본문 바로가기

벌새::Analysis

검색 도우미 : NGPlus - NetBean

728x90
반응형

바탕 화면과 즐겨찾기 영역에 다양한 바로 가기 아이콘 생성과 인터넷 검색 시 광고탭 및 광고창을 생성하는 국내에서 제작된 NGPlus 광고 프로그램(SHA-1 : e61111ad2a96e1656f70978e36500de3d484d64c - ESET : a variant of Win32/Adware.Kraddare.MS)의 새로운 변종에 대해 살펴보도록 하겠습니다.

 

이번 변종은 2017년 11월경부터 배포된 것으로 추정되며, 다양한 광고 모듈을 이용하여 매우 공격적인 광고 행위를 수행하여 사용자에게 심각한 불편함을 유발할 수 있습니다.

 

생성 폴더 / 파일 등록 정보
 
C:\ProgramData\NetBean
C:\ProgramData\NetBean\sppobjs.exe :: 서비스(Windows Application Object Service) 등록 파일, 메모리 상주 프로세스
C:\Users\%UserName%\AppData\Local\Temp\11st.ico
C:\Users\%UserName%\AppData\Local\Temp\auction.ico
C:\Users\%UserName%\AppData\Local\Temp\C_1623.NLS
C:\Users\%UserName%\AppData\Local\Temp\C_8047.NLS
C:\Users\%UserName%\AppData\Local\Temp\C_11524.NLS
C:\Users\%UserName%\AppData\Local\Temp\C_13086.NLS
C:\Users\%UserName%\AppData\Local\Temp\favicon.ico
C:\Users\%UserName%\AppData\Local\Temp\ie.ico
C:\Users\%UserName%\AppData\Roaming\newgoplus
C:\Users\%UserName%\AppData\Roaming\newgoplus\msload.exe :: 시작 프로그램(MSLoad) 등록 파일, 메모리 상주 프로세스
C:\Users\%UserName%\AppData\Roaming\newgoplus\netcfg.dll
C:\Users\%UserName%\AppData\Roaming\newgoplus\netcon.dll
C:\Users\%UserName%\AppData\Roaming\newgoplus\netdbs.dll
C:\Users\%UserName%\AppData\Roaming\newgoplus\ngpup.exe :: 서비스(Windows NewGoPlus Log Service) 등록 파일, 메모리 상주 프로세스
C:\Users\%UserName%\AppData\Roaming\newgoplus\sngp.exe :: 시작 프로그램(NGPlus) 등록 파일, 메모리 상주 프로세스
C:\Users\%UserName%\AppData\Roaming\newgoplus\uninst.exe :: 프로그램 삭제 파일
C:\Users\%UserName%\Desktop\옥션 - 모바일 쇼핑은 옥션.lnk
C:\Users\%UserName%\Desktop\최신영화 다운로드.lnk
C:\Users\%UserName%\Desktop\G마켓 - 대한민국 1등 온라인 쇼핑.lnk
C:\Users\%UserName%\Desktop\Upgrade Your Life - 11번가.lnk
C:\Users\%UserName%\Favorites\Links\옥션 - 모바일 쇼핑은 옥션.lnk
C:\Users\%UserName%\Favorites\Links\최신영화 다운로드.lnk
C:\Users\%UserName%\Favorites\Links\G마켓 - 대한민국 1등 온라인 쇼핑.lnk
C:\Users\%UserName%\Favorites\Links\Upgrade Your Life - 11번가.lnk
C:\Users\%UserName%\Favorites\옥션 - 모바일 쇼핑은 옥션.lnk
C:\Users\%UserName%\Favorites\최신영화 다운로드.lnk
C:\Users\%UserName%\Favorites\G마켓 - 대한민국 1등 온라인 쇼핑.lnk
C:\Users\%UserName%\Favorites\Upgrade Your Life - 11번가.lnk
C:\Windows\System32\Tasks\MSLoad
C:\Windows\System32\Tasks\NGPlus

 
생성 파일 진단 정보
 
C:\ProgramData\NetBean\sppobjs.exe
 - SHA-1 : 4e38d05cf515fb33ae6c71fd7abe2463282e21e1
 - AhnLab V3 365 Clinic : PUP/Win32.Kraddare.C2444858

