인터넷 검색을 통해 웹 사이트 접속시 웹 브라우저 상단에 광고바를 생성하며, "Exactly TopSearch" 업데이트 창을 생성하여 제휴 프로그램의 설치를 유도하는 검색 도우미 "Exactly Top Search" 프로그램<SHA-1 : 3a59518d7583642fb3da94dfc8fbbab628a7ec19 - AhnLab V3 : PUP/Win32.Enumerate (VT : 28/51)>에 대해 살펴보도록 하겠습니다.
▷ 검색 도우미 : Revealing Top Search (2013.1.29)
▷ 검색 도우미 : OpenSearchGT (2013.4.13)
▷ 검색 도우미 : Enumerate Top Search - GT (2013.4.24)
▷ 검색 도우미 : Revealing Top Search App (2013.5.25)
▷ 검색 도우미 : Windows SRankingPopView (2013.5.30)
▷ 검색 도우미 : Windows OpenSearch (2013.6.21)
▷ 검색 도우미 : Searchline-nc (2013.12.24)
해당 프로그램은 기존부터 유사한 기능을 가진 다양한 이름으로 배포가 이루어지고 있었으므로 참고하시기 바랍니다.
C:\Users\(사용자 계정)\AppData\Roaming\exactly
C:\Users\(사용자 계정)\AppData\Roaming\exactly\exactly_sajulove.dll
C:\Users\(사용자 계정)\AppData\Roaming\exactly\exactly.exe :: 시작 프로그램(exactlyts) 등록 파일, 메모리 상주 프로세스
C:\Users\(사용자 계정)\AppData\Roaming\exactly\exactlytop.dll :: BHO 등록 파일
C:\Users\(사용자 계정)\AppData\Roaming\exactly\exactlyu.exe :: 시작 프로그램(exactlytsu) 등록 파일
C:\Users\(사용자 계정)\AppData\Roaming\exactly\uninstall.exe :: 프로그램 삭제 파일
C:\Users\(사용자 계정)\AppData\Roaming\exactly\exactly_sajulove.dll
- SHA-1 : cd805bf716e6babb394b14daf4d834edb6dca9dd
- nProtect : Adware/W32.Agent.965632 (VT : 8/48)
C:\Users\(사용자 계정)\AppData\Roaming\exactly\exactly.exe
- SHA-1 : bd31fbc90059b6288ac5fe1ec4e2ad1dfe111af8
- BitDefender : Gen:Variant.Adware.Graftor.122350 (VT : 17/50)
C:\Users\(사용자 계정)\AppData\Roaming\exactly\exactlytop.dll
- SHA-1 : c860313210dc6b75d1f3bd0a7d125f0fcda81601
- AVG : MalSign.Generic.7E0 (VT : 2/51)
C:\Users\(사용자 계정)\AppData\Roaming\exactly\exactlyu.exe
- SHA-1 : 4f4228b781d5e5c14c32f72b064847111f371dd7
- ESET : a variant of Win32/AdWare.Kraddare.IN (VT : 6/51)
C:\Users\(사용자 계정)\AppData\Roaming\exactly\uninstall.exe
- SHA-1 : cf1b4a2f449142ab493aba7bf840db62070aa5b1
- AhnLab V3 : PUP/Win32.Enumerate (VT : 4/51)
"GMT" 디지털 서명이 포함된 "Exactly Top Search" 검색 도우미 프로그램은 "C:\Users\(사용자 계정)\AppData\Roaming\exactly" 폴더에 파일을 생성하며, Windows 시작시 다음과 같은 2개의 시작 프로그램 등록값을 통해 자동 실행되도록 구성되어 있습니다.
- exactlyts = "C:\Users\(사용자 계정)\AppData\Roaming\exactly\exactly.exe" Runcmd
- exactlytsu = C:\Users\(사용자 계정)\AppData\Roaming\exactly\exactlyu.exe
1. "exactlytsu" 시작 프로그램 등록 파일 : C:\Users\(사용자 계정)\AppData\Roaming\exactly\exactlyu.exe
Windows 시작시 "exactlytsu" 시작 프로그램 등록값을 통해 자동 실행된 "C:\Users\(사용자 계정)\AppData\Roaming\exactly\exactlyu.exe" 파일은 다음과 같은 동작을 수행합니다.
