설치 시 네트워크 접속 정보를 표시하는 "Windows IPHelper - Network Utility" 창을 생성하는 "Windows Network IP Manager" 광고 배포용 프로그램이 사용자 몰래 다수의 국내 광고 프로그램을 몰래 설치하는 행위에 대해 살펴보도록 하겠습니다.
C:\Program Files\IPHelper
C:\Program Files\IPHelper\Config
C:\Program Files\IPHelper\DATA
C:\Program Files\IPHelper\Fetch
C:\Program Files\IPHelper\IPHelper.exe :: "Windows IPHelper - Network Utility" 프로그램 실행 파일
C:\Program Files\IPHelper\IPHelper.ico
C:\Program Files\IPHelper\uninstall.exe :: 프로그램 삭제 파일
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\IPHelper
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\IPHelper\IPHelper Network Management 실행.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\IPHelper\IPHelper 홈페이지.lnk
C:\Users\(로그인 계정명)\AppData\Local\IPHelper
C:\Users\(로그인 계정명)\AppData\Local\IPHelper\LAUNCHER
C:\Users\(로그인 계정명)\AppData\Local\IPHelper\LAUNCHER\iphLauncher.exe :: 시작 프로그램(IPHelperAppLauncher) 등록 파일, "IPHelper Network Management" 실행 파일
C:\Users\(로그인 계정명)\AppData\Local\IPHelper\Management
C:\Users\(로그인 계정명)\AppData\Local\IPHelper\Management\iphlms.exe
C:\Users\(로그인 계정명)\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\IPHelper
C:\Users\(로그인 계정명)\Desktop\IPHelper Network Management.lnk
C:\Program Files\IPHelper\IPHelper.exe
- SHA-1 : 9dd9710c2592804ae1444ba110cdc47e4679791a
- AVG : Generic.2E7
C:\Users\(로그인 계정명)\AppData\Local\IPHelper\LAUNCHER\iphLauncher.exe
- SHA-1 : b2233e1056102486c3f0b919926a4294f1d047cb
- AVG : Win32/DH{gVQTJQ?}
C:\Users\(로그인 계정명)\AppData\Local\IPHelper\Management\iphlms.exe
- SHA-1 : 65e386a0086f21b629894e73173af8e55bcc2b49
- AVG : Generic.2E7
WiseCommerce 디지털 서명이 포함된 "Windows Network IP Manager" 광고 배포용 프로그램은 "
C:\Program Files\IPHelper", "C:\Users\(로그인 계정명)\AppData\Local\IPHelper" 2개의 폴더에 프로그램을 설치합니다.이를 통해 특정 HTTPS 서버와 암호화된 통신을 수행한 후 "C:\Program Files\IPHelper\IPHelper.exe" 파일을 추가 로딩하여 화면 상에서는 다음과 같은 모습을 볼 수 있습니다.
생성된 "Windows IPHelper - Network Utility" 창에서는 네트워크 접속 정보를 제공하여 사용자로 하여금 유용한 프로그램처럼 생각하여 삭제하지 않도록 구성되어 있습니다.
또한 바탕 화면과 프로그램 목록에 "IPHelper Network Management" 바로가기 항목을 추가하여 사용자가 실행 시 "C:\Users\(로그인 계정명)\AppData\Local\IPHelper\LAUNCHER\iphLauncher.exe" 파일 실행을 통해 "Windows IPHelper - Network Utility" 창을 보여줍니다.
단지 눈에 보이는 광고 행위는 "Windows IPHelper - Network Utility" 창 종료 시 특정 Google 단축 URL 주소(goo.gl)를 통해 광고 서버를 경유하여 웹사이트가 자동으로 오픈되며, 테스트 당시에는 네이버(Naver)로 연결되고 있습니다.
하지만 위와 같은 평범해보이는 "Windows Network IP Manager" 광고 배포용 프로그램은 특정 부팅 시에는 사용자 몰래 다수의 국내 광고 프로그램을 자동 다운로드 및 실행하여 설치하는 행위가 이루어질 수 있습니다.
