특정 인터넷 쇼핑몰 접속시 사용자 몰래 광고 코드를 추가하는 uiguiders 검색 도우미 프로그램에 대해 살펴보도록 하겠습니다.
해당 프로그램의 설치 파일(MD5 : c9cc9b49f597448c1c9aeafa4df6965e)에 대하여 Hauri ViRobot 보안 제품에서는 Adware.UiGuiders.543232 (VirusTotal : 27/42) 진단명으로 진단되고 있습니다.
▷ 국내 악성코드 : pop2click (2012.4.26)
▷ 국내 악성코드 : bpntup (2012.4.26)
▷ 검색 도우미 : clickhighst (2012.4.26)
해당 프로그램은 유사한 기능을 가진 다양한 이름의 형태로 배포된 사례가 있었으므로 참고하시기 바랍니다.
GET /****/uiguiders/uiguiders.zip HTTP/1.1
Content-Type: text/html
Host: ****.tmqrhks.com
Accept: text/html, */*
User-Agent: Mozilla/3.0 (compatible; Indy Library)
설치 파일이 실행되면 특정 서버로부터 uiguiders 프로그램 관련 파일이 포함된 uiguiders.zip 압축 파일을 다운로드하여 설치가 이루어집니다.
C:\Program Files\tempfiles
C:\Program Files\tempfiles\mseuibu.exe
C:\Program Files\tempfiles\uiguiders.dll
C:\Program Files\uiguiders
C:\Program Files\uiguiders\mseuibu.exe :: 시작 프로그램 등록 파일
C:\Program Files\uiguiders\uiguiders.dll :: BHO 등록 파일
C:\Program Files\uiguiders\uiguiders.zip
C:\Program Files\uiguiders\uiguidersuninst.exe :: 프로그램 삭제 파일
C:\Program Files\tempfiles\uiguiders.dll
C:\Program Files\uiguiders\uiguiders.dll
- MD5 : 619679c79c837f67f8a99dfbdbd2d9f8
- AhnLab V3 : Adware/Win32.BHO (VirusTotal : 31/42)
다운로드된 프로그램은 "C:\Program Files\uiguiders" 폴더에 파일을 생성한 후, "C:\Program Files\tempfiles" 폴더에 mseuibu.exe, uiguiders.dll 2개의 파일을 프로그램 보호 목적으로 백업해 둡니다.
또한 Windows 시작시 "C:\Program Files\uiguiders\mseuibu.exe" 파일을 시작 프로그램으로 등록하여 자동 실행되어 메모리에 상주하도록 구성되어 있습니다.
프로그램이 설치된 환경에서 G마켓, 11번가, 옥션을 포함한 특정 인터넷 쇼핑몰에 접속하는 과정에서 사용자 몰래 특정 광고 코드(click.clickstory.co.kr)가 추가되며, 이를 통해 조건을 만족시킬 경우 프로그램 제작자(배포자)에게 금전적 수익이 발생할 것으로 보입니다.
이름 : uiguiders
유형 : 브라우저 도우미 개체
CLSID : {060A8927-0438-480C-8D92-D99865FB8CFC}
파일 : C:\Program Files\uiguiders\uiguiders.dll
해당 프로그램은 Internet Explorer 웹 브라우저 실행시 iexplore.exe 프로세스에 uiguiders.dll 파일을 브라우저 도우미 개체(BHO)로 등록하여 파일에 등록된 특정 인터넷 쇼핑몰 접속시 광고 코드를 추가하여 수익을 창출하도록 제작되어 있습니다.
그러므로 광고 동작의 중지를 위해서는 웹 브라우저의 추가 기능 관리에 등록된 "uiguiders" 항목을 선택하여 "사용 안 함"으로 변경하시기 바랍니다.
해당 프로그램은 시스템 시작시 mseuibu.exe 프로세스를 생성하여 메모리에 상주하므로, 프로그램 삭제시에는 Windows 작업 관리자를 실행하여 해당 프로세스를 찾아 수동으로 종료하시고 삭제를 진행하시기 바랍니다.
