본문 바로가기

벌새::Analysis

동의없이 광고 프로그램을 대량 설치하는 "Windows Network IP Manager" 프로그램 주의 (2016.3.22)

반응형

설치 시 네트워크 접속 정보를 표시하는 "Windows IPHelper - Network Utility" 창을 생성하는 "Windows Network IP Manager" 광고 배포용 프로그램이 사용자 몰래 다수의 국내 광고 프로그램을 몰래 설치하는 행위에 대해 살펴보도록 하겠습니다.

 

2016년 1월 중순경부터 유포가 이루어진 해당 프로그램은 기존에 소개한 사용자 몰래 광고 프로그램을 설치할 수 있는 WiseComm 계열과 매우 유사하므로 참고하시기 바랍니다.
C:\Program Files\IPHelper
C:\Program Files\IPHelper\Config
C:\Program Files\IPHelper\DATA
C:\Program Files\IPHelper\Fetch
C:\Program Files\IPHelper\IPHelper.exe :: "Windows IPHelper - Network Utility" 프로그램 실행 파일
C:\Program Files\IPHelper\IPHelper.ico
C:\Program Files\IPHelper\uninstall.exe :: 프로그램 삭제 파일
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\IPHelper
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\IPHelper\IPHelper Network Management 실행.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\IPHelper\IPHelper 홈페이지.lnk
C:\Users\(로그인 계정명)\AppData\Local\IPHelper
C:\Users\(로그인 계정명)\AppData\Local\IPHelper\LAUNCHER
C:\Users\(로그인 계정명)\AppData\Local\IPHelper\LAUNCHER\iphLauncher.exe :: 시작 프로그램(IPHelperAppLauncher) 등록 파일, "IPHelper Network Management" 실행 파일
C:\Users\(로그인 계정명)\AppData\Local\IPHelper\Management
C:\Users\(로그인 계정명)\AppData\Local\IPHelper\Management\iphlms.exe
C:\Users\(로그인 계정명)\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\IPHelper
C:\Users\(로그인 계정명)\Desktop\IPHelper Network Management.lnk

 

C:\Program Files\IPHelper\IPHelper.exe
 - SHA-1 : 9dd9710c2592804ae1444ba110cdc47e4679791a
 - AVG : Generic.2E7

C:\Users\(로그인 계정명)\AppData\Local\IPHelper\LAUNCHER\iphLauncher.exe
 - SHA-1 : b2233e1056102486c3f0b919926a4294f1d047cb
 - AVG : Win32/DH{gVQTJQ?}

C:\Users\(로그인 계정명)\AppData\Local\IPHelper\Management\iphlms.exe
 - SHA-1 : 65e386a0086f21b629894e73173af8e55bcc2b49
 - AVG : Generic.2E7

WiseCommerce 디지털 서명이 포함된 "Windows Network IP Manager" 광고 배포용 프로그램은 "

C:\Program Files\IPHelper", "C:\Users\(로그인 계정명)\AppData\Local\IPHelper" 2개의 폴더에 프로그램을 설치합니다.
 
Windows 시작 시 RunOnce 시작 프로그램 영역에 IPHelperAppLauncher 등록값을 추가하여 ["C:\Users\(로그인 계정명)\AppData\Local\IPHelper\LAUNCHER\iphLauncher.exe" -Start] 파일을 자동 실행하도록 구성되어 있습니다.

이를 통해 특정 HTTPS 서버와 암호화된 통신을 수행한 후 "C:\Program Files\IPHelper\IPHelper.exe" 파일을 추가 로딩하여 화면 상에서는 다음과 같은 모습을 볼 수 있습니다.

생성된 "Windows IPHelper - Network Utility" 창에서는 네트워크 접속 정보를 제공하여 사용자로 하여금 유용한 프로그램처럼 생각하여 삭제하지 않도록 구성되어 있습니다.

또한 바탕 화면과 프로그램 목록에 "IPHelper Network Management" 바로가기 항목을 추가하여 사용자가 실행 시 "C:\Users\(로그인 계정명)\AppData\Local\IPHelper\LAUNCHER\iphLauncher.exe" 파일 실행을 통해 "Windows IPHelper - Network Utility" 창을 보여줍니다.

단지 눈에 보이는 광고 행위는 "Windows IPHelper - Network Utility" 창 종료 시 특정 Google 단축 URL 주소(goo.gl)를 통해 광고 서버를 경유하여 웹사이트가 자동으로 오픈되며, 테스트 당시에는 네이버(Naver)로 연결되고 있습니다.

 

하지만 위와 같은 평범해보이는 "Windows Network IP Manager" 광고 배포용 프로그램은 특정 부팅 시에는 사용자 몰래 다수의 국내 광고 프로그램을 자동 다운로드 및 실행하여 설치하는 행위가 이루어질 수 있습니다.

