국내에서 제작된 다양한 광고 프로그램을 사용자 동의없이 몰래 설치하는 기능을 수행하는 "MicroSearch Mapping Agents Program" 광고 배포용 프로그램은 2016년 5월 중순경부터 은밀하게 유포되고 있었습니다.
기존에 BrowserShot, Microsoft Windows Wise Runner Process Cleaning Runtime - Korean, Windows Network IP Manager 등과 같은 유사한 기능을 가진 변종을 1년 넘게 운영하고 있으며, 특히 AhnLab V3 백신 프로그램의 웹 차단 기능을 우회할 목적으로 SSL/TLS 1.2 보안 서버를 운영하여 파일 다운로드를 시도하는 특징을 가지고 있습니다.
- SHA-1 : 38a099b85542e346a49ab621ebc6a0885a4cdeda - AhnLab V3 365 Clinic : PUP/Win32.AdHelper.C1453876
- SHA-1 : 0149094c4f038948bd45f7a5c4205c9d1696d13c - Hauri ViRobot : Adware.Browshot.527608[h]
WiseCommerce 디지털 서명이 포함된 "MicroSearch Mapping Agents Program" 광고 배포용 프로그램의 설치 파일을 통해 어떠한 악의적인 기능을 수행하는지 살펴보도록 하겠습니다.
생성 폴더 / 파일 등록 정보 |
C:\Program Files\Mappin
|
생성 파일 진단 정보 |
C:\Program Files\Mappin\mpn.exe
C:\Program Files\Mappin\mpn.exe.tmp
C:\Users\%UserName%\AppData\Local\MicroSearch Mappin\MPNS\mpns.exe
C:\Users\%UserName%\AppData\Local\MicroSearch Mappin\MPNS\mpns.exe.tmp
C:\Users\%UserName%\AppData\Local\MicroSearch Mappin\NVSServ Controller\nvsserv.exe
C:\Users\%UserName%\AppData\Local\MicroSearch Mappin\NVSServ Controller\nvsserv.exe.tmp
|
WiseCommerce 디지털 서명이 포함된 "MicroSearch Mapping Agents Program" 광고 배포용 프로그램은 "C:\Program Files\Mappin" 폴더와 핵심 기능을 수행하는 "C:\Users\%UserName%\AppData\Local\MicroSearch Mappin" 폴더에 파일을 각각 생성합니다.
"MicroSearch Mapping Agents Program (서비스 이름 : MicroSearch Mapping Agents Program)" 서비스 항목을 등록하여 시스템 시작 시 "C:\Users\%UserName%\AppData\Local\MicroSearch Mappin\NVSServ Controller\nvsserv.exe" 파일을 자동 실행하여 메모리에 상주하도록 구성되어 있습니다.
WindowexeFFkiller.exe, WindowexeFFkillerAdd.exe, WindowexeAllkiller.exe, WindowexeLog.exe, WindowexeLogMail.exe, picavncsvc.exe, runscanner.exe, OLLYDBG.exe, gtlexp.exe, dlxsvc.exe, dlx5.exe, dlc.exe, UPM.exe, pcwc.exe, pcwc_ag.exe, ntmacc.exe, vmwp.exe, vboxmanage.exe, vpc.exe, VMwareUser.exe, vmnat.exe, VirtualBox.exe, VBoxSVC.exe
실행된 nvsserv.exe 파일은 분석을 방해할 목적으로 가상 환경, 분석 도구, PC방 관리 솔루션, 정보 수집 도구를 체크하여 자신의 동작 여부를 결정하도록 구성되어 있습니다.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
- MappinAppStarter = "C:\Users\%UserName%\AppData\Local\MicroSearch Mappin\MPNS\mpns.exe" /UpdateCheck
또한 RunOnce 시작 프로그램에 MappinAppStarter 등록값을 추가하여 Windows 시작 시마다 mpns.exe 파일을 자동 실행하도록 구성되어 있습니다.
특히 프로그램 메뉴와 바탕 화면 영역에 "MicroSearch Mapping Agents Program" 바로가기 파일을 추가하여 사용자가 클릭 시 mpns.exe 파일을 실행하도록 구성되어 있습니다.
시작 프로그램과 바로가기 파일을 통해 실행될 수 있는 mpns.exe 파일은 특정 서버와의 암호화된 통신을 수행한 후 "C:\Program Files\Mappin\mpn.exe" 파일을 로딩하도록 구성되어 있습니다.
참고로 mpn.exe 파일은 Internet Explorer 웹 브라우저를 통해 특정 URL 주소에 접속할 때 추가적인 행위가 있을 것으로 보이지만 테스트 시에는 광고 행위는 확인되지 않고 있으며, 실행된 mpn.exe 파일은 일정 시간 경과 시 자동 종료한다는 점에서 "MicroSearch Mapping Agents Program" 광고 배포용 프로그램에서는 큰 의미는 없습니다.