프로그램 삭제는 제어판의 "uiguiders" 삭제 항목을 이용하여 삭제할 수 있으며, 삭제 과정에서 제시되는 5자리 숫자를 입력하시기 바랍니다.
프로그램 삭제 후에는 추가적으로 다음의 폴더(파일)를 수동으로 삭제하시기 바랍니다.
- C:\Program Files\tempfiles
- C:\Program Files\tempfiles\mseuibu.exe
- C:\Program Files\tempfiles\uiguiders.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{060A8927-0438-480C-8D92-D99865FB8CFC}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{060A8927-0438-480C-8D92-D99865FB8CFC}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- uiguiders = C:\Program Files\uiguiders\mseuibu.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
uiguiders
해당 프로그램은 기존의 유사한 프로그램과는 다르게 사용자가 수동으로 삭제하지 못하게 방해하는 기능이 포함되어 있으므로 관련된 동작에 대해 간단하게 살펴보도록 하겠습니다.
uiguiders 프로그램이 설치된 환경에서 사용자가 윈도우 탐색기, Internet Explorer 웹 브라우저를 실행할 경우 "C:\Program Files\uiguiders\uiguiders.dll" 파일은 explorer.exe, iexplore.exe 프로세스에 추가되는 동작을 확인할 수 있습니다.
이로 인하여 프로그램을 수동으로 삭제하기 위해 "C:\Program Files\uiguiders" 폴더를 삭제 시도할 경우 uiguiders.dll 항목을 삭제할 수 없다는 액세스 거부 관련 오류가 발생하게 됩니다.
심지어 해당 파일(uiguiders.dll)의 확장자명을 변경하고 시스템 재부팅을 통해 삭제를 시도하는 경우에도 변경된 파일(예, uiguiders.dll-Malware)이 explore.exe 프로세스에 추가되며, 백업된 파일(C:\Program Files\tempfiles\uiguiders.dll)을 이용하여 "C:\Program Files\uiguiders\uiguiders.dll" 파일을 재생성하는 동작을 확인할 수 있습니다.
그러므로 제어판을 통한 삭제가 되지 않는 경우에는 다음의 절차에 따라 프로그램을 삭제하시기 바랍니다.
(1) 해외에서 제작된 루트킷(Rootkit) 진단 및 제거 도구 GMER 파일을 다운로드하여 준비합니다.
(2) Windows 작업 관리자를 실행하여 mseuibu.exe 프로세스를 수동으로 종료하시기 바랍니다.
(3) 윈도우 탐색기를 실행하여 다음의 폴더(파일)를 수동으로 삭제하시기 바랍니다.
- C:\Program Files\tempfiles
- C:\Program Files\tempfiles\mseuibu.exe
- C:\Program Files\tempfiles\uiguiders.dll
(4) 윈도우 탐색기, Internet Explorer 웹 브라우저를 비롯한 모든 프로그램을 종료한 상태에서 GMER 프로그램을 실행합니다.
실행된 GMER 프로그램의 "Files" 탭에서 "C:\Program Files\uiguiders" 폴더를 찾아 우측에 보이는 파일 모두를 선택한 후 "Delete" 버튼을 클릭하여 파일을 제거하시기 바랍니다.
그 후 윈도우 탐색기를 실행하여 "C:\Program Files\uiguiders" 폴더를 수동으로 삭제하시기 바랍니다.
(5) 레지스트리 편집기(regedit)를 실행하여 위에 제시된 "생성 레지스트리 정보"를 참고하여 관련 값을 찾아 수동으로 삭제하시기 바랍니다.
일부 광고 프로그램은 백신 프로그램 또는 사용자의 수동 삭제로부터 자신을 방어할 목적으로 자가 보호 기능이 포함된 경우가 있으며, uiguiders 광고 프로그램의 동작은 외형적인 변화가 없으므로 설치되었는지 제대로 인지하지 못할 수 있으므로 주의하시기 바랍니다.