Internet Explorer 웹 브라우저의 홈 페이지 주소를 변경하며, 새 탭을 오픈하는 과정에서 특정 제휴 코드가 추가되는 것으로 추정되는 검색 도우미 newtab 프로그램에 대해 살펴보도록 하겠습니다.
해당 프로그램은 2013년 1월~3월경 유포가 활발하게 이루어진 것으로 보이며, 기존의 clickup 검색 도우미의 업데이트 기능을 통해 사용자 몰래 파일<SHA-1 : d21258ccbccd0c9adcf0281b98062688109660ac - AhnLab V3 : Win-PUP/Helper.NewTab.231376 (VT : 16/51)> 다운로드를 통해 설치가 이루어졌을 것으로 추정됩니다.
C:\Users\(사용자 계정)\AppData\Local\newtab
C:\Users\(사용자 계정)\AppData\Local\newtab\newtab.exe :: 시작 프로그램 등록 파일
C:\Users\(사용자 계정)\AppData\Local\newtab\newtab32.dll :: BHO 등록 파일(32비트)
C:\Users\(사용자 계정)\AppData\Local\newtab\newtab64.dll :: BHO 등록 파일(64비트)
C:\Users\(사용자 계정)\AppData\Local\newtab\newtabdel.exe :: 프로그램 삭제 파일
C:\Users\(사용자 계정)\AppData\Local\newtab\newtabin.exe
C:\Users\(사용자 계정)\AppData\Local\newtab\newtab.exe
- SHA-1 : ab2b24cb35c8537ba633b62c6c5e814edca6e515
- avast! : Win32:Adware-BGX [Adw] (VT : 11/51)
C:\Users\(사용자 계정)\AppData\Local\newtab\newtab32.dll
- SHA-1 : 4e5821ab017ac9988c7eb1c367512b9c97441bf9
- Trend Micro : ADW_CASHSAVER (VT : 7/49)
C:\Users\(사용자 계정)\AppData\Local\newtab\newtabin.exe
- SHA-1 : d21258ccbccd0c9adcf0281b98062688109660ac
- AhnLab V3 : Win-PUP/Helper.NewTab.231376 (VT : 16/51)
"LEEYEON Communication Co.,Ltd" 디지털 서명이 포함된 newtab 프로그램은 "C:\Users\(사용자 계정)\AppData\Local\newtab" 폴더에 파일을 생성하며, Windows 시작시 "C:\Users\(사용자 계정)\AppData\Local\newtab\newtab.exe" 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
- Enable Browser Extensions = yes
자동 실행된 newtab.exe 파일은 Windows 부팅시마다 Internet Explorer 웹 브라우저의 "타사의 브라우저 확장 기능 사용" 옵션을 활성화(체크)하여 프로그램이 등록한 "New Tab DX" 브라우저 도우미 개체(BHO) 항목을 사용하도록 유도합니다.
또한 추가적으로 "C:\Users\(사용자 계정)\AppData\Local\newtab\newtabin.exe" 파일을 로딩합니다.
추가 실행된 newtabin.exe 파일은 특정 파일 서버로부터 파일 버전 및 프로그램 레지스트리 값을 체크한 후 자동 종료 처리됩니다.
newtab 프로그램이 설치된 환경에서는 사용자가 지정한 홈 페이지 주소를 네이버(Naver : h**p://www.naver.com)로 변경합니다.
또한 Internet Explorer 웹 브라우저를 통해 새 탭을 오픈하는 과정에서 특정 제휴 페이지를 경유하며, 해당 페이지에서 지정한 특정 웹 사이트로 자동 연결이 이루어지게 할 수 있습니다.(※ 현재 테스트 시점에서는 빈 페이지(about:blank)로 처리가 되고 있습니다.)
이름 : New Tab DX
게시자 : LEEYEON Communication Co.,Ltd
유형 : 브라우저 도우미 개체(BHO)
CLSID : {36936EFC-0B55-4DF4-A01D-69CD27B4309E}
파일 : C:\Users\(사용자 계정)\AppData\Local\newtab\newtab32.dll
해당 광고 동작은 Internet Explorer 웹 브라우저 실행시 "C:\Users\(사용자 계정)\AppData\Local\newtab\newtab32.dll" 파일을 브라우저 도우미 개체(BHO)로 등록하여 이루어지므로, 광고 동작 중지 및 프로그램 삭제시에는 웹 브라우저의 추가 기능 관리에 등록된 "New Tab DX" 항목을 선택하여 "사용 안 함"으로 변경하시기 바랍니다.(※ 64비트 운영 체제에서는 "(사용자 계정)(사용자 계정)\AppData\Local\newtab\newtab64.dll" 파일을 브라우저 도우미 개체(BHO) 파일로 등록합니다.)
프로그램 삭제시에는 Internet Explorer 웹 브라우저를 종료한 상태에서 제어판에 등록된 "newtab" 삭제 항목을 이용하여 삭제할 수 있으며, 프로그램 삭제 후에는 Internet Explorer 웹 브라우저의 홈 페이지 주소를 사용자가 원하는 주소로 변경하시기 바랍니다.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- newtab = C:\Users\(사용자 계정)\AppData\Local\newtab\newtab.exe
또한 프로그램 삭제 후에도 시작 프로그램 등록값(newtab)이 삭제되지 않으므로 레지스트리 편집기(regedit)를 실행하여 해당 레지스트리 값을 찾아 삭제하시기 바랍니다.
HKEY_CURRENT_USER\Software\_newtab
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
- Start Page = (사용자 지정 홈 페이지 주소) :: 변경 전
- Start Page = http://www.naver.com :: 변경 후
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- newtab = C:\Users\(사용자 계정)\AppData\Local\newtab\newtab.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\newtab
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{36936EFC-0B55-4DF4-A01D-69CD27B4309E}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{36936EFC-0B55-4DF4-A01D-69CD27B4309E}
newtab 검색 도우미 프로그램은 다른 광고 프로그램의 업데이트 기능을 통해 사용자 몰래 설치가 될 수 있는 것으로 보이며, 해당 프로그램 역시 업데이트를 통해 또 다른 광고 프로그램 설치가 이루어질 수 있으므로 주의하시기 바랍니다.
☞ 국내 악성코드 : signup (2012.7.10)
☞ 검색 도우미 : FindLock - fnlag.exe + fnlink.exe (2013.7.28)
☞ 검색 도우미 : SearchLike (2013.10.1)
☞ 검색 도우미 : SignKey - signkeyiex.exe (2013.12.15)