특정 인터넷 쇼핑몰 관련 광고창이 생성될 수 있으며, 시스템 시작시 "TheAM 정규 업데이트" 창을 생성하여 다수의 수익성 프로그램을 설치할 수 있는 검색 도우미 "Micro theam secure softwear profile" 프로그램에 대해 살펴보도록 하겠습니다.
▷ 검색 도우미 : 서치엔(SearchN) - Sn_x32,x64 XML 1.0.0.1 (2012.11.26)
▷ 국내 악성코드 : Micro WebViewer Application ActX (2012.12.4)
▷ 검색 도우미 : Micro Softwear Viewer Actx 1.0.0.1 (2012.12.10)
해당 프로그램은 기존에 "광고 + 제휴(스폰서) 프로그램 배포" 기능을 가진 유사한 프로그램들이 존재하였으므로 참고하시기 바랍니다.
우선 "Micro theam secure softwear profile" 프로그램은 특정 조건을 만족시키는 환경에서만 정상적으로 설치되며, 테스트에서는 "파일 다운로드 + 제휴(스폰서) 프로그램 배포" 목적으로 유포되고 있는 "스피드다운로드(SpeedDownload) - Windows SpeedDownload" 프로그램을 통해 확인해 보았습니다.
참고로 "Windows SpeedDownload" 프로그램의 설치 파일(MD5 : eb1c785a2aedc5133d913d127b6a8d54)에 대하여 AhnLab V3 보안 제품에서는 PUP/Win32.SpeedDownload (VT : 24/47) 진단명으로 진단되고 있습니다.
"Windows SpeedDownload" 프로그램이 설치된 환경에서 웹 브라우저를 통해 파일을 다운로드할 경우 그림과 같은 다운로드 창이 생성되며, 이 과정에서 숨어있는 제휴 프로그램 목록 중 "더에이엠" 설치 항목을 통해 설치가 이루어집니다.
- h**p://www.the***.co.kr/bin/pong.exe (MD5 : 46a0ea33ce180606e0407f51baf2d9f1)
- h**p://www.the***.co.kr/bin/abcd.exe (MD5 : 49bba84ffdc04c911354ef46fe4e649d)
특정 서버로부터 다운로드된 "더에이엠" 설치 파일은 2종이 확인되고 있으며, "C:\Documents and Settings\(사용자 계정)\Templates\pong.exe" 파일로 생성되어 다음과 같은 파일을 생성합니다.
C:\Documents and Settings\(사용자 계정)\Application Data\theam
C:\Documents and Settings\(사용자 계정)\Application Data\theam\common
C:\Documents and Settings\(사용자 계정)\Application Data\theam\common\bin
C:\Documents and Settings\(사용자 계정)\Application Data\theam\common\bin\RemoveTAM.exe :: 프로그램 삭제 파일
C:\Documents and Settings\(사용자 계정)\Application Data\theam\common\bin\tam_kwd.dat
C:\Documents and Settings\(사용자 계정)\Application Data\theam\common\bin\tam_nsminfo.dat
C:\Documents and Settings\(사용자 계정)\Application Data\theam\common\bin\tam_ominfo.dat
C:\Documents and Settings\(사용자 계정)\Application Data\theam\common\bin\tam_recog.dat
C:\Documents and Settings\(사용자 계정)\Application Data\theam\common\bin\tam_sku.dat
C:\Documents and Settings\(사용자 계정)\Application Data\theam\common\bin\TAMGuard.exe :: 시작 프로그램(guardtam) 등록 파일
C:\Documents and Settings\(사용자 계정)\Application Data\theam\common\bin\TAMUpdate.exe :: 시작 프로그램(TheAM) 등록 파일
C:\Documents and Settings\(사용자 계정)\Application Data\theam\common\bin\TheAM.exe :: 시작 프로그램(tamgrd) 등록 파일 / 메모리 상주 프로세스
C:\Documents and Settings\(사용자 계정)\Templates\pong.exe
해당 프로그램은 "C:\Documents and Settings\(사용자 계정)\Application Data\theam" 폴더 내에 파일을 생성하며, Windows 시작시 다음의 파일들을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.
- guardtam = C:\Documents and Settings\(사용자 계정)\Application Data\theam\common\bin\tamguard.exe
- tamgrd = C:\Documents and Settings\(사용자 계정)\Application Data\theam\common\bin\TheAm.exe
- TheAM = C:\Documents and Settings\(사용자 계정)\Application Data\theam\common\bin\TAMUpdate.exe
1. "C:\Documents and Settings\(사용자 계정)\Application Data\theam\common\bin\tamguard.exe" 시작 프로그램
시스템 시작시 자동 실행되는 tamguard.exe 파일은 프로그램 파일의 버전을 체크한 후 자동 종료됩니다.
2. "C:\Documents and Settings\(사용자 계정)\Application Data\theam\common\bin\TheAm.exe" 시작 프로그램
시스템 시작시 자동 실행되는 TheAm.exe 파일은 광고 구성값을 체크하는 기능을 수행한 후 메모리에 상주합니다.
이를 통해 사용자가 조건에 부합하는 인터넷 검색을 진행하는 과정에서 인터넷 쇼핑몰 제휴 코드가 추가된 광고창이 생성되는 등의 광고 기능을 할 것으로 추정됩니다.
그러므로 광고 동작 중지 및 프로그램 삭제시에는 Windows 작업 관리자를 실행하여 TheAM.exe 프로세스를 찾아 수동으로 종료하시기 바랍니다.
3. "C:\Documents and Settings\(사용자 계정)\Application Data\theam\common\bin\TAMUpdate.exe" 시작 프로그램
시스템 시작시 자동 실행되는 TAMUpdate.exe 파일은 특정 서버에서 이용약관 체크 및 업데이트 창을 생성하여 등록된 다수의 수익성 프로그램의 설치를 유도할 수 있습니다.
실제 생성될 것으로 추정되는 "TheAM 정규 업데이트" 창에서는 다양한 수익성 프로그램 목록이 추가되어 사용자가 체크 박스 해제를 하지 않은 상태로 "확인" 버튼을 클릭할 경우 백그라운드 방식으로 원치 않는 프로그램들이 설치될 수 있으므로 주의하시기 바랍니다.
4. 프로그램 삭제
프로그램 삭제는 제어판에 등록된 "Micro theam secure softwear profile" 삭제 항목을 이용하여 삭제할 수 있으며, 프로그램 삭제 후에는 추가적으로 다음의 폴더(파일)를 삭제하시기 바랍니다.
- C:\Documents and Settings\(사용자 계정)\Application Data\theam
- C:\Documents and Settings\(사용자 계정)\Application Data\theam\common
- C:\Documents and Settings\(사용자 계정)\Templates\pong.exe (※ abcd.exe 등)
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- guardtam = C:\Documents and Settings\(사용자 계정)\Application Data\theam\common\bin\tamguard.exe
- tamgrd = C:\Documents and Settings\(사용자 계정)\Application Data\theam\common\bin\TheAm.exe
- TheAM = C:\Documents and Settings\(사용자 계정)\Application Data\theam\common\bin\TAMUpdate.exe
HKEY_CURRENT_USER\Software\TheAM
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\TheAM
"Micro theam secure softwear profile" 프로그램은 광고 기능 이외에 특정 시점에서 시스템 시작시 업데이트 창을 생성하여 사용자의 부주의한 동의를 통해 다수의 수익성 프로그램들을 설치할 수 있으므로 주의하시기 바랍니다.