악성코드만큼 악의적인 PUP
악성코드는 아니지만 PC를 느려지게 하거나 광고창을 반복적으로 노출하는 등 사용자들에게 불편을 초래하는 프로그램이 있다. 교묘하게 사용자의 동의를 받고 설치되는 ‘불필요한 프로그램’, 즉 PUP(Potentially Unwanted Program)가 그것이다. 대부분의 백신(Anti-Virus) 제품들은 악성 프로그램은 아니지만 잠재적으로 사용자가 불편을 느낄 수 있는 프로그램 등을 PUP로 분류하고 있다. 그런데 최근에는 수동으로 삭제할 수 없도록 방해하는 악의적인 PUP가 나타나 사용자들에게 피해를 끼치고 있다.
악성코드는 PC 내에 오랫동안 존재하기 위해 사용자 몰래 실행되어 백그라운드로 동작하는 반면, PUP의 주된 목적은 더 많은 광고를 노출하거나 특정한 프로그램을 사용하도록 유도하는 것이 주목적이다. 대부분의 PUP는 [제어판 > 프로그램 제거]에서 해당 프로그램의 ‘제거 프로그램(Uninstaller)’을 이용해 삭제할 수 있다. 문제는 최근 제거 프로그램을 실행해도 제거되지 않는 PUP가 등장하고 있다는 점이다.
최근 발견된 PUP인 ‘Search Protect’는 ‘oursurfing_installer.exe’라는 이름의 설치 프로그램(installer)이 실행된 후 추가 다운로드를 통해 PC에 설치된다. 이 PUP는 아래 [그림 1]과 같이 작업표시줄 트레이에서 확인할 수 있다.
[그림 1] PUP인 ‘Search Protect’ 트레이 아이콘
‘Search Protect’의 주요 특징은 다음과 같이 크게 2가지로 요약할 수 있다.
1. 허위 제거 프로그램(Uninstaller) 등록
2. 웹 브라우저 시작 페이지 변경 및 원상 복구 방해
‘Search Protect’가 PC에 설치되면 PC 메모리에 상주하면서 웹 브라우저의 기본 페이지, 기본 검색 공급자를 변경한다.
[그림 2] PUP가 변경한 크롬 및 IE 브라우저 시작 페이지
대부분 PUP가 설치되면 제어판에서 제거 프로그램을 실행하여 정상적으로 제거할 수 있다. 그러나 ‘Search Protect’는 [제어판 > 프로그램 제거] 항목에서 ‘oursurfing uninstall’ 확인 후 [프로그램 제거]를 시도하면 프로그램 제거가 진행되는 것처럼 보이지만 아래와 같이 프로세스 바(progress bar)가 모두 진행된 이후에도 추가 동작하지 않는다. 이때 ‘계속(Continue)’을 클릭하면 [그림 3]과 같이 ‘Repare’라는 버튼이 나타난다. 프랑스어 또는 포르투갈어로 추정되는 이 ‘Repare’를 선택하면 ‘복원했다’는 메시지가 나타나지만 실제로는 어떠한 동작도 수행하지 않는다.
[그림 3] oursurfing 제거(uninstall) 실행 시 나타나는 화면
‘계속’을 선택하지 않고 종료 버튼(X)을 클릭하더라도 관련 프로그램은 정상적으로 삭제되지 않는다. 해당 프로그램 제거(Uninstaller) 파일은 단순히 UI만 보여주는 역할을 할 뿐이며, 이를 위한 파일들은 PUP프로그램의 경로가 아닌 별도의 폴더에 존재한다.
설치된 PUP를 제거하는 기능을 가진 실제 파일은 ‘C:\Program files\XTab\uninstall.exe’ 파일이다. 따라서 사용자가 [제어판 > 프로그램 제거]에서 삭제를 시도하더라도 설치된 PUP는 삭제되지 않으며, ‘C:\Program files\XTab\uninstall.exe’ 파일을 실행해야만 제거할 수 있다.
위의 경로에서 실제 제거 프로그램인 uninstall.exe를 찾았다면 이를 통해 해당 PUP를 삭제한 후 브라우저를 실행해 볼 것이다. 그러나 PUP가 제거되었음에도 불구하고 브라우저 시작페이지는 [그림 4]와 같이 ‘oursurfing’ 검색페이지로 나타난다.
[그림 4] PUP 삭제 후 브라우저 실행 시 나타나는 시작 페이지
이는 해당 PUP가 설치될 때 브라우저 lnk 파일의 [대상]에 브라우저의 파라미터(Parameter)로 해당 URL을 등록했기 때문이다. 일반적으로 사용자는 바탕화면, 시작프로그램, 작업표시줄(시작버튼 표시줄)의 lnk 파일을 눌러 브라우저를 실행한다. 따라서 이와 같이 lnk 파일의 [대상]에 특정 URL이 파라미터로 등록된 경우에는 PUP가 제거되더라도 브라우저 실행 시 등록된 URL 페이지가 실행된다.
이처럼 날로 교묘해지는 PUP는 한 번 설치되면 악성코드 못지 않게 사용자에게 피해를 입히기 쉽다. 따라서 평소 PUP를 다운로드 하지 않도록 평소 주의하는 습관이 필요하다. 웹사이트에서 프로그램을 다운로드할 때는 정식 프로그램 배포 사이트를 이용해야 하며, 다운로드 전송 프로그램을 이용할 경우에는 숨겨진 동의 버튼 등이 없는지 반드시 확인해야 한다. 또한 백신 제품의 엔진을 항상 최신 버전으로 유지하는 습관이 필요하다.
V3 제품군은 현재 해당 PUP를 아래와 같은 진단명으로 탐지하고 있다.
<V3 제품군의 진단명>
PUP/Win32.Eorezo (2015.06.04.00)
PUP/Win32.SearchProtect (2015.04.16.00)
PUP/Win32.SubTab (2015.05.21.00)
PUP/Win32.Agent (2015.06.04.00)
- AhnLabASEC대응팀