe|Name=FileDownClient|Desc=FileDownClient|Defer=User|

uTorrentK 프로그램 설치로 인해 자동 추가되는 "무료다운로드(torrentguy.info)" 즐겨찾기 주소를 Chrome 웹 브라우저로 접속해보면 유해한 프로그램이 배포된 적이 있다는 차단 메시지를 확인할 수 있습니다.

 

해당 토렌트(Torrent) 사이트는 악성 광고 프로그램 유포 목적으로 싱가포르(Singapore)에 위치한 서버로 운영되는 것으로 보이므로 관련 파일 공유 서비스 이용으로 인해 원치않는 광고 프로그램이 지속적으로 자동 설치될 수 있으므로 매우 주의하시기 바랍니다.

728x90
반응형