 
C:\Users\%UserName%\AppData\Local\Temp\C_1623.NLS
 - SHA-1 : 1b7d18229336619dfc6f3b5a33c8fa6eb62767ce
 - AhnLab V3 365 Clinic : PUP/Win32.AdLoad.C2246039

 
C:\Users\%UserName%\AppData\Local\Temp\C_8047.NLS
 - SHA-1 : 777fe0e50d0e3aa1fb2bc447dadea6f05fbc6b7e
 - Avast : Win32:Adware-gen [Adw]

 
C:\Users\%UserName%\AppData\Local\Temp\C_11524.NLS
 - SHA-1 : a4ad42bc11150665361c1d506c42198f5f89ecc7
 - ESET : a variant of Win32/Adware.SafeTerra.A

 
C:\Users\%UserName%\AppData\Local\Temp\C_13086.NLS
 - SHA-1 : 9ceb554ac336196cca09d2f950991f46c556819d
 - BitDefender : Gen:Variant.Adware.Kraddare.26

 
C:\Users\%UserName%\AppData\Roaming\newgoplus\msload.exe
 - SHA-1 : 87ac6be6ec3102544bb037e64a4911be64a86d81
 - AhnLab V3 365 Clinic : PUP/Win32.Helper.C2335959

 
C:\Users\%UserName%\AppData\Roaming\newgoplus\netcfg.dll
 - SHA-1 : 54eb912036012b0ffd2367880aa39c8e7b2b23ca
 - BitDefender : Trojan.GenericKD.30381914

 
C:\Users\%UserName%\AppData\Roaming\newgoplus\netcon.dll
 - SHA-1 : e312726ddf08cd4570e60979474b2450741cfc7d
 - Hauri ViRobot : Adware.Kraddare.5074664

 
C:\Users\%UserName%\AppData\Roaming\newgoplus\ngpup.exe
 - SHA-1 : ebab42d7bece66f71cd09819c6d450688d6a1c46
 - BitDefender : Gen:Variant.Application.Graftor.291201

 
C:\Users\%UserName%\AppData\Roaming\newgoplus\sngp.exe
 - SHA-1 : 8a13b725696d55149cd5b84a5cdc150a496d21e3
 - Kaspersky : not-a-virus:Downloader.Win32.Snojan.deni

 
C:\Users\%UserName%\AppData\Roaming\newgoplus\uninst.exe
 - SHA-1 : 86830da514de4c75e0b8da14734c519187b74682
 - AhnLab V3 365 Clinic : PUP/Win32.ShortCut.C196331

 

 

 

GeoCube 디지털 서명이 포함된 NGPlus 광고 프로그램은 "C:\ProgramData\NetBean" 폴더와 "C:\Users\%UserName%\AppData\Roaming\newgoplus" 폴더 외 임시 폴더(%Temp%) 영역에 주요 파일을 생성합니다.

 

 

"Windows Application Object Service" 서비스 항목을 등록하여 시스템 시작 시 "C:\ProgramData\NetBean\sppobjs.exe" 파일을 자동 실행하여 메모리에 상주하도록 구성되어 있습니다.

 

 

또한 "Windows NewGoPlus Log Service" 서비스 항목을 등록하여 시스템 시작 시 "C:\Users\%UserName%\AppData\Roaming\newgoplus\ngpup.exe" 파일을 자동 실행하여 메모리에 상주하도록 구성되어 있습니다.

 

 

  • MSLoad 작업 스케줄러 등록값 : C:\Users\%UserName%\AppData\Roaming\newgoplus\msload.exe
  • NGPlus 작업 스케줄러 등록값 : C:\Users\%UserName%\AppData\Roaming\newgoplus\sngp.exe

예약 작업에 MSLoad, NGPlus 작업 스케줄러 등록값을 각각 등록하여 시스템 시작 시 msload.exe, sngp.exe 파일을 각각 실행하여 메모리에 상주하도록 구성되어 있습니다.

 

 

이렇게 자동 실행된 파일 중 "C:\Users\%UserName%\AppData\Roaming\newgoplus\sngp.exe" 파일의 경우 광고 서버로부터 바로 가기 아이콘 정보를 받아와서 다음과 같은 등록을 수행할 수 있습니다.

 

 

바탕 화면과 즐겨찾기 영역에 11번가, G마켓, 옥션, 최신 영화 다운로드 바로 가기 아이콘이 생성되는 것을 확인할 수 있습니다.