자동 실행된 exactlyu.exe 파일은 특정 서버로부터 업데이트 파일을 추가 다운로드하여 "C:\Users\(사용자 계정)\AppData\Roaming\Exactly_exact_ac_update_20140331.exe" 파일<SHA-1 : 95716d57cb7ca116fdcd186faf60dc5d095ba7fe - AhnLab V3 : PUP/Win32.Enumerate (VT :
25/51)>로 생성 및 실행하며, 이를 통해 "C:\Users\(사용자 계정)\AppData\Roaming\exactly" 폴더 내의 파일을 최신 버전으로 업데이트한 후 자가 삭제 처리됩니다.
C:\Users\(사용자 계정)\AppData\Roaming\exactly\exactly_sajulove.dll
- SHA-1 : 27af0f78e5dd8e88ce00b7bb69c322a121a02887
- AhnLab V3 : PUP/Win32.SubShop (VT : 12/51)
C:\Users\(사용자 계정)\AppData\Roaming\exactly\uninstall.exe
- SHA-1 : 106bdd682f861226e1c7404c64f69639963d1090
- AhnLab V3 : PUP/Win32.Enumerate (VT : 3/50)
또한 "Exactly TopSearch" 업데이트 창을 생성하여 프로그램 업데이트(※ 백그라운드 방식으로 자동 설치된 상태)와 권장 프로그램(※ 사용자 선택)을 설치하도록 유도하는 동작을 확인할 수 있습니다.
(1) 검색 도우미 : Searchline-nc (2013.12.24)
- h**p://down.search-*****.co.kr/download/Searchline_nc_sline_pink_hinst.exe (SHA-1 : 1bd02dbe731438d2c02fb9760b8eb4f8d1771556) - Symantec : Adware.Revealing (VT : 28/51)
특정 서버로부터 Searchline-nc 프로그램의 설치 파일을 다운로드하여 "C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Windows\Templates\
Searchline_nc_sline_pink_hinst.exe" 파일로 생성 및 실행하여 프로그램을 설치합니다.
(2) 검색 도우미 : honorzone (2013.12.23)
- h**p://***scan.kr/download/honorzone_hinst.exe (SHA-1 : e05d6c9bf33acde58c08cbd0a34e36c00d1570b2) - Kaspersky : Trojan-Downloader.Win32.Agent.zqcc (VT : 26/51)
특정 서버로부터 honorzone 프로그램의 설치 파일을 다운로드하여 "C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Windows\Templates\honorzone_hinst.exe" 파일로 생성 및 실행하여 프로그램을 설치합니다.
그러므로 불필요한 프로그램(PUP)이 설치되지 않도록 "Exactly TopSearch" 업데이트 창이 생성되며 우측 상단의 닫기(X) 버튼을 클릭하여 종료하시기 바라며, 업데이트 창 종료시 생성되는 사용자에게 혼동을 유발하는 문구를 잘 읽고 버튼을 선택하시기 바랍니다.
2. "exactlyts" 시작 프로그램 등록 파일 : "C:\Users\(사용자 계정)\AppData\Roaming\exactly\exactly.exe" Runcmd
Windows 시작시 "exactlyts" 시작 프로그램 등록값을 통해 자동 실행된 "C:\Users\(사용자 계정)\AppData\Roaming\exactly\exactly.exe" 파일은 메모리에 상주하여 다음과 같은 2가지 기능을 수행합니다.
