본문 바로가기

벌새::Analysis

국내 광고 프로그램을 몰래 설치하는 WiseComm 프로그램 주의 (2016.2.6)

728x90
반응형

2015년 8월경부터 현재까지 국내에서 제작된 다양한 광고 프로그램을 사용자의 부주의 또는 사용자 동의없이 자동으로 설치를 시도하는 광고 배포용 프로그램이 지속적으로 변화하면서 유포하는 행위가 발생하고 있습니다.

 

모두 동일 계열의 대표적인 광고 배포용 프로그램을 살펴보면 BrowserShot, TredSyncmon, BSCheckIt, BSCheckIt2, CheckIP 이름으로 변화가 이루어졌으며, 특징적으로 프로그램에서 제공하는 삭제 기능으로는 제거되지 않도록 제작되어 특정 시점에서 업데이트 창 생성 또는 자동으로 다수의 광고 프로그램을 설치한 것으로 파악되고 있습니다.

 

그러던 중 2015년 10월 하순경부터는 "Microsoft Windows Wise Runner Process Cleaning Runtime - Korean" 프로그램으로 변경되었으며 현재까지 관련 변종이 지속적으로 유포되고 있습니다.

 

초기에 발견된 "Microsoft Windows Wise Runner Process Cleaning Runtime - Korean" 광고 배포용 프로그램은 제어판을 통해 삭제할 수 있었지만, 2015년 12월경부터는 프로그램 목록에 등록하지 않는 방식으로 자신을 숨기고 설치되어 기능을 수행하는 것으로 보입니다.

 

이 글에서는 최초 배포된 버전(SHA-1 : 28d1774556b122573b97ce42725308a7aa3b1707 - AVG : Generic.2E7)으로 확인한 내용이며, 최근에 발견되는 다양한 변종 정보도 함께 살펴보도록 하겠습니다.

 

생성 폴더 / 파일 등록 정보

 

C:\Program Files\WiseComm
C:\Program Files\WiseComm\ADIN
C:\Program Files\WiseComm\cdm
C:\Program Files\WiseComm\cdm\WRcheck.cdm
C:\Program Files\WiseComm\cdm\WRcheck.exe :: 시작 프로그램(WRcheck) 등록 파일
C:\Program Files\WiseComm\uninstall.exe :: 프로그램 삭제 파일
C:\Program Files\WiseComm\Update
C:\Program Files\WiseComm\Update\WiseRunUpdate.xmi
C:\Program Files\WiseComm\Update\WRupdate.exe :: 시작 프로그램(WiseRunUpdate) 등록 파일
C:\Program Files\WiseComm\WiseRun
C:\Program Files\WiseComm\wiserun.ico
C:\Program Files\WiseComm\WiseRun\wiserun.exe :: "Wise Runner v3.0" 프로그램 실행 파일
C:\Program Files\WiseComm\WiseRun\wiserunMon.exe :: 시작 프로그램(WiseRunMonitor) 등록 파일, "와이즈 러너 클리너" 실행 파일
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\와이즈 러너
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\와이즈 러너\와이즈 러너 클리너 실행.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\와이즈 러너\와이즈 러너 홈페이지.lnk
C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\와이즈 러너
C:\Users\(사용자 계정)\Desktop\와이즈 러너 클리너.lnk

 

생성 파일 진단 정보

 

C:\Program Files\WiseComm\cdm\WRcheck.exe
 - SHA-1 : 1613f5c322b59a57dfebefdf79c692acab4a1dee
 - ESET : a variant of Win32/Adware.BrowShot.A

 

C:\Program Files\WiseComm\Update\WRupdate.exe
 - SHA-1 : 3df4e4cf70e8588ea9d1a1f18b55d1d4370c7ed2
 - Hauri ViRobot : Adware.Browshot.816440[h]

 

C:\Program Files\WiseComm\WiseRun\wiserunMon.exe
 - SHA-1 : 784d5464320c24b203b726787c6bede00c965d27
 - AhnLab V3 365 Clinic : PUP/Win32.WiseRun.C1300435

 

WiseCommerce 디지털 서명이 포함된 "Microsoft Windows Wise Runner Process Cleaning Runtime - Korean" 프로그램은 "C:\Program Files\WiseComm" 폴더에 파일을 생성합니다.