그렇다면 이렇게 설치된 "MicroSearch Mapping Agents Program" 광고 배포용 프로그램의 핵심적인 기능을 살펴보도록 하겠습니다.
RunOnce 시작 프로그램에 등록된 MappinAppStarter 항목을 통해 자동 실행된 ["C:\Users\%UserName%\AppData\Local\MicroSearch Mappin\MPNS\mpns.exe" /UpdateCheck] 파일은 특정 서버에서 UpdateAgree(月日).exe 패턴을 가진 파일을 자동 다운로드하여 "C:\Users\%UserName%\AppData\Local\Temp\UpdateAgree0729.exe" 파일(SHA-1 : 9b5eadc63ce27be5738e0451ed9505185735923e - AhnLab V3 365 Clinic : PUP/Win32.WiseRun.C1326695)로 생성 및 실행될 수 있습니다.
다운로드된 UpdateAgree0729.exe 파일은 WiseCommerce 디지털 서명이 포함되어 있으며 내부적으로 WindowsUsersAgreemetforSmartRunsUpdates 프로그램 이름을 가지고 있습니다.
만약 사용자가 UpdateAgree0729.exe 파일을 직접 실행할 경우에는 "SmartRun User's Agreement Update Window" 창을 생성하여 프로그램 업데이트와 제휴 프로그램 설치에 대한 동의 여부를 결정할 수 있는 착한 파일처럼 구성되어 있습니다.
하지만 실제로는 "MicroSearch Mapping Agents Program" 광고 배포용 프로그램을 통해 자동 다운로드된 UpdateAgree0729.exe 파일은 ["C:\Users\%UserName%\AppData\Local\Temp\UpdateAgree0729.exe" /user] 명령어를 통해 화면 상으로 표시되지 않는 백그라운드 방식으로 자동 설치가 이루어집니다.
만약 백그라운드 방식을 통해 제휴 프로그램에 대한 자동 설치가 이루어진 후에는 "UpdateAgree0729.exe의 작동이 중지되었습니다."와 같은 오류 메시지가 표시되어 일부 눈치챌 수는 있지만 이미 성공적으로 모든 작업이 진행된 상태입니다.
이를 통해 사용자 동의없이 몰래 설치된 다수의 제휴 프로그램 설치 파일은 임시 폴더(C:\Temp)에 생성되어 자동 설치가 진행됩니다.
(1) "MicroSearch Mapping Agents Program" 업데이트 패치
- h**ps://mapp**.co.kr/APP/Part01/mpnSetup_bku.exe (SHA-1 : d3eb4b9b45fe46e7259c3af23631794a893c1ea4 - AVG : Generic.2E7)
WiseCommerce 디지털 서명이 포함된 "C:\Temp\mpnSetup_bku.exe" 파일은 "MicroSearch Mapping Agents Program" 광고 배포용 프로그램에 대한 패치를 수동하며 기존의 구버전은 임시 파일(.tmp) 형태로 처리됩니다.
(2) "Wise Runner Checker" 광고 배포용 파일
- h**ps://wise***.co.kr/APP/Check/WRChecker.exe (SHA-1 : 459523665e7cdae1f911793236a5ddc00965b596 - Hauri ViRobot : Adware.WiseComm.918816[h])
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
- WiseRunChecker = C:\Temp\WRChecker.exe
WiseCommerce 디지털 서명이 포함된 "C:\Temp\WRChecker.exe" 파일은 RunOnce 시작 프로그램에 WiseRunChecker 등록값을 추가하여 Windows 시작 시 자동 실행하여 특정 서버와 통신을 시도합니다.
이를 통해 "C:\Temp\Check.ini" 구성 파일 정보를 체크하여 추가적인 제휴 프로그램을 다운로드하여 사용자 몰래 자동 설치하는 기능을 수행할 수 있습니다.
(3) 검색 도우미 : Happ Manager (2016.3.21)
- h**ps://**helper.co.kr/PGS/happ02/setuphapp02.exe (SHA-1 : 4768ed81c950504cc8bacae79c73ec4da006888f - Avira : ADWARE/Kraddare.JK)
WiseCommerce 디지털 서명이 포함된 "C:\Temp\setuphapp02.exe" 파일은 "C:\Program Files\Happ" 폴더에 파일을 생성하여 특정 사이트 연결 기능을 수행할 수 있는 "Happ Manager" 광고 프로그램을 설치합니다.
(4) 검색 도우미 : SmartAddress (2015.11.21)
- h**p://dn.smart***ress.co.kr/smartaddress/setup/Launcher_BRZSA.exe (SHA-1 : 46d3bb3dbb1e07b69b3c5ed8a1f195dbc8bd7787 - Avira : TR/ATRAPS.Gen)
- h**p://dn.smart***ress.co.kr/smartaddress/setup/BRZSA_SETUP.exe (SHA-1 : 09c73e2ba27436dd64568aa5f2c35e3b38cf0a00 - Avira : TR/Agent.iyqn)
"드림소프트 (Dream Soft)" 디지털 서명이 포함된 "C:\Temp\Launcher_BRZSA.exe" 파일은 추가적인 다운로드를 통해 "C:\Users\%UserName%\AppData\Local\Temp\BRZSA_SETUP.exe" 파일을 생성 및 실행합니다.
