본문 바로가기

벌새::Analysis

해외 광고 프로그램 : Movies Search App for Internet Explorer (Dist. by Bandoo Media, Inc.)

반응형

해외 광고 프로그램 중 Ask.com 홈 페이지 주소와 툴바(Toolbar) 등록을 통해 광고 행위를 수행하는 "Movies Search App for Internet Explorer (Dist. by Bandoo Media, Inc.)" 광고 프로그램에 대해 살펴보도록 하겠습니다.

대표적인 배포 방식으로는 해외 웹 사이트에서 파일 다운로드시 생성될 수 있는 "iLivid Free Download Manager" 프로그램의 제휴 프로그램으로 설치되는 것으로 확인되고 있습니다.

 

참고로 해당 글은 테스트 환경 문제로 인하여 실제 정상적으로 설치된 경우와 비교하여 일부 정보는 다를 수 있으며, 삭제를 방해하는 것으로 추정되는 부분에 대한 설명이 빠져 있을 수 있음을 밝힙니다.

또한 기존의 "Browser Tab Search by Ask for Internet Explorer" 광고 프로그램과 유사성이 강하므로 참고하시기 바랍니다.

 

설치 과정을 살펴보면 웹 상에서 다운로드한 "Bandoo Media Inc" 디지털 서명이 포함된 iLivid Install 파일<SHA-1 : 106955f88f0d0d3f30cc54c707b1989593d27566 - AhnLab V3 : PUP/MDP.Download.M111 (VT : 10/55)>을 통해 다양한 제휴 프로그램과 함께 설치가 이루어질 수 있습니다.

 

1. "Movies Search App for Internet Explorer (Dist. by Bandoo Media, Inc.)" 프로그램 정보

해당 광고 프로그램은 사용자 PC에 존재하는 웹 브라우저에 따라 "Movies App for Internet Explorer by Ask", "Movies App for Firefox by Ask" 창을 생성하여 프로그램이 설치될 수 있습니다.(※ 이 글에서는 Internet Explorer 웹 브라우저 중심으로 분석하였습니다.)

 

광고 프로그램 설치를 위해 특정 서버에서 다운로드된 "Bandoo Media, Inc" 디지털 서명이 포함된 설치 파일<SHA-1 : 55dad7d9ca5c9ee249d6d56dffa881a602b6cb06 - AhnLab V3 : PUP/Win32.ILivid.C510841 (VT : 18/53)>을 통해 다음과 같이 설치될 수 있습니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Program Files\ilividbandoomoviestoolbar
C:\Program Files\ilividbandoomoviestoolbar\IE
C:\Program Files\ilividbandoomoviestoolbar\IE\as_guid.dat
C:\Program Files\ilividbandoomoviestoolbar\IE\chrome
C:\Program Files\ilividbandoomoviestoolbar\IE\components
C:\Program Files\ilividbandoomoviestoolbar\IE\dtuser.exe
C:\Program Files\ilividbandoomoviestoolbar\IE\install.ico
C:\Program Files\ilividbandoomoviestoolbar\IE\manifest.xml
C:\Program Files\ilividbandoomoviestoolbar\IE\searchresultsDx.dll :: BHO, 도구 모음 등록 파일
C:\Program Files\ilividbandoomoviestoolbar\IE\searchresultstb.dll
C:\Program Files\ilividbandoomoviestoolbar\IE\uninstall.exe :: "Movies Search App for Internet Explorer (Dist. by Bandoo Media, Inc.)" 프로그램 삭제 파일
C:\Program Files\ilividbandoomoviestoolbar\install.ico
C:\Program Files\ilividbandoomoviestoolbar\uninstall.exe :: "Movies Search App for Firefox (Dist. by Bandoo Media, Inc.)" 프로그램 삭제 파일
C:\ProgramData\Datamngr
C:\Users\(사용자 계정)\AppData\Local\iLivid
C:\Users\(사용자 계정)\AppData\Local\VirtualStore\Program Files
C:\Users\(사용자 계정)\AppData\Local\VirtualStore\Program Files\Movies App
C:\Users\(사용자 계정)\AppData\Local\VirtualStore\Program Files\Movies App\Datamngr
C:\Users\(사용자 계정)\AppData\Local\VirtualStore\Program Files\Movies App\Datamngr\favicon.ico
C:\Users\(사용자 계정)\AppData\Local\VirtualStore\Program Files\Movies App\Datamngr\setmgrc2.cfg
C:\Users\(사용자 계정)\AppData\Local\VirtualStore\Program Files\Movies App\Datamngr\x64
C:\Users\(사용자 계정)\AppData\Local\VirtualStore\Program Files\Movies App\Datamngr\x64\setmgrc2.cfg
C:\Users\(사용자 계정)\AppData\LocalLow\ilividbandoomoviestoolbar
C:\Users\(사용자 계정)\AppData\LocalLow\searchresultstb

