본문 바로가기

벌새::Analysis

검색 도우미 : RGcast

반응형
Internet Explorer 웹 브라우저의 시작 페이지 변경 및 인터넷 검색시 광고창 및 시스템 트레이 알림 아이콘 상단에 팝업창을 생성하는 검색 도우미 RGcast 프로그램에 대해 살펴보도록 하겠습니다.

  검색 도우미 : NameGcast (2012.1.14)

해당 프로그램은 NameGcast 검색 도우미와 유사성이 강하므로 참고하시기 바랍니다.

  ▶ h**p://www.RGcast.com/mac.asp?mac=(사용자 Mac Address)

우선 해당 프로그램은 최초 설치시 사용자 Mac Address 정보를 체크하여 재설치시 프로그램이 설치되지 않도록 차단을 하는 동작을 확인할 수 있습니다.

[생성 폴더 / 파일 등록 정보]

C:\Program Files\RGcast
C:\Program Files\RGcast\RGcast_c.exe
C:\Program Files\RGcast\RGcast_crm.dll
C:\Program Files\RGcast\RGcast.exe :: 시작 프로그램 등록 파일 / 메모리 상주 프로세스
C:\Program Files\RGcast\uninstall.exe :: 프로그램 삭제 파일

[생성 파일 진단 정보]

C:\Program Files\RGcast\RGcast.exe
 - MD5 : 16a851d9ed620e3ad2ba6cb9c8df728a
 - AhnLab V3 : Win-PUP/Helper.Rgcast.1011200 (VirusTotal : 2/43)

해당 프로그램은 Windows 시작시 RGcast.exe 파일을 시작 프로그램으로 등록하여 자동 실행되어 메모리에 상주하도록 구성되어 있습니다.

프로그램이 설치된 환경에서는 Internet Explorer 웹 브라우저의 시작 페이지를 "home.RGcast.com"으로 변경하며, 해당 주소를 살펴보면 네이버(Naver) 메인으로 연결되도록 구성되어 있는 것을 확인할 수 있습니다.

실제 해당 프로그램의 동작을 살펴보면 크게 3가지 부분으로 광고 동작을 확인할 수 있습니다.

사용자가 인터넷 검색 중 특정 키워드를 입력할 경우 시스템 트레이 알림 아이콘 상단에 그림과 같은 팝업창 형태의 광고가 노출됩니다.

또한 인터넷 검색시 특정 키워드에 따라 그림과 같은 추가적인 광고창이 생성되는 동작을 확인할 수 있습니다.

마지막 하나는 특정 인터넷 쇼핑몰 검색을 시도할 경우 자동으로 해당 쇼핑몰이 오픈되면서 사용자 몰래 특정 광고 코드(click.linkprice.com)가 포함되는 것을 확인할 수 있습니다.

해당 광고 동작의 중지를 위해서는 Windows 작업 관리자에서 RGcast.exe 프로세스를 수동으로 종료하시기 바랍니다.

프로그램 삭제는 제어판의 "RGcast" 삭제 항목을 이용하여 삭제하실 수 있으며, 프로그램 삭제 후에는 추가적으로 "C:\Program Files\RGcast" 폴더를 수동으로 삭제하시기 바랍니다.

[생성 / 변경 레지스트리 등록 정보]

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
 - Start Page = (사용자 지정 홈페이지 주소) :: 변경 전
 - Start Page = http://home.RGcast.com :: 변경 후
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\TabbedBrowsing
 - NewTabPageShow = 2
HKEY_CURRENT_USER\Software\RGcast
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\AboutURLs
 - Tab = res://ieframe.dll/tabswelcome.htm :: 추가
 - Tabs = res://ieframe.dll/tabswelcome.htm :: 변경 전
 - Tabs = http://tab.RGcast.com :: 변경 후
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - RGcast = C:\Program Files\RGcast\RGcast.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\RGcast
HKEY_LOCAL_MACHINE\SOFTWARE\RGcast

※ 프로그램 설치로 인하여 변경된 레지스트리 값(변경 후)은 "변경 전" 값으로 수정하시기 바라며, "추가" 값은 삭제를 하시기 바랍니다.

해당 프로그램은 프로그램 목록에 제시되지 않는 문제로 설치 여부를 확인하기 어려우며, 인터넷 이용시 다양한 광고창 생성으로 인해 인터넷 검색시 상당한 불편함과 인터넷 속도 저하 등의 문제가 발생할 수 있습니다.


728x90
반응형