프로그램이 설치된 환경에서 외형적으로는 "C:\Program Files\WiseComm\WiseRun\wiserun.exe" 파일(SHA-1 : a469606a979c80fabe8a2ffe3f8c751c9c23d1fb)이 실행될 경우 Windows 기본 프로세스를 제외한 프로세스 목록을 표시하여 종료할 수 있는 프로세스 종료 기능을 수행하는 "Wise Runner v3.0" 이름을 가진 정상적인 프로그램처럼 보입니다.

 

만약 "Wise Runner v3.0" 프로그램 종료시 "종료 후 광고 표시" 기능을 통해 기존에 살펴본 다음과 같은 광고 프로그램들과 유사한 광고 기능을 수행할 수 있습니다.

3개의 구글(Google) 단축 URL 주소(goo.gl)를 경유하여 헝그리앱 또는 다양한 광고 사이트로 연결이 이루어질 수 있습니다.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - WiseRunMonitor = "C:\Program Files\WiseComm\wiserun\wiserunMon.exe" /Init

하지만 Windows 부팅시 WiseRunMonitor 시작 프로그램 등록값 또는 바탕 화면 및 프로그램 목록에 등록된 "와이즈 러너 클리너"를 사용자가 실행(C:\Program Files\WiseComm\wiserun\wiserunMon.exe)할 경우 다음과 같은 기능을 수행할 수 있습니다.

우선 wiserunMon.exe 파일은 다양한 파일 분석 도구, 정보 수집 도구, PC방 관리 솔루션 파일(WindowexeFFkiller.exe, WindowexeFFkillerAdd.exe, WindowexeAllkiller.exe, WindowexeLog.exe, WindowexeLogMail.exe, picavncsvc.exe, runscanner.exe, OLLYDBG.exe, gtlexp.exe, dlxsvc.exe, dlx5.exe, dlc.exe, UPM.exe, pcwc.exe, pcwc_ag.exe, ntmacc.exe)을 체크하여 실행 여부를 결정할 수 있습니다.

자동 실행된 wiserunMon.exe 파일(WiseRun Monitor)은 암호화된 TLS 통신을 통해 추가적인 정보를 체크하여 다음과 같은 악성 파일을 자동 다운로드할 수 있습니다.

자동으로 다운로드된 파일의 이력을 살펴보면 2015년 8월경부터 현재까지 지속적으로 다양한 변종 파일을 통해 다운로드가 이루어지고 있으며, 최근의 경우 2일 주기로 파일이 교체되는 것으로 보입니다.

다운로드된 파일은 "C:\Users\(사용자 계정)\AppData\Local\Temp\UsersAgree0205.exe" 파일(SHA-1 : ade2915f0b24aea1f1e7fee8e1c1359d82dc8787 - Avira : ADWARE/BrowShot.412968.8)로 생성되어 자동 실행됩니다.

  • C:\Temp\HC_Setup_Site_PID_49.exe
  • C:\Temp\ISZoneSetup_18_hide.exe
  • C:\Temp\setup_partlmw027.exe

MPress 패킹으로 제작된 UsersAgree0205.exe 악성 파일은 임시 폴더를 생성하여 국내에서 제작된 다양한 광고 프로그램을 자동 다운로드하여 백그라운드 방식으로 자동 설치되며, 테스트 시점에서는 다음과 같은 3종의 광고 프로그램이 설치되었습니다.