이를 통해 "C:\Users\%UserName%\AppData\Roaming\smartaddress" 폴더에 파일을 생성하여 웹 브라우저 주소 표시줄 정보를 가로채기하는 SmartAddress 또는 "KTH SmartAddress" 광고 프로그램을 설치합니다.
(5) 검색 도우미 : Microsoft Platform SmartRun Management Tools (2016.4.9)
- h**ps://smart***.co.kr:444/PGS/smr02/setupsmr02.exe (SHA-1 : ad3f284d0cd294ef9dca8c4fc01c543b4a39ea1e - Kaspersky : not-a-virus:AdWare.Win32.Agent.jwhx)
WiseCommerce 디지털 서명이 포함된 "C:\Temp\setupsmr02.exe" 파일은 "C:\Program Files\SmartRun" 폴더에 파일을 생성하여 인터넷 검색 시 광고창 생성 및 다양한 바로가기 아이콘을 추가할 수 있는 "Microsoft Platform SmartRun Management Tools" 광고 프로그램을 설치합니다.
(6) 검색 도우미 : Windows IE Site Manager (2016.5.31)
- h**ps://down.**esm.kr/wiesm/WIESMSetup_20_hide.exe (SHA-1 : fb6a0f5d651df86e4e1a3ba79966cd359aed7e01 - Dr.Web : Trojan.Adkor.520)
- h**ps://down.**esm.kr/wiesm/WIESMInstall_20_163.exe (SHA-1 : 8b84a2484876a19cb3fff05471196e030a0c9e50 - ESET : a variant of Win32/Adware.SafeTerra.A)
"gaia media group Co., Ltd." 디지털 서명이 포함된 "C:\Temp\WIESMSetup_20_hide.exe" 파일은 추가적인 다운로드를 통해 "C:\Users\%UserName%\AppData\Roaming\WIESMInstall_20_163.exe" 파일을 생성 및 실행합니다.
이를 통해 숨김(H) 속성값을 가진 "C:\Program Files\WIESM" 폴더에 파일을 생성하여 인터넷 검색 시 광고창을 생성하는 "Windows IE Site Manager" 광고 프로그램을 설치합니다.
■ "MicroSearch Mapping Agents Program" 광고 배포용 프로그램 제거 방법
"MicroSearch Mapping Agents Program" 광고 배포용 프로그램이 설치된 환경에서는 제어판의 프로그램 및 기능에 등록된 "MicroSearch Mapping Agents Program" 삭제 항목을 통해 제거할 수 있는 것처럼 사용자를 속이고 있습니다.
실제 제거를 진행할 경우 핵심적인 업데이트 기능을 담당하는 파일 및 레지스트리 값은 그대로 둔 상태로 제거된 것으로 표시되어 차후 사용자 몰래 지속적인 다수의 광고 프로그램을 자동 설치하는 원흉으로 남게 됩니다.
그러므로 다음과 같은 일련의 절차에 따라 "MicroSearch Mapping Agents Program" 광고 배포용 프로그램을 제거하시기 바랍니다.
(1) 제어판 또는 에 등록된 체크잇(CheckIt : www.checkitinfo.com) 프로그램에 등록된 "MicroSearch Mapping Agents Program" 삭제 항목을 실행하여 프로그램을 제거하시기 바랍니다.
(2) "명령 프롬프트 (관리자)"를 실행하여 다음의 명령어를 순서대로 입력 및 실행하여 실행 중인 "MicroSearch Mapping Agents Program" 서비스 종료 및 삭제를 진행하시기 바랍니다.
- sc stop "MicroSearch Mapping Agents Program"
- sc delete "MicroSearch Mapping Agents Program"
(3) 다음의 폴더 및 파일을 찾아 삭제하시기 바랍니다.
- C:\Program Files\Mappin
- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MicroSearch Mapping
- C:\Users\%UserName%\AppData\Local\MicroSearch Mappin
- C:\Temp 폴더 내에 생성된 "C:\Temp\WRChecker.exe" 파일 및 추가 광고 프로그램 설치 파일(.EXE)
(4) 레지스트리 편집기(regedit)를 실행하여 다음의 레지스트리 값이 존재할 경우 반드시 삭제하시기 바랍니다.
생성 레지스트리 등록 정보 |
HKEY_CURRENT_USER\Software\Mappin
|
"MicroSearch Mapping Agents Program" 광고 배포용 프로그램이 제공하는 삭제 기능으로는 악의적인 기능을 제거할 수 없으며, 지속적으로 업데이트 기능을 통해 사용자 몰래 다수의 광고 프로그램을 설치할 수 있으므로 기존에 설치되었던 사용자 역시 꼼꼼하게 확인하여 피해를 당하는 일이 없도록 주의하시기 바랍니다.