해당 프로그램의 설치 파일(MD5 : 1b48564565bb03691fb6294111199dd0)에 대하여 안철수연구소(AhnLab) V3 보안 제품에서는 Win-PUP/Helper.MiniSearch.326104 (VirusTotal : 15/43) 진단명으로 유해 가능 프로그램으로 진단되고 있습니다.
참고로 해당 프로그램은 City Supporter 검색 도우미 프로그램과 유사성이 강하므로 참고하시기 바랍니다.
C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\fsdownfileinfo.oN
C:\Program Files\Find Supporter
C:\Program Files\Find Supporter\fsDownFileInfo.o
C:\Program Files\Find Supporter\fsguide.o
C:\Program Files\Find Supporter\fsquery.o
C:\Program Files\Find Supporter\FSSupporter.exe :: 시작 프로그램 등록 파일
C:\Program Files\Find Supporter\FSSupporterh.dll :: BHO 등록 파일
C:\Program Files\Find Supporter\version.txt
C:\WINDOWS\system32\fsconfig.o
C:\WINDOWS\system32\winsetup.exe :: WinSearchTop 버전 1.0.0.16 프로그램 설치 파일
[생성 레지스트리 등록 정보]
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{49DA0177-C74B-47D5-8CE6-BA9C93851A9D}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{BEFC3309-1F71-4FB8-9E17-FBC1B90FC22C}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\FSSupporterh.Find Supporter
HKEY_LOCAL_MACHINE\SOFTWARE\Find Supporter
HKEY_LOCAL_MACHINE\SOFTWARE\Find SupporterLoader
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\{BEFC3309-1F71-4FB8-9E17-FBC1B90FC22C}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{49DA0177-C74B-47D5-8CE6-BA9C93851A9D}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- Find Supporter = "C:\Program Files\Find Supporter\FSSupporter.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
Find Supporter
C:\Program Files\Find Supporter\FSSupporter.exe
- MD5 : 1b48564565bb03691fb6294111199dd0
- AhnLab V3 : Win-PUP/Helper.MiniSearch.326104 (VirusTotal : 15/43)
C:\Program Files\Find Supporter\FSSupporterh.dll
- MD5 : ba268c9a8e1d0ee0f61a18359de713d8
- AhnLab V3 : Win-PUP/Helper.MiniSearch.570328 (VirusTotal : 13/41)
Find Supporter 프로그램은 [C:\Program Files\Find Supporter] 폴더에 파일을 생성하며, Windows 시작시 FSSupporter.exe 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.
프로그램이 설치된 환경에서 인터넷 검색을 통해 특정 웹 사이트를 오픈할 경우, 웹 브라우저 좌측에 사이드바 형태의 스폰서 링크 광고가 포함된 "Find Supporter" 광고바를 생성하는 것을 확인할 수 있습니다.
- h**p://u4.***suprt.co.kr/***Sidebar/Find/winsetup.exe (MD5 : 359426a6aeb79521872cbf48b82a5d17)
추가적으로 Find Supporter 프로그램은 설치되는 과정에서 특정 서버로부터 winsetup.exe 파일을 [C:\WINDOWS\system32\winsetup.exe] 폴더에 다운로드하여 "WinSearchTop 버전 1.0.0.16" 검색 도우미 프로그램을 설치하도록 구성되어 있습니다.
C:\Program Files\indoit
C:\Program Files\indoit\WinSearchTop
C:\Program Files\indoit\WinSearchTop\1.0.0.16
C:\Program Files\indoit\WinSearchTop\1.0.0.16\AXBHO.dll :: BHO 등록 파일
C:\Program Files\indoit\WinSearchTop\1.0.0.16\SetupUtil.dll
C:\Program Files\indoit\WinSearchTop\unins000.dat
C:\Program Files\indoit\WinSearchTop\unins000.exe :: WinSearchTop 버전 1.0.0.16(19) 프로그램 삭제 파일
[생성 레지스트리 등록 정보]
HKEY_CURRENT_USER\Software\Indoit
HKEY_CURRENT_USER\Software\Indoit\WinSearchTop
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AXBHO.CTopBar
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AXBHO.CTopBar.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AXBHO.IEWrap
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AXBHO.IEWrap.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\AXBHO.DLL
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\{235FBE53-69D8-427F-97E5-97329CCF55E6}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{23C7E613-D0B3-422D-884C-2B6173435214}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E67AB13C-A9A4-4E47-8763-91979760CBF0}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{142FADF6-78C5-4A44-83FB-E2F74EC69494}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{3C7565E5-FDEF-4B47-AD65-FB84D4DF9C62}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{42E23178-3886-4F34-8158-82EA0064C48C}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{48DEEE01-758D-4E28-B452-49C6E955EAFF}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{C4AC7E22-5A6A-46D0-881C-9DDAF226E8CE}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{23C7E613-D0B3-422D-884C-2B6173435214}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
{B8FA5D6C-9EB8-4B33-BB5D-D098796DAE5E}_is1
WinSearchTop 검색 도우미 프로그램에 대한 기본적인 동작은 이전 게시글을 통해 확인하시기 바랍니다.
