반응형
국내에서 제작된 검색 도우미 HanLineGuide 프로그램에 대해 살펴보도록 하겠습니다.
해당 프로그램이 설치된 환경에서는 Internet Explorer를 통해 검색을 할 경우 추천 사이트 등의 추가적인 광고가 출력되는 것으로 소개되어 있습니다.
해당 프로그램 배포 사이트에서 제공하는 Setup 설치 파일을 이용하여 프로그램을 설치할 경우 사용자에게 어떠한 설치 정보를 제공하지 않으며, 사용자 몰래 추가적인 프로그램을 설치하는 것을 확인할 수 있습니다.
HanLineGuide 프로그램이 생성하는 ch.exe 파일은 추가적으로 특정 서버에 접속하여 [kvnc] 프로그램을 사용자 몰래 설치하고 있습니다.
설치된 프로그램은 사용자가 Internet Explorer를 이용하여 검색 사이트를 이용할 경우 iexplore.exe 프로세스에 hanlineguide.dll / kvnc.dll 파일을 BHO 방식으로 추가하여 키워드 감시를 통한 프로그램에서 제공하는 추천 사이트 등 광고를 웹 브라우저 상에 출력하는 행위를 할 수 있습니다.
특히 추가적인 프로그램을 설치하는 이유는 사용자가 제휴 프로그램을 통해 HanLineGuide 프로그램을 설치하였더라도 해당 부분에 대해서는 사용자가 인지를 할 수 있기에 삭제를 하므로 추가적으로 프로그램을 설치하여 이중 안전장치를 두는 것으로 추정됩니다. 물론 삭제 기능을 제공하는 이유는 보안제품의 진단을 우회하기 위한 정상적인 프로그램으로 구성하기 위해서입니다.
이런 경우 보안업체에서는 kvnc 프로그램이 어떤 프로그램에 의해 설치되었는지를 확인할 필요가 있으며, 단순히 이 프로그램만을 보면 정상적인 제휴 프로그램을 통해 설치되었다고 볼 수 있기 때문입니다.
프로그램 삭제시에는 반드시 Internet Explorer를 비롯한 모든 프로그램을 종료한 상태에서 제어판의 [hanlineguide] / [kvnc uninstall] 삭제 항목을 이용하여 삭제하실 수 있습니다.
하지만 보안제품에서 진단하는 점과 악의적인 설치를 하는 악성코드임을 감안하면 신뢰할 수 있는 보안제품을 통한 시스템 정밀 검사 또는 수동 삭제를 권장합니다.
해당 프로그램이 설치된 환경에서는 Internet Explorer를 통해 검색을 할 경우 추천 사이트 등의 추가적인 광고가 출력되는 것으로 소개되어 있습니다.
생성 폴더, 파일 정보
[생성 파일 진단 정보]
C:\Program Files\hanlineguide\ch.exe (ViRobot : Trojan.Win32.Downloader.557056.I)
C:\Program Files\hanlineguide\hanlineguide.dll (ViRobot : Trojan.Win32.BHO.182248)
C:\Program Files\hanlineguide\Uninstall.exe (ViRobot : Trojan.Win32.Agent.116736.M)
C:\Program Files\kvnc\kvnc.dll (Sophos : Mal/BHO-J)
C:\Program Files\hanlineguide\ch.exe (ViRobot : Trojan.Win32.Downloader.557056.I)
C:\Program Files\hanlineguide\hanlineguide.dll (ViRobot : Trojan.Win32.BHO.182248)
C:\Program Files\hanlineguide\Uninstall.exe (ViRobot : Trojan.Win32.Agent.116736.M)
C:\Program Files\kvnc\kvnc.dll (Sophos : Mal/BHO-J)
해당 프로그램 배포 사이트에서 제공하는 Setup 설치 파일을 이용하여 프로그램을 설치할 경우 사용자에게 어떠한 설치 정보를 제공하지 않으며, 사용자 몰래 추가적인 프로그램을 설치하는 것을 확인할 수 있습니다.
ch.exe
[ch.exe 파일 다운로드 정보]
Http: Request, GET h**p://down.cnovt.com/cn1/bhon/ch.exe
Command: GET
URI: h**p://down.cnovt.com/cn1/bhon/ch.exe
ProtocolVersion: HTTP/1.1
Host: down.cnovt.com
HeaderEnd: CRLF
[ch.exe 파일 → kvnc 프로그램 다운로드 정보]
HTTP (GET /cn1/bhon/dln.dll)
HTTP (GET /cn1/bhon/uninstall.exe)
HTTP (GET /cn1/exe/ch.html)
Http: Request, GET h**p://down.cnovt.com/cn1/bhon/ch.exe
Command: GET
URI: h**p://down.cnovt.com/cn1/bhon/ch.exe
ProtocolVersion: HTTP/1.1
Host: down.cnovt.com
HeaderEnd: CRLF
[ch.exe 파일 → kvnc 프로그램 다운로드 정보]
HTTP (GET /cn1/bhon/dln.dll)
HTTP (GET /cn1/bhon/uninstall.exe)
HTTP (GET /cn1/exe/ch.html)
HanLineGuide 프로그램이 생성하는 ch.exe 파일은 추가적으로 특정 서버에 접속하여 [kvnc] 프로그램을 사용자 몰래 설치하고 있습니다.
