본문 바로가기

벌새::Analysis

검색 도우미 : NGPlus

반응형

바탕 화면 영역에 바로 가기 아이콘 생성 및 시스템 부팅 시 WindowsAD 광고창을 생성하는 국내에서 제작된 NGPlus 광고 프로그램(SHA-1 : f5ff5952a823390bf85d16673a2a68ea66369ffa - BitDefender : Trojan.GenericKD.5576386)에 대해 살펴보도록 하겠습니다.

 

해당 광고 프로그램은 기존에 공개된 newgoplus 광고 프로그램의 업데이트 버전이므로 참고하시기 바랍니다.

 

생성 폴더 / 파일 등록 정보

 

C:\Users\%UserName%\AppData\Local\Temp\C_1572.NLS
C:\Users\%UserName%\AppData\Local\Temp\C_1623.NLS
C:\Users\%UserName%\AppData\Local\Temp\C_13086.NLS
C:\Users\%UserName%\AppData\Local\Temp\locale.nls
C:\Users\%UserName%\AppData\Roaming\newgoplus
C:\Users\%UserName%\AppData\Roaming\newgoplus\netcon.dll
C:\Users\%UserName%\AppData\Roaming\newgoplus\ngpup.exe :: 서비스(Windows NewGoPlus Log Service) 등록 파일, 메모리 상주 프로세스
C:\Users\%UserName%\AppData\Roaming\newgoplus\sngp.exe :: 시작 프로그램(NGPlus) 등록 파일, 작업 스케줄러(NGPlus) 등록 파일, 메모리 상주 프로세스
C:\Users\%UserName%\AppData\Roaming\newgoplus\uninst.exe :: 프로그램 삭제 파일
C:\Users\%UserName%\Desktop\특별시민.url
C:\Windows\System32\Tasks\NGPlus

 

생성 파일 진단 정보

 

C:\Users\%UserName%\AppData\Local\Temp\C_1572.NLS
 - SHA-1 : 3990994e8d1c76390153f80727cf9b4fcaa85290
 - AhnLab V3 365 Clinic : PUP/Win32.Generic.C2031421

 

C:\Users\%UserName%\AppData\Local\Temp\C_1623.NLS
 - SHA-1 : 7934d277e439ec93ab74223765844158e0c046c0
 - avast! : Win32:Adware-gen [Adw]

 

C:\Users\%UserName%\AppData\Local\Temp\C_13086.NLS
 - SHA-1 : f1d6f1b89d809a219ce9ccb1d4a3bebe295dd372
 - BitDefender : Gen:Variant.Adware.Kraddare.26

 

C:\Users\%UserName%\AppData\Local\Temp\locale.nls
 - SHA-1 : 22d314817b28154d45c114df3956181c89d550b6
 - ESET : Win32/Adware.Kraddare.MS

 

C:\Users\%UserName%\AppData\Roaming\newgoplus\netcon.dll
 - SHA-1 : fb7832c594e5e1c3f5f8f3fbc2f7cc7a2b3dc394
 - Avira : ADWARE/Kraddare.odadw

 

C:\Users\%UserName%\AppData\Roaming\newgoplus\ngpup.exe
 - SHA-1 : 87115c766a9e4dcc82c39fa162826aa2ff2df5ee
 - AhnLab V3 365 Clinic : PUP/Win32.Helper.R203795

 

C:\Users\%UserName%\AppData\Roaming\newgoplus\sngp.exe
 - SHA-1 : 2d600a46af0f6e07d00e26014e80b85e3d43c527
 - Kaspersky : not-a-virus:Downloader.Win32.Snojan.aptu

 

C:\Users\%UserName%\AppData\Roaming\newgoplus\uninst.exe
 - SHA-1 : 4eabe9a6b892365a9505658f6478bdfa20102e33
 - AhnLab V3 365 Clinic : PUP/Win32.ShortCut.C196331

 

 

GeoCube 디지털 서명이 포함된 NGPlus 광고 프로그램은 "C:\Users\%UserName%\AppData\Roaming\newgoplus" 폴더와 임시 폴더(%Temp%) 영역에 파일을 생성합니다.

