2015년 8월경부터 현재까지 국내에서 제작된 다양한 광고 프로그램을 사용자의 부주의 또는 사용자 동의없이 자동으로 설치를 시도하는 광고 배포용 프로그램이 지속적으로 변화하면서 유포하는 행위가 발생하고 있습니다.
모두 동일 계열의 대표적인 광고 배포용 프로그램을 살펴보면 BrowserShot, TredSyncmon, BSCheckIt, BSCheckIt2, CheckIP 이름으로 변화가 이루어졌으며, 특징적으로 프로그램에서 제공하는 삭제 기능으로는 제거되지 않도록 제작되어 특정 시점에서 업데이트 창 생성 또는 자동으로 다수의 광고 프로그램을 설치한 것으로 파악되고 있습니다.
그러던 중 2015년 10월 하순경부터는 "Microsoft Windows Wise Runner Process Cleaning Runtime - Korean" 프로그램으로 변경되었으며 현재까지 관련 변종이 지속적으로 유포되고 있습니다.
초기에 발견된 "Microsoft Windows Wise Runner Process Cleaning Runtime - Korean" 광고 배포용 프로그램은 제어판을 통해 삭제할 수 있었지만, 2015년 12월경부터는 프로그램 목록에 등록하지 않는 방식으로 자신을 숨기고 설치되어 기능을 수행하는 것으로 보입니다.
이 글에서는 최초 배포된 버전(SHA-1 : 28d1774556b122573b97ce42725308a7aa3b1707 - AVG : Generic.2E7)으로 확인한 내용이며, 최근에 발견되는 다양한 변종 정보도 함께 살펴보도록 하겠습니다.
생성 폴더 / 파일 등록 정보 |
C:\Program Files\WiseComm
|
생성 파일 진단 정보 |
C:\Program Files\WiseComm\cdm\WRcheck.exe
C:\Program Files\WiseComm\Update\WRupdate.exe
C:\Program Files\WiseComm\WiseRun\wiserunMon.exe
|
WiseCommerce 디지털 서명이 포함된 "Microsoft Windows Wise Runner Process Cleaning Runtime - Korean" 프로그램은 "C:\Program Files\WiseComm" 폴더에 파일을 생성합니다.
프로그램이 설치된 환경에서 외형적으로는 "C:\Program Files\WiseComm\WiseRun\wiserun.exe" 파일(SHA-1 : a469606a979c80fabe8a2ffe3f8c751c9c23d1fb)이 실행될 경우 Windows 기본 프로세스를 제외한 프로세스 목록을 표시하여 종료할 수 있는 프로세스 종료 기능을 수행하는 "Wise Runner v3.0" 이름을 가진 정상적인 프로그램처럼 보입니다.
만약 "Wise Runner v3.0" 프로그램 종료시 "종료 후 광고 표시" 기능을 통해 기존에 살펴본 다음과 같은 광고 프로그램들과 유사한 광고 기능을 수행할 수 있습니다.
3개의 구글(Google) 단축 URL 주소(goo.gl)를 경유하여 헝그리앱 또는 다양한 광고 사이트로 연결이 이루어질 수 있습니다.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- WiseRunMonitor = "C:\Program Files\WiseComm\wiserun\wiserunMon.exe" /Init
하지만 Windows 부팅시 WiseRunMonitor 시작 프로그램 등록값 또는 바탕 화면 및 프로그램 목록에 등록된 "와이즈 러너 클리너"를 사용자가 실행(C:\Program Files\WiseComm\wiserun\wiserunMon.exe)할 경우 다음과 같은 기능을 수행할 수 있습니다.
우선 wiserunMon.exe 파일은 다양한 파일 분석 도구, 정보 수집 도구, PC방 관리 솔루션 파일(WindowexeFFkiller.exe, WindowexeFFkillerAdd.exe, WindowexeAllkiller.exe, WindowexeLog.exe, WindowexeLogMail.exe, picavncsvc.exe, runscanner.exe, OLLYDBG.exe, gtlexp.exe, dlxsvc.exe, dlx5.exe, dlc.exe, UPM.exe, pcwc.exe, pcwc_ag.exe, ntmacc.exe)을 체크하여 실행 여부를 결정할 수 있습니다.
자동 실행된 wiserunMon.exe 파일(WiseRun Monitor)은 암호화된 TLS 통신을 통해 추가적인 정보를 체크하여 다음과 같은 악성 파일을 자동 다운로드할 수 있습니다.