설치된 프로그램은 사용자가 Internet Explorer를 이용하여 검색 사이트를 이용할 경우 iexplore.exe 프로세스에 hanlineguide.dll / kvnc.dll 파일을 BHO 방식으로 추가하여 키워드 감시를 통한 프로그램에서 제공하는 추천 사이트 등 광고를 웹 브라우저 상에 출력하는 행위를 할 수 있습니다.
hanlineguide.dll
특히 추가적인 프로그램을 설치하는 이유는 사용자가 제휴 프로그램을 통해 HanLineGuide 프로그램을 설치하였더라도 해당 부분에 대해서는 사용자가 인지를 할 수 있기에 삭제를 하므로 추가적으로 프로그램을 설치하여 이중 안전장치를 두는 것으로 추정됩니다. 물론 삭제 기능을 제공하는 이유는 보안제품의 진단을 우회하기 위한 정상적인 프로그램으로 구성하기 위해서입니다.
이런 경우 보안업체에서는 kvnc 프로그램이 어떤 프로그램에 의해 설치되었는지를 확인할 필요가 있으며, 단순히 이 프로그램만을 보면 정상적인 제휴 프로그램을 통해 설치되었다고 볼 수 있기 때문입니다.
프로그램 삭제시에는 반드시 Internet Explorer를 비롯한 모든 프로그램을 종료한 상태에서 제어판의 [hanlineguide] / [kvnc uninstall] 삭제 항목을 이용하여 삭제하실 수 있습니다.
하지만 보안제품에서 진단하는 점과 악의적인 설치를 하는 악성코드임을 감안하면 신뢰할 수 있는 보안제품을 통한 시스템 정밀 검사 또는 수동 삭제를 권장합니다.
[HanLineGuide : 생성 레지스트리 등록 정보]
HKEY_CLASSES_ROOT\AppID\hanlineguide.DLL
HKEY_CLASSES_ROOT\AppID\{48E055F3-8B00-4710-822B-F2AE567F8A85}
HKEY_CLASSES_ROOT\CLSID\{01D984E0-B7F8-470B-821E-8E82032E89B7}
HKEY_CLASSES_ROOT\hanlineguide.hanlineguide
HKEY_CLASSES_ROOT\hanlineguide.hanlineguide.1
HKEY_CLASSES_ROOT\Interface\{DFFAEEE7-AB04-47D0-96D9-E2A40EA346A3}
HKEY_CLASSES_ROOT\TypeLib\{3A5D507E-EBDC-4346-9C22-3914D3DE7A1C}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{01D984E0-B7F8-470B-821E-8E82032E89B7}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\hanlineguide
[kvnc : 생성 레지스트리 등록 정보]
HKEY_CLASSES_ROOT\CLSID\{19AA4A41-AE02-41EB-A74D-00DA00A865B0}
HKEY_CLASSES_ROOT\kvnc.cnoycn1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{19aa4a41-ae02-41eb-a74d-00da00a865b0}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\kvnc uninstall
HKEY_CLASSES_ROOT\AppID\hanlineguide.DLL
HKEY_CLASSES_ROOT\AppID\{48E055F3-8B00-4710-822B-F2AE567F8A85}
HKEY_CLASSES_ROOT\CLSID\{01D984E0-B7F8-470B-821E-8E82032E89B7}
HKEY_CLASSES_ROOT\hanlineguide.hanlineguide
HKEY_CLASSES_ROOT\hanlineguide.hanlineguide.1
HKEY_CLASSES_ROOT\Interface\{DFFAEEE7-AB04-47D0-96D9-E2A40EA346A3}
HKEY_CLASSES_ROOT\TypeLib\{3A5D507E-EBDC-4346-9C22-3914D3DE7A1C}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{01D984E0-B7F8-470B-821E-8E82032E89B7}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\hanlineguide
[kvnc : 생성 레지스트리 등록 정보]
HKEY_CLASSES_ROOT\CLSID\{19AA4A41-AE02-41EB-A74D-00DA00A865B0}
HKEY_CLASSES_ROOT\kvnc.cnoycn1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{19aa4a41-ae02-41eb-a74d-00da00a865b0}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\kvnc uninstall
728x90
반응형