- 분석 도구 : WindowexeFFkiller.exe, WindowexeFFkillerAdd.exe, WindowexeAllkiller.exe, WindowexeLog.exe, WindowexeLogMail.exe, runscanner.exe, OLLYDBG.exe, UPM.exe, vmwp.exe, vboxmanage.exe, vpc.exe
- PC방 관리 솔루션 : picavncsvc.exe, gtlexp.exe, dlxsvc.exe, dlx5.exe, dlc.exe, pcwc.exe, pcwc_ag.exe, ntmacc.exe
- h**p://check**.**/agree_smartrun/SmartAgree0321.exe (SHA-1 : a3a8444df132493b97d2294ba3031d5bec696bf1) - ESET : a variant of Win32/Adware.BrowShot.C
참고로 SmartAgree0321.exe 파일을 제공하는 서버를 살펴보면 2~3일 간격으로 업데이트 파일을 변경하여 유포하는 행위가 발견되고 있습니다.
실행된 SmartAgree0321.exe 파일은 사용자 몰래 다양한 서버로부터 국내 광고 프로그램을 다수 다운로드하여 "C:\Temp" 임시 폴더에 설치 파일을 생성한 후 일부 PC 환경에서는 "SmartAgree0321.exe의 작동이 중지되었습니다." 오류 메시지를 띄우며 종료합니다.
생성된 국내 광고 프로그램 설치 파일은 자동 실행되어 백그라운드 방식으로 설치를 완료하며, 일부 설치 파일은 프로그램 설치 후 자동 삭제될 수 있습니다.
(1) "최신영화 무료다운" 바로가기 아이콘 생성 프로그램
- h**ps://wise***.co.kr/APP/filejo.exe (SHA-1 : cefed0d3e9d144c322839788695cf32240aabde0) - Norton : PUA.Downloader
생성 파일 등록 정보 |
C:\Temp\filejo.exe C:\Users\(로그인 계정명)\Desktop\최신영화 무료다운.lnk C:\Users\(로그인 계정명)\Favorites\Links\최신영화 무료다운.lnk C:\Users\(로그인 계정명)\Favorites\최신영화 무료다운.lnk C:\Windows\filejo.ico
|
사용자 몰래 다운로드되어 실행된 WiseCommerce 디지털 서명이 포함된 "C:\Temp\filejo.exe" 파일은 바탕 화면과 즐겨찾기 영역에 "최신영화 무료다운" 바로가기 아이콘을 추가하여 클릭 시 "h**ps://www.baro***.com:444" 서버를 경유하여 특정 웹하드에 추천인 아이디(ID)를 포함한 형태로 연결됩니다.
- h**p://down.key****info.co.kr/ISZoneSetup_127_hide.exe (SHA-1 : ab167786f7ce1537df1eba0942da0090482ca2d9)
- <추가 다운로드> h**p://down.key****info.co.kr/ISZoneInstall_127_163.exe (SHA-1: f6d1c47df9e4741725f8b523f8b45791212f15e1) - ESET : a variant of Win32/Adware.SafeTerra.A
사용자 몰래 다운로드되어 실행된 "C:\Temp\ISZoneSetup_127_hide.exe" 배포 파일은 특정 서버에서 설치 파일을 추가 다운로드하여 "C:\Users\(로그인 계정명)\AppData\Roaming\ISZoneInstall_127_163.exe" 파일로 생성되어 "gaia media group Co., Ltd." 디지털 서명이 포함된 InternetSafeZone 광고 프로그램을 숨김(H) 속성값을 가진 "C:\Program Files\ISZone" 폴더에 설치합니다.
(3) 검색 도우미 : KeywordMap (2015.10.11)
- h**p://down.click***.co.kr/download.click***.co.kr/keywordmap/4/KeyWordMap_L.exe (SHA-1 : c0da5abf4ad98ec1fd4ac654c9e65f0916224c98) - Hauri ViRobot : Adware.Agent.588000.M[h]
- <추가 다운로드> h**p://admin.click***.co.kr/CDN/download.click***.co.kr/keywordmap/4/KeywordMapInstall.exe (SHA-1 : ef8be63f4c5a8161c95777bae3325621842993c6) - avast! : Win32:Adware-gen [Adw]
사용자 몰래 다운로드되어 실행된 "C:\Temp\KeyWordMap_L.exe" 배포 파일은 특정 서버에서 설치 파일을 추가 다운로드하여 "C:\Users\(로그인 계정명)\AppData\Local\Temp\KeywordMapInstall.exe" 파일로 생성되어 "jncmarketing Co., Ltd" 디지털 서명이 포함된 KeywordMap 광고 프로그램을 다음의 2개 폴더에 설치합니다.