  • 분석 도구 : WindowexeFFkiller.exe, WindowexeFFkillerAdd.exe, WindowexeAllkiller.exe, WindowexeLog.exe, WindowexeLogMail.exe, runscanner.exe, OLLYDBG.exe, UPM.exe, vmwp.exe, vboxmanage.exe, vpc.exe
  • PC방 관리 솔루션 : picavncsvc.exe, gtlexp.exe, dlxsvc.exe, dlx5.exe, dlc.exe, pcwc.exe, pcwc_ag.exe, ntmacc.exe
부팅 시 자동 실행되는 "C:\Users\(로그인 계정명)\AppData\Local\IPHelper\LAUNCHER\iphLauncher.exe" 파일은 메모리에 상주하는 프로세스 정보를 체크하여 분석 도구 및 PC방 관리 솔루션이 존재할 경우 다음과 같은 자신의 악의적인 기능을 숨깁니다.
  • h**p://check**.**/agree_smartrun/SmartAgree0321.exe (SHA-1 : a3a8444df132493b97d2294ba3031d5bec696bf1) - ESET : a variant of Win32/Adware.BrowShot.C
자동 실행된 iphLauncher.exe 파일은 특정 서버에서 WiseCommerce 디지털 서명이 포함된 SmartAgree0321.exe 파일을 다운로드하여 "C:\Users\(로그인 계정명)\AppData\Local\Temp\SmartAgree0321.exe" 파일로 생성 및 자동 실행됩니다.

참고로 SmartAgree0321.exe 파일을 제공하는 서버를 살펴보면 2~3일 간격으로 업데이트 파일을 변경하여 유포하는 행위가 발견되고 있습니다.

실행된 SmartAgree0321.exe 파일은 사용자 몰래 다양한 서버로부터 국내 광고 프로그램을 다수 다운로드하여 "C:\Temp" 임시 폴더에 설치 파일을 생성한 후 일부 PC 환경에서는 "SmartAgree0321.exe의 작동이 중지되었습니다." 오류 메시지를 띄우며 종료합니다.

생성된 국내 광고 프로그램 설치 파일은 자동 실행되어 백그라운드 방식으로 설치를 완료하며, 일부 설치 파일은 프로그램 설치 후 자동 삭제될 수 있습니다.

 

(1) "최신영화 무료다운" 바로가기 아이콘 생성 프로그램

  • h**ps://wise***.co.kr/APP/filejo.exe (SHA-1 : cefed0d3e9d144c322839788695cf32240aabde0) - Norton : PUA.Downloader

생성 파일 등록 정보

 

C:\Temp\filejo.exe

C:\Users\(로그인 계정명)\Desktop\최신영화 무료다운.lnk

C:\Users\(로그인 계정명)\Favorites\Links\최신영화 무료다운.lnk

C:\Users\(로그인 계정명)\Favorites\최신영화 무료다운.lnk

C:\Windows\filejo.ico

 

 

사용자 몰래 다운로드되어 실행된 WiseCommerce 디지털 서명이 포함된 "C:\Temp\filejo.exe" 파일은 바탕 화면과 즐겨찾기 영역에 "최신영화 무료다운" 바로가기 아이콘을 추가하여 클릭 시 "h**ps://www.baro***.com:444" 서버를 경유하여 특정 웹하드에 추천인 아이디(ID)를 포함한 형태로 연결됩니다.

 

참고로 해당 연결 서버는 기존의 "Windows System Barozen Shortcut Manager" 광고 프로그램과 연관되어 있으며, 해당 광고 프로그램은 삭제 기능을 제공하지 않으므로 사용자가 생성된 바로가기 아이콘을 찾아 직접 삭제해야 합니다.
 
  • h**p://down.key****info.co.kr/ISZoneSetup_127_hide.exe (SHA-1 : ab167786f7ce1537df1eba0942da0090482ca2d9)
  • <추가 다운로드> h**p://down.key****info.co.kr/ISZoneInstall_127_163.exe (SHA-1: f6d1c47df9e4741725f8b523f8b45791212f15e1) - ESET : a variant of Win32/Adware.SafeTerra.A

사용자 몰래 다운로드되어 실행된 "C:\Temp\ISZoneSetup_127_hide.exe" 배포 파일은 특정 서버에서 설치 파일을 추가 다운로드하여 "C:\Users\(로그인 계정명)\AppData\Roaming\ISZoneInstall_127_163.exe" 파일로 생성되어 "gaia media group Co., Ltd." 디지털 서명이 포함된 InternetSafeZone 광고 프로그램을 숨김(H) 속성값을 가진 "C:\Program Files\ISZone" 폴더에 설치합니다.

 

(3) 검색 도우미 : KeywordMap (2015.10.11)

  • h**p://down.click***.co.kr/download.click***.co.kr/keywordmap/4/KeyWordMap_L.exe (SHA-1 : c0da5abf4ad98ec1fd4ac654c9e65f0916224c98) - Hauri ViRobot : Adware.Agent.588000.M[h]
  • <추가 다운로드> h**p://admin.click***.co.kr/CDN/download.click***.co.kr/keywordmap/4/KeywordMapInstall.exe (SHA-1 : ef8be63f4c5a8161c95777bae3325621842993c6) - avast! : Win32:Adware-gen [Adw]

사용자 몰래 다운로드되어 실행된 "C:\Temp\KeyWordMap_L.exe" 배포 파일은 특정 서버에서 설치 파일을 추가 다운로드하여 "C:\Users\(로그인 계정명)\AppData\Local\Temp\KeywordMapInstall.exe" 파일로 생성되어 "jncmarketing Co., Ltd" 디지털 서명이 포함된 KeywordMap 광고 프로그램을 다음의 2개 폴더에 설치합니다.

