본문 바로가기

벌새::Analysis

날씨 정보가 포함된 OneDayWeather 광고 프로그램 유포 주의

반응형

2015년 11월 초부터 유포된 날씨 정보를 제공하는 프로그램으로 위장하여 광고 행위와 추가적인 제휴 프로그램 설치를 유도하는 OneDayWeather 광고 프로그램의 유포 방식, 광고 기능, 프로그램 제거 시 주의할 점에 대해 자세하게 살펴보도록 하겠습니다.

 

 

확인된 배포 방식으로는 "jncmarketing Co., Ltd" 디지털 서명이 포함된 μTorrent 설치 파일(SHA-1 : 030f7e28548e0080d899eb63ffdfc69ffeefb814 - BitDefender : Trojan.Generic.17258092)로 위장하여 실행 시 추가된 3개의 광고 제휴 프로그램 중 하나로 일괄 설치될 수 있습니다.

 

 

해당 제휴 프로그램에 포함된 LineUp, PickPlus 악성 광고 프로그램에 대해서는 이미 살펴보았으므로 참고하시기 바랍니다.

 

 

특히 μTorrent 설치 파일 다운로더 창이 실행되었을 경우 사용자가 닫기(X) 또는 취소 버튼을 클릭할 경우 "프로그램을 설치하지 않고 종료 합니다. 제휴 설치프로그램을 설치하지 아니하지 않겠습니까?" 메시지를 통해 사용자가 실수로 "Yes" 버튼을 클릭하도록 유도하며, 이를 통해 3종의 제휴 프로그램이 자동 설치되므로 매우 주의하셔야 합니다.

 

만약 사용자의 실수로 OneDayWeather 광고 프로그램의 배포 파일이 다운로드될 경우 "C:\Users\%UserName%\AppData\Local\Temp\TempSetup_0.exe" 파일(SHA-1 : e3ff475ca4453b862f6a53f0f9c6dbac4ac5a946 - Hauri ViRobot : Adware.Agent.367840[h])로 생성 및 실행됩니다.

 

 

이를 통해 추가적인 OneDayWeather 설치 파일이 다운로드되어 "C:\Users\%UserName%\AppData\Local\Temp\OneDayWeather_setup.exe" 파일(SHA-1 : 3b2ee741a9747da7d1a9a455da32f0746b23803a - BitDefender : Application.Generic.1652431)이 생성된 후 추가 명령어(/hide)를 통해 다음과 같이 설치됩니다.

 

생성 폴더 / 파일 등록 정보

 

C:\Users\%UserName%\AppData\Roaming\OneDayWeather
C:\Users\%UserName%\AppData\Roaming\OneDayWeather\Oneday.exe :: 메모리 상주 프로세스
C:\Users\%UserName%\AppData\Roaming\OneDayWeather\OneDayWeather_b.dll :: BHO 등록 파일
C:\Users\%UserName%\AppData\Roaming\OneDayWeather\OneDayWeather.exe :: LiveWeather 프로그램 실행 파일
C:\Users\%UserName%\AppData\Roaming\OneDayWeather\OneDayWeatherDay.dt
C:\Users\%UserName%\AppData\Roaming\OneDayWeather\OneDayWeatherDB.dt
C:\Users\%UserName%\AppData\Roaming\OneDayWeather\OneDayWeatherTime.dt
C:\Users\%UserName%\AppData\Roaming\OneDayWeather\OneDayWeatherUninstall.exe :: 프로그램 삭제 파일
C:\Users\%UserName%\AppData\Roaming\OneDayWeather\OneDayWeatherUp.exe :: 시작 프로그램(OneDayWeatherUpdate) 등록 파일
C:\Users\%UserName%\AppData\Roaming\OneDayWeather\OneDayWeatherUpch.exe

 

생성 파일 진단 정보

 

C:\Users\%UserName%\AppData\Roaming\OneDayWeather\Oneday.exe
 - SHA-1 : 4abc46e5fa97b98f580d09760d396be556cd1b92
 - Kaspersky : not-a-virus:AdWare.Win32.Popuper.rs

