인터넷 검색시 오픈매치(OpenMatch) 광고창을 생성하며, 시스템 시작시 업데이트 기능을 통해 추가적인 다운로드 등의 기능을 수행하는 검색 도우미 SubShop 프로그램(MD5 : 57c13be30a1452e2669b3a658eeace28)에 대해 살펴보도록 하겠습니다.
▷ [삭제] DreamNet Service (2013.3.23)
▷ 국내 악성코드 : GloryShop (2013.4.7)
▷ 검색 도우미 : Microsoft AD WS (2013.5.26)
해당 프로그램은 기존에 유사한 기능을 가진 다양한 이름으로 배포가 이루어지고 있었으므로 참고하시기 바랍니다.
C:\Documents and Settings\(사용자 계정)\Application Data\ACooler
C:\Documents and Settings\(사용자 계정)\Application Data\ACooler\ACooler.exe
C:\Documents and Settings\(사용자 계정)\Application Data\ACooler\ACoolerRep.exe
C:\Documents and Settings\(사용자 계정)\Application Data\ACooler\ACoolerSvr.exe :: 서비스(ACoolerSvr) 등록 파일
C:\Documents and Settings\(사용자 계정)\Application Data\ACooler\category.dt
C:\Documents and Settings\(사용자 계정)\Application Data\ACooler\inst.dat
C:\Documents and Settings\(사용자 계정)\Application Data\ACooler\msvcp100.dll
C:\Documents and Settings\(사용자 계정)\Application Data\ACooler\msvcr100.dll
C:\Documents and Settings\(사용자 계정)\Application Data\ACooler\nhopen.dll
C:\Documents and Settings\(사용자 계정)\Application Data\ACooler\PCOlib.dll
C:\Documents and Settings\(사용자 계정)\Application Data\ACooler\uninstall.exe :: 프로그램 삭제 파일
C:\Documents and Settings\(사용자 계정)\Application Data\ACooler\winpop.exe :: 시작 프로그램 등록 파일
C:\Documents and Settings\(사용자 계정)\Application Data\ACooler\nhopen.dll
- MD5 : 99db86bd85d039e212edc650cbeea034
- nProtect : Adware/W32.KrAdword.1404416.B (VT : 12/46)
C:\Documents and Settings\(사용자 계정)\Application Data\ACooler\winpop.exe
- MD5 : 0900f9c8df9bb6cafc17b569f81fd3ad
- AhnLab V3 : PUP/Win32.URLHelper (VT : 11/46)
해당 프로그램은 "C:\Documents and Settings\(사용자 계정)\Application Data\ACooler" 폴더에 파일을 생성하며, 시스템 시작시 다음과 같은 2가지 동작을 수행합니다.
1. ACoolerSvr(SubShop) 서비스
"ACoolerSvr(SubShop)" 서비스 항목을 등록하여 시스템 시작시 "C:\Documents and Settings\(사용자 계정)\Application Data\ACooler\ACoolerSvr.exe" 파일이 자동 실행되도록 구성되어 있습니다.
자동 실행된 서비스 파일(ACoolerSvr.exe)은 4분을 대기한 후 추가적으로 "ACooler.exe + ACoolerRep.exe" 파일을 로딩하여 다음과 같은 정보를 체크하여 파일 다운로드 및 자동 종료 처리됩니다.
- C:\Documents and Settings\(사용자 계정)\Application Data\ACooler\option.dat
- C:\Documents and Settings\(사용자 계정)\Application Data\ACooler\up.dat
연결되는 외부 정보를 살펴보면 ACooler.exe 파일 실행을 통해 암호화된 정보를 가진 option.dat 파일 생성 및 프로세스 체크, ACoolerRep.exe 파일 실행을 통해 up.dat 파일 생성 및 프로세스 체크를 수행합니다.
(1) "C:\Documents and Settings\(사용자 계정)\Application Data\ACooler\ACooler.exe" 파일
ACooler.exe 파일을 살펴보면 차후 광고 팝업창 생성 및 option.dat 파일 다운로드를 통해 BHO, Run 레지스트리 값 등록을 통해 광고 기능을 수행할 수 있습니다.
(2) "C:\Documents and Settings\(사용자 계정)\Application Data\ACooler\ACoolerRep.exe" 파일
ACoolerRep.exe 파일은 up.dat 파일 다운로드 및 업데이트 기능을 통해 추가적인 파일 실행을 위한 RunOnce 값을 등록할 수 있습니다.
2. "C:\Documents and Settings\(사용자 계정)\Application Data\ACooler\winpop.exe" 파일
SubShop 프로그램을 통해 함께 설치된 오픈매치(OpenMatch) 광고 기능을 가진 "nhopen.dll + winpop.exe" 파일은 Windows 시작시 "C:\Documents and Settings\(사용자 계정)\Application Data\ACooler\winpop.exe" 파일을 시작 프로그램으로 등록하여 자동 실행되어 광고 구성값을 체크하도록 구성되어 있습니다.
이를 통해 사용자가 인터넷 검색을 통해 웹 사이트에 접속하는 과정에서 추가적인 광고창을 생성하는 기능을 수행합니다.
연결되는 광고창은 오픈매치(OpenMatch) 광고 서버를 경유하는 생성되며, 이를 통해 특정 조건을 만족시킬 경우 수익이 발생할 것으로 판단됩니다.
▶ <2012년 관련 정보> 제휴(스폰서) 프로그램 : Windows NCast Provide Engine (2012.12.1) 외 7종
▷ "Windows InternetSafer" 유해 차단 프로그램에 포함된 intsfad.exe 광고 파일 (2013.2.3)
▷ 검색 도우미 : Windows Internet displaylink (2013.4.6)
▷ 검색 도우미 : IProtect (2013.4.8)
▷ 검색 도우미 : Microsoft AD WS (2013.5.26)
▷ "Internet Explorer ISafesvc" 유해 사이트 차단 프로그램을 이용한 광고 주의 (2013.6.8)
해당 오픈매치(OpenMatch) 광고 기능은 기존부터 다양한 프로그램 내부에서 발견되고 있으므로 참고하시기 바랍니다.
해당 광고 동작 중지 및 프로그램 삭제시에는 Windows 작업 관리자를 실행하여 winpop.exe 프로세스를 찾아 수동으로 종료하시기 바랍니다.
3. 프로그램 삭제
프로그램 삭제는 제어판에 등록된 "SubShop" 삭제 항목을 이용하여 삭제할 수 있습니다.
HKEY_CURRENT_USER\Software\AnyBord
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- winpop = C:\Documents and Settings\(사용자 계정)\Application Data\ACooler\winpop.exe
HKEY_CURRENT_USER\Software\winpop
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ACooler
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ACOOLERSVR
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ACoolerSvr
"SubShop" 프로그램은 기본적으로 인터넷 검색시 광고창 생성 기능을 가지고 있지만, 차후 특정 시점에서는 업데이트 기능을 통해 추가적인 파일 다운로드를 위한 업데이트 창 생성 등의 행위가 있을 수 있으므로 주의하시기 바랍니다.