(1) 특정 분석 프로세스 및 가상 환경을 체크하여 광고 동작 제한
메모리에 상주하는 exactly.exe 프로세스는 광고 기능을 분석하는데 사용될 수 있는 VMwareTray.exe, vmtoolsd.exe, Fiddler.exe, SnoopSpy.exe, Wireshark.exe, smsniff.exe, MessageAnalyzer.exe, Packetyzer.exe 프로세스를 감시하여 광고 동작을 제한하는 것으로 보이며, VMware, Oracle VM VirtualBox 가상 프로그램 환경에서도 기능을 제한하는 것으로 보입니다.
(2) 인터넷 검색을 통한 웹 사이트 접속시 제휴 코드 추가
메모리에 상주하는 exactly.exe 프로세스에 exactly_sajulove.dll 모듈을 삽입하여 사용자가 특정 검색 키워드 값을 통해 인터넷 검색을 하여 웹 사이트에 접속하는 과정에서 추가적인 광고창이 생성되는 동작을 확인할 수 있습니다.
참고로 광고창 오픈시 "cl.ncclick.co.kr" 제휴 코드가 추가되며 특히 국내 유명 인터넷 쇼핑몰(옥션, 11번가, 지마켓, 인터파크) 관련 검색시 발생할 수 있습니다.
3. "Exactly TopSearch" 브라우저 도우미 개체(BHO)
프로그램이 설치된 환경에서 사용자가 인터넷 검색을 통해 웹 사이트에 접속할 경우, Internet Explorer 웹 브라우저의 상단에 검색 키워드 값을 참조하여 광고바를 생성하는 동작을 확인할 수 있습니다.
|
이름 |
Exactly TopSearch |
|
게시자 |
GMT |
|
유형 |
브라우저 도우미 개체 |
|
CLSID |
{ED0EE5EE-3E00-48DD-A4FC-3D4F43340242} |
|
파일 |
C:\Users\(사용자 계정)\AppData\Roaming\exactly\exactlytop.dll |
해당 광고 동작은 Internet Explorer 웹 브라우저 실행시 exactlytop.dll 파일을 브라우저 도우미 개체(BHO)로 등록하여 검색 키워드 값을 참조하여 웹 브라우저 상단에 광고바를 생성하므로, 광고 동작 중지 및 프로그램 삭제시에는 웹 브라우저의 추가 기능 관리에 등록된 "Exactly TopSearch" 항목을 선택하여 "사용 안 함"으로 변경하시기 바랍니다.
4. 프로그램 삭제 방법
프로그램 삭제를 위해서는 Windows 작업 관리자를 실행하여 exactly.exe 프로세스를 찾아 종료 및 Internet Explorer 웹 브라우저를 종료한 후, 제어판에 등록된 "Exactly Top Search" 삭제 항목을 통해 삭제할 수 있습니다.(※ 해당 프로그램은 최근 변종이 발견되고 있으며 "C:\Program Files\Windows Exactly Top Search" 폴더에 "Windows Exactly Top Search" 이름으로 등록됩니다.)
HKEY_CURRENT_USER\Software\exactlyts
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- exactlyts = "C:\Users\(사용자 계정)\AppData\Roaming\exactly\exactly.exe" Runcmd
- exactlytsu = C:\Users\(사용자 계정)\AppData\Roaming\exactly\exactlyu.exe
HKEY_CURRENT_USER\Software\sounping
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\{55C01B22-1ABD-48A2-8DBE-668EBA513B1A}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\exactlytop.DLL
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{ED0EE5EE-3E00-48DD-A4FC-3D4F43340242}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{A6FF199A-3B5B-4D97-A5BD-43CCB5D827E5}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{1F5A63A9-6CDB-4CF5-BFA4-EEA245C7589A}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exactlytop.exactlytopSO
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exactlytop.exactlytopSO.1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{ED0EE5EE-3E00-48DD-A4FC-3D4F43340242}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
exactlyts_uninstall
"Exactly Top Search" 검색 도우미 프로그램은 특정 시점에서 Windows 부팅시 업데이트 창 생성을 통해 제휴 프로그램 설치를 유도하며, 인터넷 사이트 접속시 원치않는 광고 동작을 통해 지속적인 수익 활동을 유발하므로 주의하시기 바랍니다.