본문 바로가기

벌새::Analysis

검색 도우미 : homeappsigntool

반응형

인터넷 검색시 추가적인 광고창이 다수 생성되는 검색 도우미 homeappsigntool 프로그램(MD5 : 08a85d37fc7eefcd0beafd3d9e72d07b)에 대해 살펴보도록 하겠습니다.

 

  검색 도우미 : Winapp for Windows 버전 1.0.0.2 (2012.6.12)

 

  검색 도우미 : toastpop 버전 1.0.0.1 (2013.2.28)

 

  검색 도우미 : homewinsigntool (2013.3.11)

 

해당 프로그램은 homewinsigntool 검색 도우미 프로그램의 변종으로 확인되고 있으므로 참고하시기 바랍니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Documents and Settings\(사용자 계정)\Application Data\appsigntool
C:\Documents and Settings\(사용자 계정)\Application Data\appsigntool\appst.exe :: 시작 프로그램 등록 파일 / 메모리 상주 프로세스
C:\Documents and Settings\(사용자 계정)\Application Data\appsigntool\SetupUtil.dll
C:\Documents and Settings\(사용자 계정)\Application Data\appsigntool\unins000.dat
C:\Documents and Settings\(사용자 계정)\Application Data\appsigntool\unins000.exe :: 프로그램 삭제 파일

해당 프로그램은 "C:\Documents and Settings\(사용자 계정)\Application Data\appsigntool" 폴더에 파일을 생성하며, Windows 시작시 ["C:\Documents and Settings\(사용자 계정)\Application Data\appsigntool\appst.exe" update] 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.

프로그램이 설치된 환경에서 인터넷 검색시 다양한 광고창이 자동으로 생성되며, 특이한 점은 네이버(Naver) 검색시 검색 키워드 값을 참조하여 네이트닷컴 검색 결과가 노출되는 부분도 확인할 수 있었습니다.

해당 검색 노출 코드를 살펴보면 네이트닷컴 검색 관련 외부 파트너 관계가 아닌가 생각됩니다.(※ 포털 검색도 공유하는구만.. 뭥미)

해당 광고 동작은 메모리에 상주하는 appst.exe 프로세스를 통해 이루어지므로, 광고 동작 중지 및 프로그램 삭제시에는 Windows 작업 관리자를 실행하여 appst.exe 프로세스를 찾아 수동으로 종료하시기 바랍니다.

프로그램 삭제는 제어판에 등록된 "homeappsigntool" 삭제 항목을 이용하여 삭제할 수 있습니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software
 - appsigntool = T
HKEY_CURRENT_USER\Software\appsigntool
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - appsigntool = "C:\Documents and Settings\(사용자 계정)\Application Data\appsigntool\appst.exe" update
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{53403CB4-E619-4A64-B28D-A6159FE8F354}_is1

 

homeappsigntool 검색 도우미 프로그램은 인터넷 검색시 2~3개의 광고창을 동시에 노출하는 문제로 불편을 유발할 수 있으므로 이런 프로그램이 설치되지 않도록 주의하시기 바랍니다.

728x90
반응형