 

 

"Windows NewGoPlus Log Service" 서비스 항목을 등록하여 시스템 시작 시 "C:\Users\%UserName%\AppData\Roaming\newgoplus\ngpup.exe" 파일을 자동 실행하여 메모리에 상주하도록 구성되어 있습니다.

 

예약 작업에 NGPlus 작업 스케줄러 항목과 NGPlus 시작 프로그램 등록값을 추가하여 시스템 시작 시 "C:\Users\%UserName%\AppData\Roaming\newgoplus\sngp.exe" 파일을 자동 실행하여 메모리에 상주시킵니다.

 

  • h**ps://newgo****.com/dll/netcon.dll

 

실행된 sngp.exe 파일은 특정 광고 서버로부터 netcon.dll 광고 모듈 다운로드(패치)를 할 수 있습니다.

 

 

기본적인 광고 행위를 살펴보면 일본(Japan)에 위치한 광고 서버에서 웹하드 제휴 코드가 포함된 정보를 받아와 바탕 화면에 특별시민 바로 가기 아이콘을 생성할 수 있습니다.

 

또한 시스템 부팅 시 WindowsAD 광고창을 생성하여 구글 애드센스(Google AdSense) 광고를 노출시킬 수 있습니다.

 

 

해당 구글 애드센스(Google AdSense) 광고는 실제로는 광고 목적으로 제작된 특정 웹 서버에 등록된 것으로 보이며, 특히 User-Agent 값을 보면 iPhone 모바일로 광고가 노출된 것처럼 조작하여 비정상적으로 광고 노출을 시도하는 것으로 보입니다.

 

 

그 외에 임시 폴더(%Temp%) 영역에 .NLS 확장명을 가진 4종의 광고 모듈(C_1572.NLS, C_1623.NLS, C_13086.NLS, locale.nls)을 로딩하여 Facebook과 같은 웹 사이트 접속 또는 인터넷 검색과 같은 특정 조건에 부합될 경우 광고창이 생성될 수도 있을 것으로 판단됩니다.

 

 

 

광고 모듈에 포함된 코드에서는 기존에 확인된 keywordMap, Cdragon 광고 솔루션 정보가 포함되어 있으며, 이를 통해 특정 검색 키워드에 따라 다양한 광고창이 생성될 수 있을 것으로 보입니다.

 

 

또한 광고 모듈은 가상 환경 및 네트워크 분석 도구를 체크하여 광고 동작 여부가 결정하여 자신의 행위 분석을 방해하고 있습니다.

 

NGPlus 광고 프로그램 제거 방법

 

(a) 명령 프롬프트(관리자)에 sc stop "Windows NewGoPlus Log Service" 명령어를 입력 및 실행하여 메모리에 상주하는 ngpup.exe 서비스 프로세스를 자동 종료시킵니다.

 

(b) 작업 관리자를 실행하여 메모리에 상주하는 sngp.exe 프로세스를 찾아 종료하시기 바랍니다.

 

 

(c) 설정(제어판)의 앱 및 기능(프로그램 및 기능) 또는 체크잇(CheckIt : www.checkitinfo.com) 프로그램에 등록된 NGPlus 프로그램을 찾아 제거하시기 바라며, 프로그램 삭제 후에는 추가적으로 다음의 파일을 찾아 삭제하시기 바랍니다.

 

  • C:\Users\%UserName%\AppData\Local\Temp\C_1572.NLS
  • C:\Users\%UserName%\AppData\Local\Temp\C_1623.NLS
  • C:\Users\%UserName%\AppData\Local\Temp\C_13086.NLS
  • C:\Users\%UserName%\AppData\Local\Temp\locale.nls

생성 레지스트리 등록 정보

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - NGPlus = "C:\Users\%UserName%\AppData\Roaming\newgoplus\sngp.exe"
HKEY_CURRENT_USER\Software\netconc
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\NGPlus
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{F08ED003-3079-41DE-A1D0-530E1B672330}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\NGPlus
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Windows NewGoPlus Log Service

 

 

NGPlus 광고 프로그램이 설치된 경우 원치않는 바로 가기 아이콘이 바탕 화면에 생성되거나 다양한 광고창 생성으로 불편을 유발할 수 있으므로 설치되지 않도록 주의하시기 바랍니다.

 

728x90
반응형