본문 바로가기

벌새::Analysis

검색 도우미 : newtab

반응형

Internet Explorer 웹 브라우저의 홈 페이지 주소를 변경하며, 새 탭을 오픈하는 과정에서 특정 제휴 코드가 추가되는 것으로 추정되는 검색 도우미 newtab 프로그램에 대해 살펴보도록 하겠습니다.

 

해당 프로그램은 2013년 1월~3월경 유포가 활발하게 이루어진 것으로 보이며, 기존의 clickup 검색 도우미의 업데이트 기능을 통해 사용자 몰래 파일<SHA-1 : d21258ccbccd0c9adcf0281b98062688109660ac - AhnLab V3 : Win-PUP/Helper.NewTab.231376 (VT : 16/51)> 다운로드를 통해 설치가 이루어졌을 것으로 추정됩니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Users\(사용자 계정)\AppData\Local\newtab
C:\Users\(사용자 계정)\AppData\Local\newtab\newtab.exe :: 시작 프로그램 등록 파일
C:\Users\(사용자 계정)\AppData\Local\newtab\newtab32.dll :: BHO 등록 파일(32비트)
C:\Users\(사용자 계정)\AppData\Local\newtab\newtab64.dll :: BHO 등록 파일(64비트)
C:\Users\(사용자 계정)\AppData\Local\newtab\newtabdel.exe :: 프로그램 삭제 파일
C:\Users\(사용자 계정)\AppData\Local\newtab\newtabin.exe

 

[생성 파일 진단 정보]

 

C:\Users\(사용자 계정)\AppData\Local\newtab\newtab.exe
 - SHA-1 : ab2b24cb35c8537ba633b62c6c5e814edca6e515
 - avast! : Win32:Adware-BGX [Adw] (VT : 11/51)

 

C:\Users\(사용자 계정)\AppData\Local\newtab\newtab32.dll
 - SHA-1 : 4e5821ab017ac9988c7eb1c367512b9c97441bf9
 - Trend Micro : ADW_CASHSAVER (VT : 7/49)

 

C:\Users\(사용자 계정)\AppData\Local\newtab\newtabin.exe
 - SHA-1 : d21258ccbccd0c9adcf0281b98062688109660ac
 - AhnLab V3 : Win-PUP/Helper.NewTab.231376 (VT : 16/51)

"LEEYEON Communication Co.,Ltd" 디지털 서명이 포함된 newtab 프로그램은 "C:\Users\(사용자 계정)\AppData\Local\newtab" 폴더에 파일을 생성하며, Windows 시작시 "C:\Users\(사용자 계정)\AppData\Local\newtab\newtab.exe" 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
 - Enable Browser Extensions = yes

자동 실행된 newtab.exe 파일은 Windows 부팅시마다 Internet Explorer 웹 브라우저의 "타사의 브라우저 확장 기능 사용" 옵션을 활성화(체크)하여 프로그램이 등록한 "New Tab DX" 브라우저 도우미 개체(BHO) 항목을 사용하도록 유도합니다.

 

또한 추가적으로 "C:\Users\(사용자 계정)\AppData\Local\newtab\newtabin.exe" 파일을 로딩합니다.

추가 실행된 newtabin.exe 파일은 특정 파일 서버로부터 파일 버전 및 프로그램 레지스트리 값을 체크한 후 자동 종료 처리됩니다.

newtab 프로그램이 설치된 환경에서는 사용자가 지정한 홈 페이지 주소를 네이버(Naver : h**p://www.naver.com)로 변경합니다.

또한 Internet Explorer 웹 브라우저를 통해 새 탭을 오픈하는 과정에서 특정 제휴 페이지를 경유하며, 해당 페이지에서 지정한 특정 웹 사이트로 자동 연결이 이루어지게 할 수 있습니다.(※ 현재 테스트 시점에서는 빈 페이지(about:blank)로 처리가 되고 있습니다.)

[추가 기능 관리 : 도구 모음 및 확장 프로그램]

 

이름 : New Tab DX

게시자 : LEEYEON Communication Co.,Ltd

유형 : 브라우저 도우미 개체(BHO)

CLSID : {36936EFC-0B55-4DF4-A01D-69CD27B4309E}

파일 : C:\Users\(사용자 계정)\AppData\Local\newtab\newtab32.dll

 

해당 광고 동작은 Internet Explorer 웹 브라우저 실행시 "C:\Users\(사용자 계정)\AppData\Local\newtab\newtab32.dll" 파일을 브라우저 도우미 개체(BHO)로 등록하여 이루어지므로, 광고 동작 중지 및 프로그램 삭제시에는 웹 브라우저의 추가 기능 관리에 등록된 "New Tab DX" 항목을 선택하여 "사용 안 함"으로 변경하시기 바랍니다.(※ 64비트 운영 체제에서는 "(사용자 계정)(사용자 계정)\AppData\Local\newtab\newtab64.dll" 파일을 브라우저 도우미 개체(BHO) 파일로 등록합니다.)

프로그램 삭제시에는 Internet Explorer 웹 브라우저를 종료한 상태에서 제어판에 등록된 "newtab" 삭제 항목을 이용하여 삭제할 수 있으며, 프로그램 삭제 후에는 Internet Explorer 웹 브라우저의 홈 페이지 주소를 사용자가 원하는 주소로 변경하시기 바랍니다.

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - newtab = C:\Users\(사용자 계정)\AppData\Local\newtab\newtab.exe

또한 프로그램 삭제 후에도 시작 프로그램 등록값(newtab)이 삭제되지 않으므로 레지스트리 편집기(regedit)를 실행하여 해당 레지스트리 값을 찾아 삭제하시기 바랍니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\_newtab
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
 - Start Page = (사용자 지정 홈 페이지 주소) :: 변경 전
 - Start Page = http://www.naver.com :: 변경 후
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - newtab = C:\Users\(사용자 계정)\AppData\Local\newtab\newtab.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\newtab
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{36936EFC-0B55-4DF4-A01D-69CD27B4309E}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{36936EFC-0B55-4DF4-A01D-69CD27B4309E}

 

newtab 검색 도우미 프로그램은 다른 광고 프로그램의 업데이트 기능을 통해 사용자 몰래 설치가 될 수 있는 것으로 보이며, 해당 프로그램 역시 업데이트를 통해 또 다른 광고 프로그램 설치가 이루어질 수 있으므로 주의하시기 바랍니다.

 

 
728x90
반응형