 

(1) 유해 사이트 차단 기능이 포함된 InternetSafeZone 광고 프로그램 (2015.10.22)

  • h**p://down.key****info.co.kr/ISZoneSetup_18_hide.exe (SHA-1 : 37ff04fc95959d33f96ac6c64b66e05fa93c117b) - AhnLab V3 365 Clinic : PUP/Win32.Helper.R34339
  • <추가 다운로드> h**p://down.key****info.co.kr/ISZoneInstall_18_163.exe (SHA-1 : c600bb2310883b6e401a580f74765e159228c44f) - ESET : a variant of Win32/Adware.SafeTerra.A

"gaia media group Co., Ltd." 디지털 서명이 포함된 InternetSafeZone 광고 프로그램은 숨김(H) 속성값을 가진 "C:\Program Files\ISZone" 폴더에 파일을 생성합니다.

 

(2) 홈케어(HomeCare) 유해 사이트 차단 프로그램에 포함된 광고 기능 주의 (2014.4.12)

  • h**p://check**.kr/agree0203/HC_Setup_Site_PID_49.exe (SHA-1 : a63cb527ce4848a594904a0e02a14b4126fd1f9c) - Hauri ViRobot : Adware.Kraddare.428832.A[h]
  • <추가 다운로드> h**p://home****system.kr/app/1.0/setup/HomeCareSetupVer1.0.exe (SHA-1 : 207becc138aa4480aaaf98e998fa72844242af73) - Kaspersky : not-a-virus:AdWare.Win32.Kraddare.dk

"DivineMedia Inc." 디지털 서명이 포함된 홈케어(HomeCare) 광고 프로그램은 "C:\Program Files\HomeCare" 폴더에 파일을 생성합니다.

 

(3) <Right Security Blog> 제휴(스폰서) 프로그램 : LemonWebtoon (2015.5.19)

  • h**p://nd.lemon***toon.co.kr/apop/setup_partlmw027.exe (SHA-1 : 942c94edaeca0d9b323776c968704d6e89130dfc) - Hauri ViRobot : Adware.PopAd.906376[h]

(주)프리아이커뮤니케이션 디지털 서명이 포함된 레몬웹툰(LemonWebtoon) 광고 프로그램은 "C:\Program Files\LemonWebtoon" 폴더에 파일을 생성합니다.

 

이외에도 KeywordMap, LuckyTool, Micro blue-ad secure softwear profile, Savepop, searchlike, Topspace Windows IE Platform, OutTab, Windows System Barozen Shortcut Manager 등의 국내 광고 프로그램을 자동 설치할 수 있는 것으로 보입니다.

 

위와 같은 국내 광고 프로그램을 사용자 동의없이 자동 설치한 후에는 드랍퍼(Dropper) 기능을 수행한 "C:\Users\(사용자 계정)\AppData\Local\Temp\UsersAgree0205.exe" 파일은 자동 삭제되며, 차후 2일이 경과한 시점에서 사용자에 의해 삭제된 광고 프로그램이 존재할 경우 자동으로 재설치를 반복할 수 있습니다.

 

또한 "Microsoft Windows Wise Runner Process Cleaning Runtime - Korean" 프로그램은 광고 배포 목적 수행을 위한 생명력 연장을 목적으로 wiserunMon.exe 파일과 유사한 기능을 수행하는 것으로 보이는 2종의 업데이트 기능을 수행하는 파일을 포함하고 있습니다.

  • C:\Program Files\WiseComm\cdm\WRcheck.exe
  • C:\Program Files\WiseComm\Update\WRupdate.exe

WRcheck.exe, WRupdate.exe 파일은 자신이 실행될 경우 Windows 시작시 자동 실행하도록 RunOnce 시작 프로그램 등록값 영역에 자신을 추가하며, 이는 일반적으로 최적화 프로그램을 통해 시작 프로그램이 등록된 wiserunMon.exe 파일이 기능을 수행하지 못할 것을 대비한 것으로 추정됩니다.

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
 - WiseRunUpdate = C:\Program Files\WiseComm\Update\WRupdate.exe
 - WRcheck = C:\Program Files\WiseComm\cdm\WRcheck.exe

이를 통해 Windows 시작시 WiseRunUpdate, WRcheck 시작 프로그램 등록값을 통해 각각의 파일을 자동 실행하여 사용자 PC 환경 체크 및 업데이트 기능을 수행할 수 있으며, 이를 통해 다수의 광고 프로그램을 추가 다운로드하여 자동 설치할 수 있습니다.