 

 

생성된 "Upgrade Your Life - 11번가" 바로 가기 아이콘을 클릭할 경우 "h**p://www.newgo****.com/udp/redi.php?dq=" 광고 서버를 경유하여 제휴 코드(click.dotmap.co.kr)를 통해 쇼핑몰 사이트로 연결되는 구조입니다.

 

 

또한 자동 실행된 sngp.exe 파일은 임시 폴더(%Temp%)에 생성된 다양한 광고 모듈(C_1623.NLS, C_8047.NLS, C_11524.NLS, C_13086.NLS)을 로딩하여 사용자가 웹 브라우저를 이용하여 인터넷 검색 활동을 진행할 경우 다음과 같은 다양한 광고 행위를 수행할 수 있습니다.

 

 

기본적으로 인터넷 검색 시 다수의 광고탭을 자동으로 생성할 수 있으며, 추가적으로 "about-blank.kr" 등 다수의 광고창을 자동 생성하여 많은 불편을 유발할 수 있습니다.

 

NGPlus 광고 프로그램 제거 방법

 

 

설정(제어판)의 앱 및 기능(프로그램 및 기능)에 등록된 NGPlus 프로그램을 찾아 제거하시기 바라며, 프로그램 제거 후에는 추가적으로 다음의 파일을 찾아 직접 삭제하시기 바랍니다.

 

  • C:\ProgramData\NetBean
  • C:\Users\%UserName%\AppData\Local\Temp\11st.ico
  • C:\Users\%UserName%\AppData\Local\Temp\auction.ico
  • C:\Users\%UserName%\AppData\Local\Temp\C_1623.NLS
  • C:\Users\%UserName%\AppData\Local\Temp\C_8047.NLS
  • C:\Users\%UserName%\AppData\Local\Temp\C_11524.NLS
  • C:\Users\%UserName%\AppData\Local\Temp\C_13086.NLS
  • C:\Users\%UserName%\AppData\Local\Temp\favicon.ico
  • C:\Users\%UserName%\AppData\Local\Temp\ie.ico
  • C:\Users\%UserName%\Desktop\옥션 - 모바일 쇼핑은 옥션.lnk
  • C:\Users\%UserName%\Desktop\최신영화 다운로드.lnk
  • C:\Users\%UserName%\Desktop\G마켓 - 대한민국 1등 온라인 쇼핑.lnk
  • C:\Users\%UserName%\Desktop\Upgrade Your Life - 11번가.lnk
  • C:\Users\%UserName%\Favorites\Links\옥션 - 모바일 쇼핑은 옥션.lnk
  • C:\Users\%UserName%\Favorites\Links\최신영화 다운로드.lnk
  • C:\Users\%UserName%\Favorites\Links\G마켓 - 대한민국 1등 온라인 쇼핑.lnk
  • C:\Users\%UserName%\Favorites\Links\Upgrade Your Life - 11번가.lnk
  • C:\Users\%UserName%\Favorites\옥션 - 모바일 쇼핑은 옥션.lnk
  • C:\Users\%UserName%\Favorites\최신영화 다운로드.lnk
  • C:\Users\%UserName%\Favorites\G마켓 - 대한민국 1등 온라인 쇼핑.lnk
  • C:\Users\%UserName%\Favorites\Upgrade Your Life - 11번가.lnk

 

생성 레지스트리 등록 정보
 
HKEY_CURRENT_USER\Software\Cdragon
HKEY_CURRENT_USER\Software\IsZoneDll
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - MSLoad = "C:\Users\%UserName%\AppData\Roaming\newgoplus\msload.exe"
 - NGPlus = "C:\Users\%UserName%\AppData\Roaming\newgoplus\sngp.exe"
HKEY_CURRENT_USER\Software\netconc
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{345D3F7C-8E0B-485E-BC2B-7887C8888A1D}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{EFAC47C7-F73B-4DB2-87E2-4C8368487DC5}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\MSLoad
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\NGPlus
HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Uninstall\NGPlus
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Application Object Service
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows NewGoPlus Log Service

 

 

NGPlus 광고 프로그램이 설치된 환경에서는 프로그램 제거 후에도 지속적인 수익 창출을 위한 다양한 바로 가기 아이콘 생성과 함께 매우 공격적인 다수의 광고탭과 광고창 생성으로 인터넷 사용을 매우 불편하게 하므로 반드시 제거하시길 권장합니다.

 

728x90
반응형