이렇게 Find Supporter + WinSearchTop 1.0.0.16 검색 도우미 프로그램이 설치된 환경에서 인터넷을 이용하는 과정에서 사용자가 Internet Explorer 웹 브라우저의 새 탭을 실행할 경우 추가적인 다운로드 동작을 확인할 수 있습니다.
- h**p://winsearchdown.***-search.com//wstop.update.exe (MD5 : ff614a26b368fdaf9e81571e027214f0)
다운로드된 [C:\Documents and Settings\(사용자 계정)\My Documents\wstop.update.exe] 파일은 WinSearchTop 1.0.0.16 프로그램의 버전 업데이트를 진행합니다.
C:\Documents and Settings\(사용자 계정)\My Documents\wstop.update.exe
C:\Program Files\indoit\WinSearchTop\1.0.0.19
C:\Program Files\indoit\WinSearchTop\1.0.0.19\AXBHO.dll :: BHO 등록 파일
C:\Program Files\indoit\WinSearchTop\1.0.0.19\SetupUtil.dll
C:\Program Files\indoit\WinSearchTop\1.0.0.19\WinSearchMon.exe :: 시작 프로그램 등록 파일 / 메모리 상주 프로세스
C:\Program Files\indoit\WinSearchTop\1.0.0.19\dat
[생성 레지스트리 등록 정보]
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- WinSearchMon = C:\Program Files\indoit\winsearchtop\1.0.0.19\WinSearchMon.exe
WinSearchTop 버전 1.0.0.19 프로그램은 [C:\Program Files\indoit\WinSearchTop\1.0.0.19] 폴더에 파일을 생성하며, Windows 시작시 WinSearchMon.exe 파일을 시작 프로그램으로 등록하여 자동으로 실행되어 자신을 메모리에 상주하도록 구성되어 있습니다.
업데이트된 WinSearchTop 프로그램은 사용자가 입력하는 검색 키워드 감시를 통해 웹 브라우저가 종료되는 시점에서 메모리에 상주하던 WinSearchMon.exe 프로세스 하위에 iexplore.exe 프로세스를 생성하여 광고창을 생성하는 동작을 확인할 수 있습니다.
또한 해당 광고창 생성시 특정 광고 코드를 추가하여 특정 조건을 만족시킬 경우 프로그램 제작자(배포자)에게 금전적 수익이 발생할 것으로 추정됩니다.
이름 : WinSearchTop
게시자 : (주)인두잇
유형 : 브라우저 도우미 개체
CLSID : {23C7E613-D0B3-422D-884C-2B6173435214}
파일 : C:\Program Files\indoit\winsearchtop\1.0.0.19\AXBHO.dll
이름 : Find Supporter Helper Object
게시자 : OPEN.co., ltd
유형 : 브라우저 도우미 개체
CLSID : {49DA0177-C74B-47D5-8CE6-BA9C93851A9D}
파일 : C:\Program Files\Find Supporter\FSSupporterh.dll
이름 : Find Supporter
게시자 : OPEN.co., ltd
유형 : 탐색창
CLSID : {BEFC3309-1F71-4FB8-9E17-FBC1B90FC22C}
파일 : C:\Program Files\Find Supporter\FSSupporterh.dll
해당 프로그램은 Internet Explorer 웹 브라우저가 실행될 경우 iexplore.exe 프로세스에 AXBHO.dll, FSSupporterh.dll 2개의 파일을 브라우저 도우미 개체(BHO)로 등록하여 키워드 감시를 통해 광고를 생성하는 동작을 확인할 수 있습니다.
그러므로 광고 행위를 중지하기 위해서는 웹 브라우저의 추가 기능 관리에 등록된 "WinSearchTop, Find Supporter Helper Object, Find Supporter" 3개의 항목을 선택하여 [사용 안 함]으로 변경하시기 바랍니다.
또한 Windows 작업 관리자를 실행하여 메모리에 상주하는 WinSearchMon.exe 프로세스를 수동으로 종료하시기 바랍니다.
프로그램 삭제시에는 Internet Explorer 웹 브라우저를 종료한 상태에서 제어판의 [Find Supporter], [WinSearchTop 버전 1.0.0.19] 삭제 항목을 이용하여 삭제하실 수 있습니다.
프로그램 삭제 후에는 추가적으로 다음의 폴더(파일)를 찾아 수동으로 삭제하시기 바랍니다.
- C:\Documents and Settings\(사용자 계정)\My Documents\wstop.update.exe
- C:\Program Files\Find Supporter
- C:\Program Files\Find Supporter\FSSupporter.bak
- C:\Program Files\indoit
- C:\Program Files\indoit\WinSearchTop
- C:\Program Files\indoit\WinSearchTop\1.0.0.19
- C:\Program Files\indoit\WinSearchTop\1.0.0.19\site.db
- C:\WINDOWS\system32\winsetup.exe
해당 프로그램이 설치된 환경에서 Internet Explorer 웹 브라우저를 사용하는 과정에서 새 탭을 실행할 경우 일정 시간 얼어버리는 문제가 발생하고 있으며, 프로그램 목록에 제시되지 않는 문제로 사용자가 설치 여부를 확인하기 어렵습니다.
또한 하나의 광고 프로그램이 추가적인 광고 프로그램을 설치하는 문제로 인해 사용자는 어떤 경로를 통해 설치가 이루어지는지 확인하기 어렵다는 점에서 주의하시기 바랍니다.