본문 바로가기

벌새::Analysis

검색 도우미 : mplanshift 1.00

반응형

인터넷 검색시 키워드 값을 참조하여 DreamX 열린 주소창 검색(dreamx.dns3.paran.com)으로 연결을 시도하는 검색 도우미 "mplanshift 1.00" 프로그램에 대해 살펴보도록 하겠습니다.

 

해당 프로그램은 특정 악성 파일(MD5 : 72dd7c9bbc0978867774ef3560469d32)을 통해 사용자 동의없이 설치가 이루어지고 있으며, mplanshift 1.00 프로그램의 설치 파일(MD5 : 31ae77c65880ed881df2284a6ef6caa8)에 대하여 BitDefender 보안 제품에서는 Gen:Variant.Kazy.16848 (VirusTotal : 9/42) 진단명으로 진단되고 있습니다.

 

또한 해당 프로그램의 드랍퍼(Dropper) 파일(MD5 : 72dd7c9bbc0978867774ef3560469d32)에 대하여 Hauri ViRobot 보안 제품에서는 Trojan.Win32.A.Downloader.209674 (VirusTotal : 20/42) 진단명으로 진단되고 있습니다.

 

  <2011년 관련 정보> 검색 도우미 : isearchplus 1.00 (2011.12.30) 외 4종

 

  검색 도우미 : Clicknsearch 1.00 - neopsearch (2012.2.23)

 

  국내 악성코드 : OpenSearch 1.00 - sjadsearch (2012.2.25)

 

  검색 도우미 : Quicknsearch 1.00 (2012.3.30)

 

  국내 악성코드 : mplantsearch 1.00 + quicktimesh (2012.4.10)

 

  [삭제] wmplanttool 1.00 - wmplantsearch (2012.5.7)

 

  검색 도우미 : qplansonic 1.00 (2012.5.7)

 

  검색 도우미 : mplansonic 1.00 (2012.5.10)

 

  검색 도우미 : msncptool 1.00 (2012.5.26)

 

  검색 도우미 : Micro ScanPlan (2012.6.2)

 

해당 프로그램과 동일(유사)한 기능을 하는 다양한 이름의 프로그램이 과거부터 배포되고 있으므로 참고하시기 바랍니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Program Files\mplanshift
C:\Program Files\mplanshift\mplanshifta.dll :: BHO 등록 파일
C:\Program Files\mplanshift\mplanshiftdl.exe
C:\Program Files\mplanshift\Uninstall.exe :: 프로그램 삭제 파일
C:\Program Files\mplanshift\Uninstall.ini

해당 프로그램은 "C:\Program Files\mplanshift" 폴더에 파일을 생성하며, 프로그램 설치 후 최초 Internet Explorer 웹 브라우저를 실행할 경우 특정 서버로부터 추가적인 다운로드 체크 및 광고 구성 정보를 받아오는 동작을 확인할 수 있습니다. 

기본적인 광고 동작을 살펴보면 Internet Explorer 웹 브라우저의 주소 표시줄에 검색어를 입력할 경우, 해당 검색어를 참조한 DreamX 열린 주소창 검색(dreamx.dns3.paran.com) 결과로 연결되는 동작을 확인할 수 있습니다. 

또한 포털 사이트 검색시(①) 백그라운드 방식으로 DreamX 열린 주소창 검색(dreamx.dns3.paran.com)이 연결(②)되는 동작을 확인할 수 있습니다. 

해당 연결 과정을 살펴보면 그림과 같이 포털 사이트 검색시 키워드 값을 참조한 DreamX 열린 주소창 검색(dreamx.dns3.paran.com) 백그라운드 검색(②)이 이루어지는 것을 확인할 수 있습니다. 

[추가 기능 관리 : 도구 모음 및 확장 프로그램]

 

이름 : mplanshiftprg.mplanshift

게시자 : mplanshift

유형 : 브라우저 도우미 개체

CLSID : {F518811C-2A50-4843-B7CF-76F2E7057B51}

파일 : C:\Program Files\mplanshift\mplanshifta.dll

 

해당 프로그램은 Internet Explorer 웹 브라우저를 실행할 경우 iexplore.exe 프로세스에 mplanshifta.dll 파일을 브라우저 도우미 개체(BHO)로 등록하여 키워드 값을 참조하여 DreamX 열린 주소창 검색(dreamx.dns3.paran.com) 연결이 이루어지도록 하고 있습니다.

 

그러므로 광고 동작의 중지를 위해서는 웹 브라우저의 추가 기능 관리에 등록된 "mplanshiftprg.mplanshift" 항목을 선택하여 "사용 안 함"으로 변경하시기 바랍니다. 

프로그램 삭제시에는 Internet Explorer 웹 브라우저를 종료한 상태에서 제어판의 "mplanshift 1.00" 삭제 항목을 이용하여 삭제할 수 있으며, 프로그램 삭제 후에는 추가적으로 다음의 폴더(파일)를 수동으로 삭제하시기 바랍니다.

  • C:\Program Files\mplanshift
  • C:\Program Files\mplanshift\mplanshifta.dll
[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - mplanshift = C:\Program Files\mplanshift\mplanshiftdl.exe ccrcov
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F518811C-2A50-4843-B7CF-76F2E7057B51}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{B68DA680-102F-4894-952A-B2865DC51FFE}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\mplanshiftprg.mplanshift
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{DF49B8A2-24FA-4638-A5DB-C89B32D4A5B5}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
 - mplanshifta = 1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{F518811C-2A50-4843-B7CF-76F2E7057B51}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\mplanshift 1.00
HKEY_LOCAL_MACHINE\SOFTWARE\mplanshift

 

해당 프로그램은 프로그램 목록에 제시되지 않는 문제로 설치 여부를 확인하기 어려우며, 사용자 동의 없이 악성 파일을 통해 설치가 이루어지고 있으므로 주의하시기 바랍니다.

728x90
반응형