본문 바로가기

벌새::Analysis

검색 도우미 : Network Application Express - Grape

728x90
반응형

인터넷 검색 및 웹사이트 접속 시 다양한 광고창 생성 및 제어판을 통한 프로그램 제거를 방해하는 "Network Application Express" 광고 프로그램 시리즈의 새로운 변종인 Grape 프로그램(SHA-1 : 8e0f84ef48368bc8e70e893ff9ed4f6e6b265268 - avast! : Win32:Malware-gen)에 대해 살펴보도록 하겠습니다.

 

 

"Network Application Express" 광고 프로그램 시리즈는 2016년 8월경부터 변종에 따라 다양한 프로그램 이름 및 폴더(파일)명으로 설치될 수 있으므로 참고하시기 바랍니다.

 

생성 폴더 / 파일 등록 정보

 

C:\Users\%UserName%\AppData\Roaming\Grape
C:\Users\%UserName%\AppData\Roaming\Grape\data.db
C:\Users\%UserName%\AppData\Roaming\Grape\Grape.exe :: 시작 프로그램(grape_client) 등록 파일, 작업 스케줄러(grape_client) 등록 파일, 메모리 상주 프로세스
C:\Users\%UserName%\AppData\Roaming\Grape\GrapeAgent.exe :: 시작 프로그램(grape_agent) 등록 파일, 작업 스케줄러(grape_agent) 등록 파일
C:\Users\%UserName%\AppData\Roaming\Grape\GrapeHost.exe :: 작업 스케줄러(grape_host) 등록 파일, 메모리 상주 프로세스
C:\Users\%UserName%\AppData\Roaming\Grape\no23New.dll
C:\Users\%UserName%\AppData\Roaming\Grape\smartpush.dll
C:\Users\%UserName%\AppData\Roaming\Grape\uninst.exe :: 프로그램 삭제 파일
C:\Windows\System32\Tasks\grape_agent
C:\Windows\System32\Tasks\grape_client
C:\Windows\System32\Tasks\grape_host

 

생성 파일 진단 정보

 

C:\Users\%UserName%\AppData\Roaming\Grape\Grape.exe
 - SHA-1 : bdf38412d955f60eae3ea9b7f1e9aae929f4d86b
 - AhnLab V3 365 Clinic : PUP/Win32.NetworkExpress.R189028

 

C:\Users\%UserName%\AppData\Roaming\Grape\GrapeAgent.exe
 - SHA-1 : 2fb8538d3fe4df747255b833330def542da42f4e
 - AhnLab V3 365 Clinic : PUP/Win32.NetworkExpress.C1600212

 

C:\Users\%UserName%\AppData\Roaming\Grape\smartpush.dll
 - SHA-1 : 415784834d6bcccaf6a29133d5934c24b430f6a6
 - BitDefender : Gen:Variant.Adware.Kraddare.26

 

 

JWSOFT 디지털 서명이 포함된 Grape 광고 프로그램은 "C:\Users\%UserName%\AppData\Roaming\Grape" 폴더에 파일을 생성합니다.

 

  • grape_agent 시작 프로그램 등록값 : C:\Users\%UserName%\AppData\Roaming\Grape\GrapeAgent.exe
  • grape_client 시작 프로그램 등록값 : C:\Users\%UserName%\AppData\Roaming\Grape\Grape.exe

 

Windows 시작 시 grape_agent, grape_client 2개의 시작 프로그램 등록값을 통해 Grape.exe, GrapeAgent.exe 파일을 자동 실행하도록 구성되어 있습니다.

 

  • grape_agent 작업 스케줄러 등록값 : "C:\Users\%UserName%\AppData\Roaming\Grape\GrapeAgent.exe" "/run"
  • grape_client 작업 스케줄러 등록값 : "C:\Users\%UserName%\AppData\Roaming\Grape\Grape.exe" "/run"
  • grape_host 작업 스케줄러 등록값 : "C:\Users\%UserName%\AppData\Roaming\Grape\GrapeHost.exe" "/run"

 

또한 예약 작업 영역에 grape_agent, grape_client, grape_host 3개의 작업 스케줄러 등록값을 등록하여 Grape.exe, GrapeAgent.exe, GrapeHost.exe 파일을 자동 실행하도록 구성되어 있습니다.

 

 

 

 

우선 "Network Application Express" 광고 프로그램 시리즈는 이미 설치되어 있는 경우 다른 변종은 설치되지 않도록 구성되어 있으며, "C:\Users\%UserName%\AppData\Roaming\Grape\GrapeHost.exe" 파일(SHA-1 : a592185f1c1cc4ab3220423137951d45f0347221) 실행 시 PC방 관리 솔루션, 네트워크 감시 도구, 체크잇(CheckIt), Microsoft Visual Studio 등의 특정 프로그램이 설치되어 있는 경우 정상적으로 설치 및 동작하지 않도록 체크를 합니다.

 

 

또한 실행되어 메모리에 상주하는 GrapeHost.exe 파일은 암호화된 host.php 정보를 체크하여 국내에서 제작된 다양한 광고 프로그램 프로세스를 감시하여 다른 광고 프로그램이 존재할 경우 동작을 방해하는 것으로 판단됩니다.

