728x90
반응형
국내에서 제작되어 웹 브라우저 하단에 검색어와 관련된 추천 사이트 광고바를 생성하는 검색 도우미 QBand 프로그램에 대해 살펴보도록 하겠습니다.
해당 프로그램(MD5 : b5513f9160f486b1d3095d5cac556cd8)은 Windows 시작시 QBandUpdate.exe 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.
자동 실행된 QBandUpdate.exe 파일은 프로그램 업데이트 및 카운터(Counter) 체크 기능과 함께 사용자 몰래 추가적으로 임시 폴더에 QBandui2_ISHOW01.exe (MD5 : dccb1f41f80053ad533aaffa9cd9bda3) 파일을 다운로드하는 동작을 확인할 수 있습니다.
참고로 해당 파일에 QBandui2_ISHOW01.exe 파일에 대하여 안철수연구소(AhnLab) V3 보안 제품에서는 Dropper/Win32.ColorSoft (VirusTotal : 2/41) 진단명으로 차단을 하고 있습니다.
프로그램의 기본적인 동작 방식은 Internet Explorer를 이용하여 특정 검색을 통한 사이트 접근시 웹 브라우저 하단에 [QBAND]로 표기된 추천 사이트 광고바가 생성되는 동작을 확인할 수 있습니다.
Internet Explorer에서 제공하는 추가 기능 관리 항목에서는 게시자를 알 수 없는 QBand 컨트롤이 등록되어 있으며, 해당 항목은 QBand.dll 파일과 연결되어 동작하는 것을 확인할 수 있습니다.
프로세스 정보를 살펴보면 Internet Explorer 실행시 iexplore.exe 프로세스에 QBand.dll 파일을 BHO 방식으로 등록하여 사용자 키워드 감시를 통해 광고를 생성하는 것을 확인할 수 있습니다.
프로그램 삭제시에는 반드시 Internet Explorer를 비롯한 모든 프로그램을 종료한 상태에서 제어판의 [QBand] 삭제 항목을 이용하여 삭제하실 수 있습니다.
프로그램 삭제 후에는 추가적으로 [C:\Documents and Settings\(사용자 계정)\Application Data\qband] 폴더를 수동으로 삭제하시기 바랍니다.
[관련 URL 정보]
h**p://q****.co.kr/chk/overlap.chk
h**p://www.q****.co.kr/counter/count_insert.php?&pid=ISHOW01&kind=1
h**p://navy****.org/counter/insert.php?c_pcode=91&c_pid=ISHOW01_1&c_kind=3&c_mac=(사용자 Mac Address)
h**p://www.q****.co.kr/counter/count_insert.php?&pid=&kind=3
h**p://q****.co.kr/chk/overlap.chk
h**p://www.q****.co.kr/counter/count_insert.php?&pid=ISHOW01&kind=1
h**p://navy****.org/counter/insert.php?c_pcode=91&c_pid=ISHOW01_1&c_kind=3&c_mac=(사용자 Mac Address)
h**p://www.q****.co.kr/counter/count_insert.php?&pid=&kind=3
[생성 파일 진단 정보]
C:\Program Files\QBand\QBandUpdate.exe (AhnLab V3 : Adware/Win32.ColorSoft)
C:\Program Files\QBand\QBand.dll (AhnLab V3 : Adware/Win32.ColorSoft)
C:\Program Files\QBand\QBandUpdate.exe (AhnLab V3 : Adware/Win32.ColorSoft)
C:\Program Files\QBand\QBand.dll (AhnLab V3 : Adware/Win32.ColorSoft)
해당 프로그램(MD5 : b5513f9160f486b1d3095d5cac556cd8)은 Windows 시작시 QBandUpdate.exe 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.
자동 실행된 QBandUpdate.exe 파일은 프로그램 업데이트 및 카운터(Counter) 체크 기능과 함께 사용자 몰래 추가적으로 임시 폴더에 QBandui2_ISHOW01.exe (MD5 : dccb1f41f80053ad533aaffa9cd9bda3) 파일을 다운로드하는 동작을 확인할 수 있습니다.
참고로 해당 파일에 QBandui2_ISHOW01.exe 파일에 대하여 안철수연구소(AhnLab) V3 보안 제품에서는 Dropper/Win32.ColorSoft (VirusTotal : 2/41) 진단명으로 차단을 하고 있습니다.
