애드웨어 정보2014.03.16 16:21

본 포스트에서는 Xecure(제큐어) 웹 모듈과 inisafe(이니세이프)의 웹 모듈 이름을 따서 합친 XecureCrossWeb라는 애드웨어의 삭제 및 제거 정보에 대해 언급하고자 합니다.^^ 뭐... 사실 본 프로그램 설치하는데 특정한 조건이 있어서 다소 소요가 되었지만 아무튼 이건 나중에 소개하고 정상 보안 모듈명을 흉내내는 XecureCrossWeb는 일단 SmartBar(스마트바)의 후속작으로 추측이 되며, 사람들이 다소 많이 찾을 법한 네이버 블로그, 티스토리, 다음 블로그 등지에서 자료를 구하려다가 다운받게되는 이른바, 정상 프로그램과 광고 수익을 목적으로 하는 제휴 프로그램을 동반 설치하는 유틸룸, P's Downloader 등의 다운로더에 의해 1차적으로 프로그램 설치에 대한 합법성을 얻기 위해 반 강제적으로 '제휴 프로그램 사용 약관'을 사용자가 눈치채지 못하는 부분에 두는 방식으로, 일종의 사용자를 기만하는 방식을 이용하며, 2차적으로 프로그램 설치를 인지하지 못하게 시스템 백그라운드 상에서 조용히 설치가 이루어지는 프로그램 중 하나입니다. 



참고로 본 프로그램 설치 간 네트워크 패킷 분석 도구로 많이 유명하여 많이들 쓰는 와이어샤크(WireShark)와 와이어샤크 사용시 필요한 WinPcap를 '경로 기반'으로 확인하는 것으로 보이며, 만일 경로에 존재할 경우 정상적인 설치가 이루어지지 않는 것으로 확인이 됩니다. 이 부분에서 와이어샤크를 기반으로 분석을 많이하는 분들은 다소 분석하기 껄끄러울겁니다... 뭐... 설치 간 폴더 이름을 바꾸면 우회가 될지는 모르겠네요. 이 부분은 실험을 안 해봐서 잘 모르겠습니다. 예 어쨋든 본 프로그램이 설치되면 아래의 경로에 파일 및 레지스트리를 생성하며 일부 값을 변경합니다. 추가적으로 설치가 완료되면 moutg66.pnsweb.net로 맥 어드레스를 전송하며, 키워드 검색 값을 받아오는 것으로 보입니다. ㅇㅅㅇ;;











* /list_search_word**.asp에서 **는 제가 무작위 숫자를 넣어봤는데 9에서 14까지 있는 것으로 보입니다. 지식이 짧아서 잘 모르겠지만요.




>> 파일 및 레지스트리 생성


▶ C:\Program Files\XecureCrossWeb\XecureCrossWeb.exe

 C:\Program Files\XecureCrossWeb\UnInstall.exe


 HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_BROWSER_EMULATION

"XecureCrossWeb.exe"=dword:00001f40 

 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\XecureCrossWeb

 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

"XecureCrossWeb"="\"C:\\Program Files\\XecureCrossWeb\\XecureCrossWeb.exe\" -start" 



>> 레지스트리 변경 값


 HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main

"DisableScriptDebuggerIE"="yes" 



더불어 본 애드웨어는 시작 프로그램 항목에 자신의 프로그램을 항목으로 추가하는 방식을 통하여 윈도우 재부팅시 자동으로 시작이 되는 구조로 이루어져 있습니다.




XecureCrossWeb = "C:\Program Files\XecureCrossWeb\XecureCrossWeb.exe" -start



>> XecureCrossWeb 파일의 기능


1) WireShark, WinPcap의 경로 확인 뒤 기능 작동 유무 파악 : 핫... 저는 WireShark는 필요할 때만 쓰기 때문에 간편한 네트워크 분석 도구를 쓰고 있으며, 저도 미처 인지하지 못하였는데... 설치 파일 문자열을 보니 와이어샤크와 WinPcap의 경로가 있었습니다. 이걸 토대로 와이어샤크와 WinPcap를 지운 상태에서 설치를 하니 설치가 이루어졌고 애드웨어도 정상적으로 작동했습니다.



프로그램에서 탐지하는 경로??


C:\Program Files\Wireshark\

C:\Program Files\WinPcap\

C:\Program Files (x86)\WinPcap\




2) 윈도우 재부팅 때마다 맥 어드레스를 전송하는 기능과 더불어 ResetTime 값을 전송받는 기능을 수행합니다.



3) moutg66.pnsweb.net(183.90.188.37)에서 검색 키워드 값을 받아오고 4~5분 뒤에 추가적으로 183.90.188.37에서 카운터 신호를 확인합니다. 그리고 User32.dll에서 GetSystemMetrics, MonitorFromWindow, MonitorFromRect, MonitorFromPoint, EnumDisplayMonitors, GetMonitorInfo 함수 등을 이용해 짧은 지식으로 미루어 모니터를 후킹하는 것으로 모이며, 추가적으로 후킹된 모니터 내에서 FindWindow API 함수로 인터넷 익스플로러를 실행하여 아무튼 사용자가 모르는 사이에 특정 포털 사이트(네이버)에 접속하여 '특정 키워드'를 기반으로 하는 검색을 하는 것으로 추측이 됩니다. 뭐.... 모르는 사이에 이상한 패킷이 계속 전송되다 보니 인터넷 및 컴퓨터 속도가 느려질 여지가 많습니다. 사실 여기에서 SetTimer라든가 KillTimer 등의 타이머 관련 함수로 쓰여진 것 같은데.... 이건 잘 모르겠고 암튼 뭐... 사실 사용자가 패킷을 보고 있지 않는 한은 왜 이런지 모를겁니다. 


제 가상 실험 공간에서는 이러한 과정을 3차례 반복하고 종료가 되었습니다. 특정 환경에서는 추가적으로 반복될 것으로 보입니다.



?? User32.dll에서 불러온 함수로 모니터를 후킹한 뒤에(맞는지도 잘 모름) FindWindow 함수를 이용해서 Internet Explorer를 실행하여 알아서 검색하는 방식??????? 이러면 사용자가 모를 법하니... 이러한 추리는 어느 정도 맞겠네요. ;;(고수님들이 보기에는 허접하지만)



## 추가 : 특정 키워드의 검색 활동을 통하여 '특정 키워드'의 순위권 상승이 목표라고 의심됩니다.^^ 광고 대행사에서 머리 좀 많이 쓰네요 ^^


>> XecureCrossWeb 삭제 및 제거 방법 본 XecureCrossWeb 애드웨어는 정상 보안 보듈인 XecureWeb Control과 혼동될 여지가 많기 때문에 삭제시 프로그램명을 잘 확인 및 주의 꼭 해주시기 바랍니다.  


1. 프로그램 추가/제거에서 XecureCrossWeb를 삭제해주시기 바랍니다.



2. 아래의 경로에 있는 파일 및 폴더를 확인하여 삭제해주시기 바랍니다.


C:\Program Files\XecureCrossWeb\UnInstall.exe

C:\Program Files\XecureCrossWeb\





Posted by Ec0nomist

댓글을 달아 주세요

  1. 1234

    관리자의 승인을 기다리고 있는 댓글입니다

    2015.02.26 12:32 [ ADDR : EDIT/ DEL : REPLY ]