자동으로 다운로드된 파일의 이력을 살펴보면 2015년 8월경부터 현재까지 지속적으로 다양한 변종 파일을 통해 다운로드가 이루어지고 있으며, 최근의 경우 2일 주기로 파일이 교체되는 것으로 보입니다.
다운로드된 파일은 "C:\Users\(사용자 계정)\AppData\Local\Temp\UsersAgree0205.exe" 파일(SHA-1 : ade2915f0b24aea1f1e7fee8e1c1359d82dc8787 - Avira : ADWARE/BrowShot.412968.8)로 생성되어 자동 실행됩니다.
- C:\Temp\HC_Setup_Site_PID_49.exe
- C:\Temp\ISZoneSetup_18_hide.exe
- C:\Temp\setup_partlmw027.exe
MPress 패킹으로 제작된 UsersAgree0205.exe 악성 파일은 임시 폴더를 생성하여 국내에서 제작된 다양한 광고 프로그램을 자동 다운로드하여 백그라운드 방식으로 자동 설치되며, 테스트 시점에서는 다음과 같은 3종의 광고 프로그램이 설치되었습니다.
(1) 유해 사이트 차단 기능이 포함된 InternetSafeZone 광고 프로그램 (2015.10.22)
- h**p://down.key****info.co.kr/ISZoneSetup_18_hide.exe (SHA-1 : 37ff04fc95959d33f96ac6c64b66e05fa93c117b) - AhnLab V3 365 Clinic : PUP/Win32.Helper.R34339
- <추가 다운로드> h**p://down.key****info.co.kr/ISZoneInstall_18_163.exe (SHA-1 : c600bb2310883b6e401a580f74765e159228c44f) - ESET : a variant of Win32/Adware.SafeTerra.A
"gaia media group Co., Ltd." 디지털 서명이 포함된 InternetSafeZone 광고 프로그램은 숨김(H) 속성값을 가진 "C:\Program Files\ISZone" 폴더에 파일을 생성합니다.
(2) 홈케어(HomeCare) 유해 사이트 차단 프로그램에 포함된 광고 기능 주의 (2014.4.12)
- h**p://check**.kr/agree0203/HC_Setup_Site_PID_49.exe (SHA-1 : a63cb527ce4848a594904a0e02a14b4126fd1f9c) - Hauri ViRobot : Adware.Kraddare.428832.A[h]
- <추가 다운로드> h**p://home****system.kr/app/1.0/setup/HomeCareSetupVer1.0.exe (SHA-1 : 207becc138aa4480aaaf98e998fa72844242af73) - Kaspersky : not-a-virus:AdWare.Win32.Kraddare.dk
"DivineMedia Inc." 디지털 서명이 포함된 홈케어(HomeCare) 광고 프로그램은 "C:\Program Files\HomeCare" 폴더에 파일을 생성합니다.
(3) <Right Security Blog> 제휴(스폰서) 프로그램 : LemonWebtoon (2015.5.19)
- h**p://nd.lemon***toon.co.kr/apop/setup_partlmw027.exe (SHA-1 : 942c94edaeca0d9b323776c968704d6e89130dfc) - Hauri ViRobot : Adware.PopAd.906376[h]
(주)프리아이커뮤니케이션 디지털 서명이 포함된 레몬웹툰(LemonWebtoon) 광고 프로그램은 "C:\Program Files\LemonWebtoon" 폴더에 파일을 생성합니다.
이외에도 KeywordMap, LuckyTool, Micro blue-ad secure softwear profile, Savepop, searchlike, Topspace Windows IE Platform, OutTab, Windows System Barozen Shortcut Manager 등의 국내 광고 프로그램을 자동 설치할 수 있는 것으로 보입니다.
위와 같은 국내 광고 프로그램을 사용자 동의없이 자동 설치한 후에는 드랍퍼(Dropper) 기능을 수행한 "C:\Users\(사용자 계정)\AppData\Local\Temp\UsersAgree0205.exe" 파일은 자동 삭제되며, 차후 2일이 경과한 시점에서 사용자에 의해 삭제된 광고 프로그램이 존재할 경우 자동으로 재설치를 반복할 수 있습니다.
또한 "Microsoft Windows Wise Runner Process Cleaning Runtime - Korean" 프로그램은 광고 배포 목적 수행을 위한 생명력 연장을 목적으로 wiserunMon.exe 파일과 유사한 기능을 수행하는 것으로 보이는 2종의 업데이트 기능을 수행하는 파일을 포함하고 있습니다.
