본문 바로가기

벌새::Analysis

검색 도우미 : 펀팝업(Funpopup)

반응형
국내에서 제작되어 인터넷 검색시 특정 웹 사이트를 팝업창 방식으로 생성하여 금전적 수익을 유발하는 검색 도우미 펀팝업(Funpopup) 프로그램에 대해 살펴보도록 하겠습니다.

해당 프로그램은 이전에 살펴본 Favoclick, Interpopsite의 변형된 형태이므로 참고하시기 바랍니다.

[관련 URL 정보]

h**p://violet****.net/counter/insert.php?dbserver=db1&c_pcode=25&c_pid=Funpopup1&c_kind=1&c_mac=(사용자 Mac Address)
h**p://violet****.net/counter/insert.php?dbserver=db1&c_pcode=25&c_pid=Funpopup1&c_kind=3&c_mac=(사용자 Mac Address)

또한 해당 설치 파일(MD5 : 3a21e43b356077262764dd7d0560859e)을 이용하여 프로그램 설치시 카운터(Counter) 로그 서버가 국내 악성코드 유포와 관련된 곳으로 추정되며, NOD32 보안 제품에서는 probably a variant of Win32/BHO.NVN (VirusTotal : 4/43) 진단명으로 진단되고 있습니다.

[생성 파일 진단 정보]

C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\nsnAF.tmp\System.dll
 - AhnLab V3 : ASD.Prevention

해당 프로그램은 [Funpop] 폴더에 파일을 생성하며, 사용자가 Internet Explorer를 실행할 경우에만 동작하도록 구성되어 있습니다.


기본적인 동작 방식은 사용자가 특정 검색 엔진에서 검색어를 입력할 경우 그림과 같이 지마켓(GMarket) 쇼핑몰 사이트를 팝업창 방식으로 생성하는 동작을 확인할 수 있습니다.


해당 팝업창 생성 과정에서 사용자 몰래 특정 광고 코드를 추가하여 사용자가 해당 쇼핑몰에서 특정 조건을 만족시킬 경우 프로그램 배포자에게 금전적 수익이 발생할 것으로 추정됩니다.

[추가 기능 관리 : 도구 모음 및 확장 프로그램]

FunpopBHO Class

 - 게시자 : 알 수 없음
 - CLSID : {BF14F889-906A-4D89-81A2-FF63B6F236E0}
 - 파일 : C:\Program Files\Funpop\Funpop.dll


프로세스 정보를 살펴보면 사용자가 Internet Explorer를 실행할 경우 iexplore.exe 프로세스에 Funpop.dll 파일을 BHO 방식으로 등록하여 동작하는 것을 확인할 수 있습니다.


프로그램 삭제시에는 모든 Internet Explorer를 종료한 상태에서 제어판의 [Funpopup] 삭제 항목을 이용하여 삭제하실 수 있습니다.

[생성 레지스트리 등록 정보]

HKEY_CLASSES_ROOT\AppID\Funpop.DLL
HKEY_CLASSES_ROOT\AppID\{60A4D8A9-7C1F-4804-81C5-B8FE3210EB55}
HKEY_CLASSES_ROOT\CLSID\{BF14F889-906A-4D89-81A2-FF63B6F236E0}
HKEY_CLASSES_ROOT\Funpop.FunpopBHO
HKEY_CLASSES_ROOT\Funpop.FunpopBHO.1
HKEY_CLASSES_ROOT\Interface\{6B03F184-804C-4AD3-B7FB-174A3D967264}
HKEY_CLASSES_ROOT\TypeLib\{EAF6A101-9759-4FB0-8069-708E0CA2C685}
HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{BF14F889-906A-4D89-81A2-FF63B6F236E0}

HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Uninstall\
Funpopup uninstall


해당 프로그램은 실제 동작 과정에서 일반 사용자들은 어떤 프로그램을 통해 실행되는지 확인하기 매우 어려울 것으로 판단되며, 이런 프로그램으로 인하여 인터넷 속도 저하 등 정상적인 컴퓨터 사용에 방해가 될 수 있으므로 원치않는 분들은 삭제를 권장합니다.
728x90
반응형