 

C:\Users\%UserName%\AppData\Roaming\OneDayWeather\OneDayWeather_b.dll
 - SHA-1 : 0cdef48049e38cdd493f818af9c7f5dd70a3fdb3
 - Dr.Web : Trojan.Adkor.321

 

C:\Users\%UserName%\AppData\Roaming\OneDayWeather\OneDayWeather.exe
 - SHA-1 : 5abf372dd3894ff5cc75f4804a55d1368782d74a
 - Avira : TR/ATRAPS.A.11249

 

C:\Users\%UserName%\AppData\Roaming\OneDayWeather\OneDayWeatherUninstall.exe
 - SHA-1 : 6c1db4644738dbc83faca8593d835d65f0186fca
 - Avira : TR/Adkor.kcrg

 

C:\Users\%UserName%\AppData\Roaming\OneDayWeather\OneDayWeatherUp.exe
 - SHA-1 : 7d4786167490beb120436c30705105dfa969fc29
 - Hauri ViRobot : Trojan.Win32.Z.Agent.655584[h]

 

C:\Users\%UserName%\AppData\Roaming\OneDayWeather\OneDayWeatherUpch.exe
 - SHA-1 : ecb32bba603a3f3e2395a31a9792e5e84a5f3744
 - Panda : Trj/GdSda.A

 

 

"jncmarketing Co., Ltd" 디지털 서명이 포함된 해당 광고 프로그램은 "C:\Users\%UserName%\AppData\Roaming\OneDayWeather" 폴더에 파일을 생성합니다.

 

Windows 시작 시 OneDayWeatherUpdate 시작 프로그램 등록값을 통해 "C:\Users\%UserName%\AppData\Roaming\OneDayWeather\OneDayWeatherUp.exe" 파일을 자동 실행하여 프로그램 실행 정보 및 업데이트를 체크한 후 광고 기능을 수행하는 "C:\Users\%UserName%\AppData\Roaming\OneDayWeather\Oneday.exe" 파일을 메모리에 상주시킵니다.

 

 

OneDayWeather 광고 프로그램은 외형적으로는 사용자가 "C:\Users\%UserName%\AppData\Roaming\OneDayWeather\OneDayWeather.exe" 파일을 찾아 직접 실행할 경우에만 LiveWeather 실행을 통해 국내 도시에 대한 실시간 기온 정보를 제공하는 것처럼 구성되어 있지만 실제로는 다음과 같은 광고 행위를 수행합니다.

 

 

이름

 OneDayWeather

게시자

 jncmarketing Co., Ltd

유형

 브라우저 도우미 개체

CLSID

 {5C74E389-4E5D-467F-ABE8-49D43B0C6D10}

폴더 / 파일

 C:\Users\%UserName%\AppData\Roaming\OneDayWeather\OneDayWeather_b.dll

 

설치된 OneDayWeather 광고 프로그램은 Internet Explorer 웹 브라우저 실행 시 OneDayWeather 브라우저 도우미 개체(BHO) 항목을 추가하여 OneDayWeather_b.dll 광고 모듈을 로딩하도록 구성되어 있습니다.

 

 

사용자가 언론사, 방송사 등 특정 웹 사이트에 접속할 경우 다음과 같은 2가지 형태의 광고창을 자동으로 생성할 수 있습니다.

 

 

사용자가 입력하지 않은 임의의 검색 키워드 값을 이용하여 네이버(Naver) 검색 API를 활용하여 검색 결과와 함께 최상위 및 사이드바 영역에 광고 배너를 생성합니다.

 

 

실제 광고창 생성을 위해 연결되는 로그를 살펴보면 특정 광고 서버(hy****view.co.kr)에서 자동화된 검색 키워드를 통해 마치 인간이 인터넷 검색을 한 것처럼 조작하여 검색 결과와 광고 배너를 노출하고 있습니다.

 

 

또 다른 광고 행위의 경우 자동으로 옥션(Auction) 쇼핑 사이트에서 특정 검색 키워드로 상품 검색이 이루어진 검색 결과를 노출하는 행위가 이루어지며, 이 과정에서 특정 광고 서비스를 경유하여 접속되고 있습니다.