- C:\Program Files\WiseComm\cdm\WRcheck.exe
- C:\Program Files\WiseComm\Update\WRupdate.exe
WRcheck.exe, WRupdate.exe 파일은 자신이 실행될 경우 Windows 시작시 자동 실행하도록 RunOnce 시작 프로그램 등록값 영역에 자신을 추가하며, 이는 일반적으로 최적화 프로그램을 통해 시작 프로그램이 등록된 wiserunMon.exe 파일이 기능을 수행하지 못할 것을 대비한 것으로 추정됩니다.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
- WiseRunUpdate = C:\Program Files\WiseComm\Update\WRupdate.exe
- WRcheck = C:\Program Files\WiseComm\cdm\WRcheck.exe
이를 통해 Windows 시작시 WiseRunUpdate, WRcheck 시작 프로그램 등록값을 통해 각각의 파일을 자동 실행하여 사용자 PC 환경 체크 및 업데이트 기능을 수행할 수 있으며, 이를 통해 다수의 광고 프로그램을 추가 다운로드하여 자동 설치할 수 있습니다.
문제는 "Microsoft Windows Wise Runner Process Cleaning Runtime - Korean" 초기 버전과는 달리 2015년 12월경부터는 제어판에 등록하지 않는 방식으로 자신을 설치하여 사용자 몰래 지속적으로 다수의 국내 광고 프로그램을 자동 설치하는 것으로 보이며, 변종에 따라 다음과 같은 폴더 위치에 광고 배포용 프로그램을 추가할 수 있습니다.
■ WiseComm 광고 배포용 프로그램 변종 정보
파일 경로 |
C:\Program Files\WiseComm\ADIN\wiserunMon.exe |
SHA-1 |
2bf36fa4ae1f8e26c59ca0fca7be0cea15de85bc |
진단명 |
Win32/DH{gVQTJQ?} (AVG) |
디지털 서명 |
WiseCommerce |
제품 이름 |
WiseRun Monitor |
파일 설명 |
WiseRun Monitor |
레지스트리 등록값 |
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce - WiseRunMonitor = C:\Program Files\WiseComm\ADIN\wiserunMon.exe |
비고 |
시작 프로그램(WiseRunMonitor) 등록 파일 |
파일 경로 |
C:\Program Files\WiseComm\GDP\WRguard2.exe |
SHA-1 |
958bf49e721a068d807fd501f057e9eb9a8e899a |
진단명 |
a variant of Win32/Adware.BrowShot.A (ESET) |
디지털 서명 |
WiseCommerce |
제품 이름 |
Wise Runner |
파일 설명 |
Wise Runner Guard |
레지스트리 등록값 |
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce - WRguard2 = C:\Program Files\WiseComm\GDP\WRguard2.exe |
비고 |
시작 프로그램(WRguard2) 등록 파일 |
파일 경로 |
C:\Program Files\WiseComm\Update\wrUGm.exe |
SHA-1 |
e14488857070649778480979cc312c8d5962f3ac |
진단명 |
PUP/Win32.Agent.C1246724 (AhnLab V3 365 Clinic) |
디지털 서명 |
WiseCommerce |
제품 이름 |
Wise Runner |
파일 설명 |
Wise Runner Guard |
레지스트리 등록값 |
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce - WiseRunUGm = C:\Program Files\WiseComm\Update\wrUGm.exe |
비고 |
시작 프로그램(WiseRunUGm) 등록 파일 |
파일 경로 |
C:\Program Files\WiseComm\Update\WRUGmon.exe |
SHA-1 |
3eff79f934cc400981fe3f3036587d878a00d7a7 |
진단명 |
Trojan.MulDrop6.12471 (Dr.Web) |
디지털 서명 |
WiseCommerce |
제품 이름 |
Wise Runner Monitor |
파일 설명 |
Wise Runner Monitor |
레지스트리 등록값 |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ WindowsWRMonitoringService |
비고 |
서비스(WindowsWRMonitoringService) 등록 파일 |
파일 경로 |
C:\Temp\WRChecker.exe |
SHA-1 |
459523665e7cdae1f911793236a5ddc00965b596 |
진단명 |
Win32:Adware-gen [Adw] (avast!) |
디지털 서명 |
WiseCommerce |