 

run=1#1#1@
program=C:\Program Files\Microsoft Visual Studio 11.0@
program=C:\Program Files\Microsoft Visual Studio 12.0@
program=C:\Program Files\Microsoft Visual Studio 13.0@
program=C:\Program Files\Microsoft Visual Studio 14.0@
program=C:\Program Files (x86)\Microsoft Visual Studio 11.0@
program=C:\Program Files (x86)\Microsoft Visual Studio 12.0@
program=C:\Program Files (x86)\Microsoft Visual Studio 13.0@
program=C:\Program Files (x86)\Microsoft Visual Studio 14.0@
program=C:\Program Files (x86)\NSIS@
program=C:\Program Files (x86)\Microsoft SDKs@
program=C:\Program Files\ESTsoft\CheckIt@
process=snoopspy.exe@
process=wireshark.exe@
process=taskmgr.exe@
process=fiddler.exe@
process=spyxx.exe@
process=rpcapd.exe@
process=CheckIt.exe@
process=mmc.exe@
process=bdcam.exe@
process=ALCapture.exe@
process=Kalmuri.exe@
caption=Fiddler@
caption=SnoopSpy@
caption=Wireshark@
caption=Spy++@
nae

그 외에도 GrapeHost.exe 파일은 자신의 광고 프로그램에 대해 분석을 시도하는 보안 블로그에 대한 대응으로 화면 캡처 프로그램까지 체크하는 꼼꼼함을 보여주고 있습니다.

 

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
 - EnableLUA = 1 :: 기본값
 - EnableLUA = 0 :: 변경 후

"Network Application Express" 광고 프로그램 시리즈가 설치된 후 "C:\Users\%UserName%\AppData\Roaming\Grape\Grape.exe" 파일은 Windows 7 운영 체제의 경우 사용자 계정 컨트롤(UAC) 설정값을 변경하여 프로그램 설치 및 실행 시 알리지 않도록 조작합니다.

 

자동 실행된 "C:\Users\%UserName%\AppData\Roaming\Grape\GrapeAgent.exe" 파일은 광고 프로그램 버전을 체크한 후 자동 종료 처리됩니다.

 

이번에 새롭게 추가된 SMTM 디지털 서명이 포함된 "C:\Users\%UserName%\AppData\Roaming\Grape\no23New.dll" 광고 모듈(SHA-1 : 4098615b4a5b93aea8c129dab75ee31556c5b217)의 경우 가상 환경(VMware, VirtualBox 등)과 네트워크 분석 도구 등을 체크하여 행위를 숨기고 있으며, 대략적으로 유추해보면 특정 조건에서 리다이렉트 방식으로 제휴 코드가 포함된 웹하드 등 상업적 사이트로 연결을 수행할 수 있습니다.

 

대표적인 Grape 광고 프로그램의 광고 행위를 살펴보면 자동 실행된 Grape.exe 파일이 "Wetelecomunication Co.,Ltd" 디지털 서명이 포함된 "C:\Users\%UserName%\AppData\Roaming\Grape\smartpush.dll" 광고 모듈을 로딩하여 인터넷 검색을 통해 웹사이트 접속 시 광고 서버를 경유하여 다양한 광고 사이트가 자동으로 생성될 수 있습니다.

 

 

또한 특정 온라인 게임 등의 웹사이트 회원 가입 페이지에 접근할 경우 마치 해당 웹사이트에서 제공하는 서비스처럼 사용자에게 착각을 유발하는 "로그인 보호 서비스" 광고창을 생성하여 유료 상품에 결제하도록 유도할 수 있습니다.

 

Grape 광고 프로그램 제거 방법

 

Grape 광고 프로그램은 사용자에 의한 프로그램 제거를 방해할 목적으로 제어판의 프로그램 및 기능 목록에 추가하지 않는 방식으로 자신의 존재를 숨기고 있으므로 다음과 같은 방식으로 프로그램 제거를 진행하시기 바랍니다.

 

(a) 작업 관리자를 실행하여 메모리에 상주하는 Grape.exe, GrapeHost.exe 프로세스를 찾아 종료하시기 바랍니다.

 

 

(b) "C:\Users\%UserName%\AppData\Roaming\Grape\uninst.exe" 파일을 찾아 직접 실행하시면 "Network Application Express 제거" 창이 생성되어 프로그램 제거를 진행할 수 있습니다.

 

생성 레지스트리 등록 정보

 

HKEY_CURRENT_USER\Software\grape
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - grape_agent = C:\Users\%UserName%\AppData\Roaming\Grape\GrapeAgent.exe
 - grape_client = C:\Users\%UserName%\AppData\Roaming\Grape\Grape.exe
HKEY_CURRENT_USER\Software\smartpush_dll
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{0CB68127-4F16-4EEA-82AF-263D33308010}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{17CA3CA1-4BEF-4551-83DC-004C85EAA08A}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{92F04F18-637F-4338-ADA3-BABAB5CB6910}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\grape_agent
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\grape_client
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\grape_host

 

 

"Network Application Express" 악성 광고 프로그램 시리즈는 지속적으로 다양한 변종을 제작하여 배포할 예정이며, 특히 제어판을 통한 프로그램 제거를 고의적으로 방해하고 있습니다.

 

이번 이번에 유포된 방식은 국내에서 제작된 WiseCommerce 디지털 서명을 사용하는 광고 배포용 프로그램을 통해 사용자 동의없이 자동으로 설치된 것으로 확인되고 있으므로 광고 프로그램만 제거하지 마시고 악성 프로그램을 찾아 추가적으로 제거하시기 바랍니다.

728x90
반응형