- C:\Users\(로그인 계정명)\AppData\Roaming\KeywordMap
- C:\Users\(로그인 계정명)\AppData\Roaming\Microsort
KeywordMap 광고 프로그램은 해당 배포 방식으로는 제어판에 삭제 항목을 등록하지 않으므로 제거를 위해서는 "C:\Users\(로그인 계정명)\AppData\Roaming\KeywordMap\unins000.exe" 파일을 찾아 직접 실행하시기 바랍니다.
(4) 검색 도우미 : 세이브팝(Savepop) - Windows Savepoop (2014.12.15)
- h**p://save***.co.kr/app/download/partner/24/savepop_agent.exe (SHA-1 : c62a1b7c8568814f511f28c59a7d325125f6d1fd) - BitDefender : Gen:Variant.Symmi.59597
사용자 몰래 다운로드되어 실행된 "C:\Temp\savepop_agent.exe" 파일은 보노텍 디지털 서명이 포함된 "Windows Savepoop" 광고 프로그램을 "C:\Users\(로그인 계정명)\AppData\Roaming\Savepop" 폴더에 설치합니다.
(5) 검색 도우미 : Happ Manager (2016.3.21)
- h**ps://www.**helper.co.kr/PGS/happ01/setuphapp01.exe (SHA-1 : 7ff551aef7ab2c5a4a77adc150b7f0d98d6ba6ff) - AVG : Win32/DH{gVQTJQ?}
사용자 몰래 다운로드되어 실행된 "C:\Temp\setuphapp01.exe" 파일은 WiseCommerce 디지털 서명이 포함된 "Happ Manager" 광고 프로그램을 "C:\Program Files\Happ" 폴더에 설치합니다.
(6) 바로가기 아이콘 생성 프로그램 : Microsoft Platform SmartRun Management Tools
- h**ps://smart***.co.kr:444/PGS/smr01/setupsmr01.exe (SHA-1 : 56505afe557e097b4a3af3855cf806ecd794221b) - avast! : Win32:Malware-gen
- h**ps://wise***.co.kr/APP/Check/WRChecker.exe (SHA-1 : 459523665e7cdae1f911793236a5ddc00965b596) - Hauri ViRobot : Adware.WiseComm.918816[h]
생성 레지스트리 등록 정보 |
- WiseRunChecker = C:\Temp\WRChecker.exe HKEY_CURRENT_USER\Software\WiseRunChecker
|
이를 통해 특정 HTTPS 서버와 암호화된 통신을 수행하며 "C:\Temp\Check.ini" 파일 체크를 통해 제휴 프로그램 다운로드 정보를 확인하여 광고 프로그램 자동 다운로드 및 설치에 관여할 수 있습니다.
■ "Windows Network IP Manager" 광고 배포용 프로그램 삭제 방법
다수의 광고 프로그램을 자동 설치하는 기능을 가진 "Windows Network IP Manager" 프로그램은 제어판에 표시된 삭제 항목을 통해 제거할 수 있으며, 프로그램 삭제 후 "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\IPHelper" 폴더를 찾아 추가적으로 삭제하시기 바랍니다.
생성 레지스트리 등록 정보 |
HKEY_CURRENT_USER\Software\IPHelper HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce - IPHelperAppLauncher = "C:\Users\(로그인 계정명)\AppData\Local\IPHelper\LAUNCHER\iphLauncher.exe" -Start HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\IPHelper
|
또한 "Windows Network IP Manager" 광고 배포용 프로그램이 설치된 환경에서는 다수의 광고 프로그램이 함께 존재할 가능성이 매우 높으므로 제어판에서 광고 프로그램을 찾아 제거하시기 바라며, Malware Zero Kit (MZK) 도구를 이용하여 추가적인 점검을 해보시길 권장합니다.