제품 이름 |
Wise Runner |
파일 설명 |
Wise Runner Checker |
레지스트리 등록값 |
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce - WiseRunChecker = C:\Temp\WRChecker.exe |
비고 |
시작 프로그램(WiseRunChecker) 등록 파일 |
파일 경로 |
C:\Users\(사용자 계정)\AppData\Local\WiseComm\GDP\wrAccess.exe |
SHA-1 |
770454e7baa44d3fbd9b36f26f8810f0fd6f9b92 |
진단명 |
a variant of Win32/Adware.BrowShot.A (ESET) |
디지털 서명 |
WiseCommerce |
제품 이름 |
Wise Runner |
파일 설명 |
Wise Runner Guard |
레지스트리 등록값 |
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce - WiseRunAccess = C:\Users\(사용자 계정)\AppData\Local\WiseComm\GDP\wrAccess.exe |
비고 |
시작 프로그램(WiseRunAccess) 등록 파일 |
파일 경로 |
C:\Users\(사용자 계정)\AppData\Local\WiseComm\MONU\wiserunMon.exe |
SHA-1 |
e5c88a319aaebb8aff5410ab4de8ef60a0fa99a5 |
진단명 |
PUA.Gen.4 (Norton) |
디지털 서명 |
WiseCommerce |
제품 이름 |
WiseRun Monitor |
파일 설명 |
WiseRun Monitor |
레지스트리 등록값 |
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce - WiseRunMonitor = C:\Users\(사용자 계정)\AppData\Local\WiseComm\MONU\wiserunMon.exe |
비고 |
시작 프로그램(WiseRunMonitor) 등록 파일 |
파일 경로 |
C:\Users\(사용자 계정)\AppData\Local\WiseComm\Services\WiseRunServ.exe |
SHA-1 |
b77c05e3204216925b658a20eb6e78b06d009239 |
진단명 |
Generic.2E7 (AVG) |
디지털 서명 |
WiseCommerce |
레지스트리 등록값 |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows WiseRun Service |
비고 |
서비스(Windows WiseRun Service) 등록 파일 |
WiseComm 광고 배포용 프로그램의 변종 정보를 살펴보면 다음과 같은 폴더에 시작 프로그램 또는 서비스로 등록하여 Windows 부팅시 자동 실행되어 특정 시점에서 자동으로 다수의 국내 광고 프로그램을 자동 설치할 수 있습니다.
- C:\Program Files\WiseComm
- C:\Temp\WRChecker.exe
- C:\Users\(사용자 계정)\AppData\Local\WiseComm
그러므로 자신도 모르게 광고 프로그램이 자동 설치되거나 삭제한 이후에도 반복적으로 광고 프로그램이 재설치될 경우에는 해당 폴더 및 파일이 존재한지 점검해 보시기 바랍니다.
■ "Microsoft Windows Wise Runner Process Cleaning Runtime - Korean" 프로그램 삭제 방법
프로그램 삭제는 제어판 또는 체크잇(CheckIt : www.checkitinfo.com)에 등록된 "Microsoft Windows Wise Runner Process Cleaning Runtime - Korean" 삭제 항목을 실행하여 프로그램 제거를 진행하시기 바랍니다.
단, 최근 변종의 경우에는 제어판에 등록되지 않으므로 변종 정보에서 언급한 WiseComm 폴더를 찾아 직접 삭제하시기 바랍니다.
프로그램 제거 후에는 추가적으로 RunOnce 시작 프로그램 영역에 등록된 다음의 문자열 값을 찾아 삭제하시기 바랍니다.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
- WiseRunUpdate = C:\Program Files\WiseComm\Update\WRupdate.exe
- WRcheck = C:\Program Files\WiseComm\cdm\WRcheck.exe
생성 레지스트리 등록 정보 |
HKEY_CURRENT_USER\Software\Wise Runner
|
WiseComm 광고 배포용 프로그램은 최근 네트워크 정보를 제공하는 "Windows Network IP Manager" 프로그램을 통해 지속적인 광고 설치 행위를 위한 기반을 다지고 있습니다.
그러므로 지속적으로 광고 프로그램이 자동으로 설치되는 증상이 발생하는 사용자는 광고 프로그램만을 삭제하지 마시고 Malware Zero Kit (MZK) 도구를 이용한 검사 또는 광고 프로그램 삭제 관련 문의 방법을 참고하여 문제의 원인을 찾으시기 바랍니다.