 

  • C:\Users\(로그인 계정명)\AppData\Roaming\KeywordMap
  • C:\Users\(로그인 계정명)\AppData\Roaming\Microsort

KeywordMap 광고 프로그램은 해당 배포 방식으로는 제어판에 삭제 항목을 등록하지 않으므로 제거를 위해서는 "C:\Users\(로그인 계정명)\AppData\Roaming\KeywordMap\unins000.exe" 파일을 찾아 직접 실행하시기 바랍니다.

 

(4) 검색 도우미 : 세이브팝(Savepop) - Windows Savepoop (2014.12.15)

  • h**p://save***.co.kr/app/download/partner/24/savepop_agent.exe (SHA-1 : c62a1b7c8568814f511f28c59a7d325125f6d1fd) - BitDefender : Gen:Variant.Symmi.59597

사용자 몰래 다운로드되어 실행된 "C:\Temp\savepop_agent.exe" 파일은 보노텍 디지털 서명이 포함된 "Windows Savepoop" 광고 프로그램을 "C:\Users\(로그인 계정명)\AppData\Roaming\Savepop" 폴더에 설치합니다.

 

(5) 검색 도우미 : Happ Manager (2016.3.21)

  • h**ps://www.**helper.co.kr/PGS/happ01/setuphapp01.exe (SHA-1 : 7ff551aef7ab2c5a4a77adc150b7f0d98d6ba6ff) - AVG : Win32/DH{gVQTJQ?}

사용자 몰래 다운로드되어 실행된 "C:\Temp\setuphapp01.exe" 파일은 WiseCommerce 디지털 서명이 포함된 "Happ Manager" 광고 프로그램을 "C:\Program Files\Happ" 폴더에 설치합니다.

 

(6) 바로가기 아이콘 생성 프로그램 : Microsoft Platform SmartRun Management Tools

  • h**ps://smart***.co.kr:444/PGS/smr01/setupsmr01.exe (SHA-1 : 56505afe557e097b4a3af3855cf806ecd794221b) - avast! : Win32:Malware-gen
사용자 몰래 다운로드되어 실행된 "C:\Temp\setupsmr01.exe" 파일은 WiseCommerce 디지털 서명이 포함된 "Microsoft Platform SmartRun Management Tools" 광고 프로그램을 "C:\Program Files\SmartRun" 폴더에 설치합니다.
 
이를 통해 인터넷 쇼핑몰 바로가기 아이콘 생성 및 인터넷 검색 시 광고창 생성 행위가 이루어질 수 있을 것으로 추정됩니다.
 
(7) "Wise Runner Checker" 광고 배포용 프로그램
  • h**ps://wise***.co.kr/APP/Check/WRChecker.exe (SHA-1 : 459523665e7cdae1f911793236a5ddc00965b596) - Hauri ViRobot : Adware.WiseComm.918816[h]

생성 레지스트리 등록 정보


HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce

 - WiseRunChecker = C:\Temp\WRChecker.exe

HKEY_CURRENT_USER\Software\WiseRunChecker

 

 

WiseCommerce 디지털 서명이 포함된 "C:\Temp\WRChecker.exe" 파일은 Windows 시작 시 RunOnce 시작 프로그램 영역에 WiseRunChecker 등록값을 통해 "C:\Temp\WRChecker.exe" 파일을 자동 실행하도록 구성되어 있습니다.

이를 통해 특정 HTTPS 서버와 암호화된 통신을 수행하며 "C:\Temp\Check.ini" 파일 체크를 통해 제휴 프로그램 다운로드 정보를 확인하여 광고 프로그램 자동 다운로드 및 설치에 관여할 수 있습니다.

 

"Windows Network IP Manager" 광고 배포용 프로그램 삭제 방법

다수의 광고 프로그램을 자동 설치하는 기능을 가진 "Windows Network IP Manager" 프로그램은 제어판에 표시된 삭제 항목을 통해 제거할 수 있으며, 프로그램 삭제 후 "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\IPHelper" 폴더를 찾아 추가적으로 삭제하시기 바랍니다.

 

생성 레지스트리 등록 정보

 

HKEY_CURRENT_USER\Software\IPHelper

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce

 - IPHelperAppLauncher = "C:\Users\(로그인 계정명)\AppData\Local\IPHelper\LAUNCHER\iphLauncher.exe" -Start

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\IPHelper

 

 

또한 "Windows Network IP Manager" 광고 배포용 프로그램이 설치된 환경에서는 다수의 광고 프로그램이 함께 존재할 가능성이 매우 높으므로 제어판에서 광고 프로그램을 찾아 제거하시기 바라며, Malware Zero Kit (MZK) 도구를 이용하여 추가적인 점검을 해보시길 권장합니다.

728x90
반응형