 

문제는 "Microsoft Windows Wise Runner Process Cleaning Runtime - Korean" 초기 버전과는 달리 2015년 12월경부터는 제어판에 등록하지 않는 방식으로 자신을 설치하여 사용자 몰래 지속적으로 다수의 국내 광고 프로그램을 자동 설치하는 것으로 보이며, 변종에 따라 다음과 같은 폴더 위치에 광고 배포용 프로그램을 추가할 수 있습니다.

 

WiseComm 광고 배포용 프로그램 변종 정보

 

파일 경로

 C:\Program Files\WiseComm\ADIN\wiserunMon.exe

SHA-1

 2bf36fa4ae1f8e26c59ca0fca7be0cea15de85bc

진단명

 Win32/DH{gVQTJQ?} (AVG)

디지털 서명

 WiseCommerce

제품 이름

 WiseRun Monitor

파일 설명

 WiseRun Monitor

레지스트리

등록값

 HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

 - WiseRunMonitor = C:\Program Files\WiseComm\ADIN\wiserunMon.exe

비고

 시작 프로그램(WiseRunMonitor) 등록 파일

 

파일 경로

 C:\Program Files\WiseComm\GDP\WRguard2.exe

SHA-1

 958bf49e721a068d807fd501f057e9eb9a8e899a

진단명

 a variant of Win32/Adware.BrowShot.A (ESET)

디지털 서명

 WiseCommerce

제품 이름

 Wise Runner

파일 설명

 Wise Runner Guard

레지스트리

등록값

 HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

 - WRguard2 = C:\Program Files\WiseComm\GDP\WRguard2.exe

비고

 시작 프로그램(WRguard2) 등록 파일

 

파일 경로

 C:\Program Files\WiseComm\Update\wrUGm.exe

SHA-1

 e14488857070649778480979cc312c8d5962f3ac

진단명

 PUP/Win32.Agent.C1246724 (AhnLab V3 365 Clinic)

디지털 서명

 WiseCommerce

제품 이름

 Wise Runner

파일 설명

 Wise Runner Guard

레지스트리

등록값

 HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

 - WiseRunUGm = C:\Program Files\WiseComm\Update\wrUGm.exe

비고

 시작 프로그램(WiseRunUGm) 등록 파일

 

파일 경로

 C:\Program Files\WiseComm\Update\WRUGmon.exe

SHA-1

 3eff79f934cc400981fe3f3036587d878a00d7a7

진단명

 Trojan.MulDrop6.12471 (Dr.Web)

디지털 서명

 WiseCommerce

제품 이름

 Wise Runner Monitor

파일 설명

 Wise Runner Monitor

레지스트리

등록값

 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\

WindowsWRMonitoringService

비고

 서비스(WindowsWRMonitoringService) 등록 파일

 

파일 경로

 C:\Temp\WRChecker.exe

SHA-1

 459523665e7cdae1f911793236a5ddc00965b596

진단명

 Win32:Adware-gen [Adw] (avast!)

디지털 서명

 WiseCommerce

제품 이름

 Wise Runner

파일 설명

 Wise Runner Checker

레지스트리

등록값

 HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

 - WiseRunChecker = C:\Temp\WRChecker.exe

비고

 시작 프로그램(WiseRunChecker) 등록 파일

 

파일 경로

 C:\Users\(사용자 계정)\AppData\Local\WiseComm\GDP\wrAccess.exe

SHA-1

 770454e7baa44d3fbd9b36f26f8810f0fd6f9b92

진단명

 a variant of Win32/Adware.BrowShot.A (ESET)