프로그램의 기본적인 동작 방식은 Internet Explorer를 이용하여 특정 검색을 통한 사이트 접근시 웹 브라우저 하단에 [QBAND]로 표기된 추천 사이트 광고바가 생성되는 동작을 확인할 수 있습니다.
Internet Explorer에서 제공하는 추가 기능 관리 항목에서는 게시자를 알 수 없는 QBand 컨트롤이 등록되어 있으며, 해당 항목은 QBand.dll 파일과 연결되어 동작하는 것을 확인할 수 있습니다.
프로세스 정보를 살펴보면 Internet Explorer 실행시 iexplore.exe 프로세스에 QBand.dll 파일을 BHO 방식으로 등록하여 사용자 키워드 감시를 통해 광고를 생성하는 것을 확인할 수 있습니다.
프로그램 삭제시에는 반드시 Internet Explorer를 비롯한 모든 프로그램을 종료한 상태에서 제어판의 [QBand] 삭제 항목을 이용하여 삭제하실 수 있습니다.
프로그램 삭제 후에는 추가적으로 [C:\Documents and Settings\(사용자 계정)\Application Data\qband] 폴더를 수동으로 삭제하시기 바랍니다.
[생성 레지스트리 등록 정보]
HKEY_CLASSES_ROOT\AppID\QBand.DLL
HKEY_CLASSES_ROOT\AppID\{E4362B74-BCAD-4209-9C94-25897448A7CF}
HKEY_CLASSES_ROOT\CLSID\{61EE3AFA-1916-42B4-A66F-86E3DDF46C10}
HKEY_CLASSES_ROOT\CLSID\{6F878292-F044-4854-91A0-304ADBD1443C}
HKEY_CLASSES_ROOT\Interface\{05A42720-E455-4F01-A7E7-79E1F4FA7AF1}
HKEY_CLASSES_ROOT\Interface\{A97EA1C1-836A-48C8-9287-5555F98DAB0F}
HKEY_CLASSES_ROOT\QBand.QBandControl
HKEY_CLASSES_ROOT\QBand.QBandControl.1
HKEY_CLASSES_ROOT\QBand.QBnadObj
HKEY_CLASSES_ROOT\QBand.QBnadObj.1
HKEY_CLASSES_ROOT\TypeLib\{D165F1B7-3959-4C7A-ABC8-9A02FB7B0C8E}
HKEY_CURRENT_USER\Software\AppDataLow\Software\qband
HKEY_CURRENT_USER\Software\qband
HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{61EE3AFA-1916-42B4-A66F-86E3DDF46C10}
HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Run
- QBand = C:\Program Files\QBand\QBandUpdate.exe
HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Uninstall\QBand
HKEY_LOCAL_MACHINE\software\qband
HKEY_CLASSES_ROOT\AppID\QBand.DLL
HKEY_CLASSES_ROOT\AppID\{E4362B74-BCAD-4209-9C94-25897448A7CF}
HKEY_CLASSES_ROOT\CLSID\{61EE3AFA-1916-42B4-A66F-86E3DDF46C10}
HKEY_CLASSES_ROOT\CLSID\{6F878292-F044-4854-91A0-304ADBD1443C}
HKEY_CLASSES_ROOT\Interface\{05A42720-E455-4F01-A7E7-79E1F4FA7AF1}
HKEY_CLASSES_ROOT\Interface\{A97EA1C1-836A-48C8-9287-5555F98DAB0F}
HKEY_CLASSES_ROOT\QBand.QBandControl
HKEY_CLASSES_ROOT\QBand.QBandControl.1
HKEY_CLASSES_ROOT\QBand.QBnadObj
HKEY_CLASSES_ROOT\QBand.QBnadObj.1
HKEY_CLASSES_ROOT\TypeLib\{D165F1B7-3959-4C7A-ABC8-9A02FB7B0C8E}
HKEY_CURRENT_USER\Software\AppDataLow\Software\qband
HKEY_CURRENT_USER\Software\qband
HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{61EE3AFA-1916-42B4-A66F-86E3DDF46C10}
HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Run
- QBand = C:\Program Files\QBand\QBandUpdate.exe
HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Uninstall\QBand
HKEY_LOCAL_MACHINE\software\qband
728x90
반응형