인터넷 검색시 웹 브라우저 좌측에 "탑마이사이드바" 스폰서 링크 광고를 노출하는 검색 도우미 "탑마이사이드바(Top MySidebar)" 프로그램에 대해 살펴보도록 하겠습니다.
- h**p://jalanfed.info/***/XbBaHa/isetx4x530.exe (MD5 : 4f47898cadb3106b0714dd4b155f2c9e) - AhnLab V3 : Downloader/Win32.Adload (VirusTotal : 32/42)
해당 검색 도우미 프로그램은 드랍퍼(Dropper) 파일을 통해 설치가 이루어졌던 것으로 확인되고 있습니다.
- h**p://jalanfed.info/***/setup_f1.exe (MD5 : f0fed98520d66038df880597b3a08fcf) - AhnLab V3 : Downloader/Win32.Adload (VirusTotal : 29/42)
이를 통해 다운로드된 설치 파일을 통해 탑마이사이드바(Top MySidebar) 프로그램이 설치되도록 구성되어 있습니다.
▷ 특정 타켓을 목표로하는 MatchPop 검색 도우미? (2012.8.23)
참고로 해당 도메인과 파일로 추정해보면 최근 발견되고 있는 특정 환경에서만 설치가 이루어지는 검색 도우미 추정 프로그램들과 연관성이 있는 것으로 보이므로 참고하시기 바랍니다.
▷ 검색 도우미 : 줌마이사이드바(ZUM MySidebar) (2012.1.17)
▷ 검색 도우미 : K 마이사이드바(K MySidebar) (2012.8.19)
또한 해당 프로그램은 기존의 마이사이드바(MySidebar) 검색 도우미 시리즈의 변형된 프로그램이므로 참고하시기 바랍니다.
[생성 폴더 / 파일 등록 정보]
C:\Documents and Settings\(사용자 계정)\Application Data\MSBV4
C:\Documents and Settings\(사용자 계정)\Application Data\MSBV4\ms3.dat
C:\Program Files\top mysidebar
C:\Program Files\top mysidebar\topmsb.dll :: BHO 등록 파일
C:\Program Files\top mysidebar\topmsbSvc.exe :: TOPMSB Service Support 서비스 등록 파일
C:\Program Files\top mysidebar\topmsbv.dll
C:\Program Files\top mysidebar\uninst.exe :: 프로그램 삭제 파일
[생성 파일 진단 정보]
C:\Program Files\top mysidebar\topmsb.dll
- MD5 : 1163e71b4056e7660e916cce3610da59
- AhnLab V3 : Win-PUP/Helper.MySidebar.2091632 (VirusTotal : 3/42)
C:\Program Files\top mysidebar\topmsbSvc.exe
- MD5 : 73f5342da05cd544701b656dd58bd0c1
- AhnLab V3 : Win-PUP/Helper.MySidebar.2317424 (VirusTotal : 7/42)
C:\Program Files\top mysidebar\topmsbv.dll
- MD5 : a647753dfb0e4dbeaa0fef7e358d363d
- AhnLab V3 : Win-PUP/Helper.MySidebar.2368104 (VirusTotal : 4/42)
C:\Program Files\top mysidebar\uninst.exe
- MD5 : 1438e5b81e7a76b335c67c539e033f4b
- AhnLab V3 : Win-PUP/Helper.MySidebar.2193520 (VirusTotal : 1/42)
해당 프로그램은 "wTOPMSBSvc(TOPMSB Service Support)" 서비스 항목을 등록하여 시스템 시작시 "C:\Program Files\top mysidebar\topmsbSvc.exe" 파일을 자동으로 실행하여 업데이트 체크를 하도록 구성되어 있습니다.
프로그램이 설치된 환경에서 인터넷 검색을 통해 접속한 웹 사이트의 좌측 영역에 "탑마이사이드바" 스폰서 링크 광고를 노출하는 동작을 확인할 수 있습니다.
[추가 기능 관리 : 도구 모음 및 확장 프로그램]
이름 : 탑마이사이드바 BHO
게시자 : WinSoft
유형 : 브라우저 도우미 개체
CLSID : {02166878-B25C-42DD-B2B3-4C4B096DAC81}
파일 : C:\Program Files\top mysidebar\topmsb.dll
이름 : 탑마이사이드바
게시자 : WinSoft
유형 : 탐색창
CLSID : {D67365E5-5E30-4127-A590-BCA947E09C5B}
파일 : C:\Program Files\top mysidebar\topmsbv.dll
해당 프로그램은 Internet Explorer 웹 브라우저를 실행시 iexplore.exe 프로세스에 topmsb.dll, topmsbv.dll 2개의 모듈을 브라우저 도우미 개체(BHO) 및 탐색창으로 추가하여 키워드 감시를 통한 사이드바를 생성하도록 제작되어 있습니다.
그러므로 광고 동작의 중지를 위해서는 웹 브라우저의 추가 기능 관리에 등록된 "탑마이사이드바 BHO", "탑마이사이드바" 2개의 항목을 선택하여 "사용 안 함"으로 변경하시기 바랍니다.
프로그램 삭제시에는 Internet Explorer 웹 브라우저를 종료한 상태에서 제어판의 "탑마이사이드바 제거" 삭제 항목을 이용하여 삭제할 수 있으며, 프로그램 삭제 후에는 추가적으로 다음의 폴더를 수동으로 삭제하시기 바랍니다.
- C:\Documents and Settings\(사용자 계정)\Application Data\MSBV4
- C:\Program Files\top mysidebar
[생성 레지스트리 등록 정보]
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\topmysidebarSet
HKEY_CURRENT_USER\Software\WinSoft
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{02166878-B25C-42DD-B2B3-4C4B096DAC81}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D67365E5-5E30-4127-A590-BCA947E09C5B}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\top mysidebar
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{02166878-B25C-42DD-B2B3-4C4B096DAC81}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\top mysidebar
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WTOPMSBSVC
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wTOPMSBSvc
해당 프로그램은 프로그램 목록에 제시되지 않는 문제로 설치 여부를 확인하기 어려우며, 인터넷 이용 과정에서 원치 않는 사이드바 광고로 인하여 속도 저하 등의 문제가 발생할 수 있으므로 주의하시기 바랍니다.