디지털 서명

 WiseCommerce

제품 이름

 Wise Runner

파일 설명

 Wise Runner Guard

레지스트리

등록값

 HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

 - WiseRunAccess = C:\Users\(사용자 계정)\AppData\Local\WiseComm\GDP\wrAccess.exe

비고

 시작 프로그램(WiseRunAccess) 등록 파일

 

파일 경로

 C:\Users\(사용자 계정)\AppData\Local\WiseComm\MONU\wiserunMon.exe

SHA-1

 e5c88a319aaebb8aff5410ab4de8ef60a0fa99a5

진단명

 PUA.Gen.4 (Norton)

디지털 서명

 WiseCommerce

제품 이름

 WiseRun Monitor

파일 설명

 WiseRun Monitor

레지스트리

등록값

 HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

 - WiseRunMonitor = C:\Users\(사용자 계정)\AppData\Local\WiseComm\MONU\wiserunMon.exe

비고

 시작 프로그램(WiseRunMonitor) 등록 파일

 

파일 경로

 C:\Users\(사용자 계정)\AppData\Local\WiseComm\Services\WiseRunServ.exe

SHA-1

 b77c05e3204216925b658a20eb6e78b06d009239

진단명

 Generic.2E7 (AVG)

디지털 서명

 WiseCommerce

레지스트리

등록값

 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows WiseRun Service

비고

 서비스(Windows WiseRun Service) 등록 파일

 

WiseComm 광고 배포용 프로그램의 변종 정보를 살펴보면 다음과 같은 폴더에 시작 프로그램 또는 서비스로 등록하여 Windows 부팅시 자동 실행되어 특정 시점에서 자동으로 다수의 국내 광고 프로그램을 자동 설치할 수 있습니다.

 

  • C:\Program Files\WiseComm
  • C:\Temp\WRChecker.exe
  • C:\Users\(사용자 계정)\AppData\Local\WiseComm

그러므로 자신도 모르게 광고 프로그램이 자동 설치되거나 삭제한 이후에도 반복적으로 광고 프로그램이 재설치될 경우에는 해당 폴더 및 파일이 존재한지 점검해 보시기 바랍니다.

 

"Microsoft Windows Wise Runner Process Cleaning Runtime - Korean" 프로그램 삭제 방법

프로그램 삭제는 제어판 또는 체크잇(CheckIt : www.checkitinfo.com)에 등록된 "Microsoft Windows Wise Runner Process Cleaning Runtime - Korean" 삭제 항목을 실행하여 프로그램 제거를 진행하시기 바랍니다.

 

단, 최근 변종의 경우에는 제어판에 등록되지 않으므로 변종 정보에서 언급한 WiseComm 폴더를 찾아 직접 삭제하시기 바랍니다.

 

프로그램 제거 후에는 추가적으로 RunOnce 시작 프로그램 영역에 등록된 다음의 문자열 값을 찾아 삭제하시기 바랍니다.

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
 - WiseRunUpdate = C:\Program Files\WiseComm\Update\WRupdate.exe
 - WRcheck = C:\Program Files\WiseComm\cdm\WRcheck.exe

 

생성 레지스트리 등록 정보

 

HKEY_CURRENT_USER\Software\Wise Runner
HKEY_CURRENT_USER\Software\WiseRunChecker
HKEY_CURRENT_USER\Software\WiseRunUpdate
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - WiseRunMonitor = "C:\Program Files\WiseComm\wiserun\wiserunMon.exe" /Init
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Wise Runner

 

 

WiseComm 광고 배포용 프로그램은 최근 네트워크 정보를 제공하는 "Windows Network IP Manager" 프로그램을 통해 지속적인 광고 설치 행위를 위한 기반을 다지고 있습니다.

 

그러므로 지속적으로 광고 프로그램이 자동으로 설치되는 증상이 발생하는 사용자는 광고 프로그램만을 삭제하지 마시고 Malware Zero Kit (MZK) 도구를 이용한 검사 또는 광고 프로그램 삭제 관련 문의 방법을 참고하여 문제의 원인을 찾으시기 바랍니다.

728x90
반응형