 

OneDayWeather 광고 프로그램 제거 시 주의할 점

 

OneDayWeather 광고 프로그램은 제어판을 통해 제거할 수 있도록 기능을 제공하고 있지만, 프로그램 제거 과정에서 사용자의 실수를 유발하여 추가적인 광고 제휴 프로그램 설치를 유도하고 있습니다.

 

(a) 작업 관리자를 실행하여 메모리에 상주하는 Oneday.exe 프로세스를 찾아 종료하시기 바랍니다.

 

 

(b) Internet Explorer 웹 브라우저를 종료한 상태에서 제어판의 프로그램 및 기능 또는 체크잇(CheckIt : www.checkitinfo.com) 프로그램에 등록된 OneDayWeather 프로그램을 찾아 제거할 수 있습니다.

 

 

프로그램 제거 과정에서 생성된 "Live Weather Uninatall" 창에는 흐릿한 "add install" 항목이 기본값으로 체크된 상태로 설정되어 있습니다.

 

만약 사용자가 해당 체크값 그대로 accept 버튼을 클릭하여 OneDayWeather 광고 프로그램 제거를 진행할 경우 사용자 몰래 LineUp, PickPlus 악성 광고 프로그램을 자동 다운로드 및 설치가 진행됩니다.

 

 

  • C:\Users\%UserName%\AppData\Local\Temp\LineUp_setup.exe (SHA-1 : 8e32b879042d91413bb40458eb9ba067cde18329 - AhnLab V3 365 Clinic : PUP/Win32.Downloader.R167412) :: LineUp 광고 프로그램 설치 파일
  • C:\Users\%UserName%\AppData\Local\Temp\PickPlus_setup.exe (SHA-1 : e2ff5b08937b9dbdfe2bb84996c41426627adef0 - Avira : ADWARE/Popuper.wbaz) :: PickPlus 광고 프로그램 설치 파일
  • C:\Users\%UserName%\AppData\Local\Temp\TempSetup_1.exe (SHA-1 : 2c0698892253eb1c94c31ce327e4ca15a4557a86 - Hauri ViRobot : Adware.Agent.311520.A[h]) :: PickPlus 광고 프로그램 배포 파일
  • C:\Users\%UserName%\AppData\Local\Temp\TempSetup_2.exe (SHA-1 : 483924fe0efe8817af5621d78bb0e14882c5474e - Norton : Trojan Horse) :: LineUp 광고 프로그램 배포 파일

 

이를 통해 사용자는 OneDayWeather 광고 프로그램은 제거하였지만 다른 2종의 광고 프로그램이 자동 설치되어 지속적으로 유사한 광고 행위를 수행할 수 있습니다.

 

 

그러므로 OneDayWeather 광고 프로그램 제거 시에는 "add install" 버튼을 클릭하여 체크 해제한 후 accept 버튼을 클릭하여 프로그램 제거를 진행하시기 바랍니다.

 

생성 레지스트리 등록 정보

 

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Approved Extensions
 - {5C74E389-4E5D-467F-ABE8-49D43B0C6D10}
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - OneDayWeatherUpdate = "c:\users\%UserName%\appdata\roaming\onedayweather\onedayweatherup.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\OneDayWeather
HKEY_CURRENT_USER\Software\OneDayWeather
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5C74E389-4E5D-467F-ABE8-49D43B0C6D10}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5C74E389-4E5D-467F-ABE8-49D43B0C6D10}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - OneDayWeatherUpdate = "c:\users\%UserName%\appdata\roaming\onedayweather\onedayweatherup.exe"

 

 

OneDayWeather 광고 프로그램은 기존의 LineUp, PickPlus 광고 프로그램과 마찬가지로 프로그램 설치부터 제거까지 사용자의 실수를 유발하게 하여 끈질기게 재설치를 유발하므로 설치되지 않도록 특별히 주의하시기 바랍니다.

 

728x90
반응형