본문 바로가기

벌새::Analysis

국내 악성코드 : 플러스매칭(PlusMatching) - fusewill

728x90
반응형

기존에 살펴본 국내에서 제작된 "Windows Explorer usewillch .NET Service Pack 1" 악성 광고 프로그램이 업데이트 기능을 통해 삭제 기능을 제공하지 않는 또 다른 플러스매칭(PlusMatching) 변종 광고 프로그램을 설치하는 것으로 추정되는 사례를 살펴보도록 하겠습니다.

 

해당 악성 광고 프로그램(SHA-1 : c94b8aea13e1fa0b28340b4df1091beb798e3ae8 - ESET : a variant of Win32/Adware.Kraddare.KS)은 2015년 12월 초에 최초 발견된 것으로 추정되고 있습니다.

생성 폴더 / 파일 등록 정보


C:\Users\(로그인 계정명)\AppData\Roaming\fusewill
C:\Users\(로그인 계정명)\AppData\Roaming\fusewill\fusewill.exe :: 예약 작업(usewills) 등록 파일, 메모리 상주 프로세스
C:\Users\(로그인 계정명)\AppData\Roaming\fusewill\pl.ini
C:\Users\(로그인 계정명)\AppData\Roaming\fusewill\ucvsvc.exe :: 서비스(fusewilll) 등록 파일, 메모리 상주 프로세스
C:\Users\(로그인 계정명)\AppData\Roaming\fusewill\uninst.exe :: 프로그램 삭제 파일
C:\Users\(로그인 계정명)\AppData\Roaming\fusewill\usewill.dll
C:\Windows\System32\Tasks\usewills

생성 파일 진단 정보

 

C:\Users\(로그인 계정명)\AppData\Roaming\fusewill\fusewill.exe
 - SHA-1 : e454eb328c676e1716705e77a348dfc1267c3cc5
 - Avira : TR/Adkor.rdnx


C:\Users\(로그인 계정명)\AppData\Roaming\fusewill\ucvsvc.exe
 - SHA-1 : 8db2ba44fea40b0c9ee50326aae35572b9670433
 - AhnLab V3 : Adware/Win32.Agent.C1316031


C:\Users\(로그인 계정명)\AppData\Roaming\fusewill\usewill.dll
 - SHA-1 : 004fbb2c46f68d01f6a21df72f31c5735d5f2a0d
 - AhnLab V3 365 Clinic : PUP/Win32.SearchZone.C1108071

PioneerSoft 디지털 서명이 포함된 플러스매칭(PlusMatching) 광고 프로그램은 "C:\Users\(로그인 계정명)\AppData\Roaming\fusewill" 폴더에 파일을 생성합니다.

"fusewilll (표시 이름 : fusewilll 서비스)" 서비스 항목을 등록하여 시스템 시작 시 "C:\Users\(로그인 계정명)\AppData\Roaming\fusewill\ucvsvc.exe" 파일을 자동 실행하여 광고 기능을 수행하는 "C:\Users\(로그인 계정명)\AppData\Roaming\fusewill\fusewill.exe" 파일을 로딩하여 메모리에 상주시킵니다.

또한 예약 작업 영역에 usewills 작업 스케줄러를 등록하여 시스템 시작 시 "C:\Users\(로그인 계정명)\AppData\Roaming\fusewill\fusewill.exe" 파일을 자동 실행하여 메모리에 상주하도록 2중 자동 실행값을 추가합니다.

자동 실행되어 메모리에 상주하는 fusewill.exe 파일은 업데이트 정보 및 실행 카운터를 체크한 후 "C:\Users\(로그인 계정명)\AppData\Roaming\fusewill\usewill.dll" 광고 모듈을 로딩합니다.

만약 업데이트 체크 과정에서 추가적인 변종 광고 정보가 등록되어 있는 경우 update.exe 파일 다운로드 및 자동 실행을 통해 또 다른 형태의 플러스매칭(PlusMatching) 광고 프로그램을 설치할 수 있을 것으로 추정됩니다.

 

또한 로딩된 usewill.dll 광고 모듈은 인터넷 검색 활동 중 광고 배너(창)을 생성하는 동작이 이루어질 수 있습니다.

 

■ 플러스매칭(PlusMatching) 광고 프로그램 삭제 방법

설치된 플러스매칭(PlusMatching) 광고 프로그램은 레지스트리 값에서는 "Windows Explorer usewillch .NET Service Pack 1" 프로그램으로 추가되어 있지만, 제어판에는 표시되지 않도록 일부값이 존재하지 않는 상태입니다.

또한 프로그램 삭제 파일로 등록된 "C:\Users\(로그인 계정명)\AppData\Roaming\fusewill\uninst.exe" 파일을 찾아 직접 실행하여 프로그램 제거를 진행하여도 광고 기능을 수행하는 핵심적인 파일은 제거되지 않는 것을 알 수 있습니다.

 

그러므로 플러스매칭(PlusMatching) 광고 프로그램을 깨끗하게 제거하기 위해서는 다음과 같은 수동 방식으로 삭제하시기 바랍니다.

(a) "보조 프로그램 → 명령 프롬프트" 메뉴를 "관리자 권한으로 실행"하여 생성된 명령 프롬프트 창에 다음의 명령어를 순서대로 입력 및 실행하여 서비스 프로세스 종료 및 서비스 레지스트리 값을 자동 삭제하시기 바랍니다.

  • sc stop "fusewilll"
  • sc delete "fusewilll"

(b) Windows 작업 관리자를 실행하여 fusewill.exe 프로세스를 찾아 종료하시기 바랍니다.

 

(c) 다음의 폴더 및 파일을 찾아 삭제하시기 바랍니다.

  • C:\Users\(로그인 계정명)\AppData\Roaming\fusewill
  • C:\Windows\System32\Tasks\usewills

(d) 레지스트리 편집기(regedit)를 실행하여 다음의 레지스트리 값이 존재할 경우 삭제하시기 바랍니다.

 

생성 레지스트리 등록 정보

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Windows Explorer usewillch .NET Service Pack 1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{3E0838E7-EB21-4B54-B7F9-CC40AD5D0DE8}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\usewills
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\fusewilll

 

 

플러스매칭(PlusMatching) 광고 프로그램은 기존부터 제어판에 제대로 표시하지 않는 방식으로 설치되는 경향이 강하며, 업데이트 기능을 통해 다양한 폴더에 프로그램을 설치하는 것으로 보이므로 설치되지 않도록 주의하시기 바랍니다.

 

728x90
반응형