 

[생성 파일 진단 정보]

 

C:\Program Files\ilividbandoomoviestoolbar\IE\dtuser.exe
 - SHA-1 : e4dc21092e714170182bc0edaec5cccbca825a4d
 - AhnLab V3 : PUP/Win32.Toolbar.C507004 (VT : 8/54)

 

C:\Program Files\ilividbandoomoviestoolbar\IE\searchresultsDx.dll
 - SHA-1 : ae7f0548bc95a6f474b350965252139621d1ecba
 - ESET : a variant of Win32/Toolbar.Visicom.B (VT : 8/54)

 

C:\Program Files\ilividbandoomoviestoolbar\IE\searchresultstb.dll
 - SHA-1 : 585e6e8ce3b8e6bf0020724d9fbbf976838ad2e2
 - AVG : Search.FD2 (VT : 9/55)

 

C:\Users\(사용자 계정)\AppData\Local\VirtualStore\Program Files\Movies App\Datamngr\setmgrc2.cfg
 - SHA-1 : cf8894e2bea77eac3434ba0bf8c71f7826cdfa2e
 - Kaspersky : not-a-virus:WebToolbar.Win32.SearchSuite.c (VT : 20/52)

 

C:\Users\(사용자 계정)\AppData\Local\VirtualStore\Program Files\Movies App\Datamngr\x64\setmgrc2.cfg
 - SHA-1 : 21242de87cd051af8e41741fa296a16b99613cb9
 - AhnLab V3 : PUP/Win32.SearchSuite.R116450 (VT : 29/53)

"IAC Search and Media" 디지털 서명이 포함된 "Movies Search App for Internet Explorer (Dist. by Bandoo Media, Inc.)" 프로그램은 "C:\Program Files\ilividbandoomoviestoolbar\IE" 폴더 내에 파일을 생성합니다.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\NlaSvc\Parameters\
Internet\ManualProxies
 - (기본값) = 1http=127.0.0.1:8888;https=127.0.0.1:8888

참고로 프로그램 설치시 프록시 서버 구성을 통해 특정 로컬 DNS 서버를 통해 통신이 이루어지는 것으로 추정되며, 프로그램 설치 완료 후에는 프록시 서버 구성은 해제 처리됩니다.

프로그램이 설치된 후 Internet Explorer 웹 브라우저의 홈 페이지(http://www.search.ask.com/?o=APN10645A&gct=hp&d=427-0&v=n13653-459&t=4)가 변경되며, 도구 모음 영역에 "Movies Search App (Dist. by Bandoo Media, Inc.)" 툴바(Toolbar)가 추가된 모습을 확인할 수 있습니다.

 

또한 검색 공급자 영역에 "Ask.com" 항목(http://dts.search.ask.com/sr?src=ieb&gct=ds&appid=0&systemid=427&v=n13653-459&apn_uid=5040556654064121&apn_dtid=BND427&o=APN10645&apn_ptnrs=AG6&q={searchTerms}) 추가를 통해 Internet Explorer 웹 브라우저의 주소 표시줄에 검색 키워드를 입력할 경우 Ask.com 검색 엔진을 사용하도록 변경될 수 있습니다.

 

이름

 Movies Search App (Dist. by Bandoo Media, Inc.)

게시자

 IAC Search and Media

유형

 도구 모음

CLSID

 {C0CAA5FE-7C9C-4DCA-A265-63CF55379D1A}

파일

 C:\Program Files\ilividbandoomoviestoolbar\IE\searchresultsDx.dll

 

이름

 Movies Search App (Dist. by Bandoo Media, Inc.)

게시자

 IAC Search and Media

유형

 브라우저 도우미 개체

CLSID

 {C0CAA5FE-7C9C-4DCA-A265-63CF55379D1A}

파일

 C:\Program Files\ilividbandoomoviestoolbar\IE\searchresultsDx.dll

 

해당 프로그램이 설치된 환경에서 Internet Explorer 웹 브라우저 실행시 "Movies Search App (Dist. by Bandoo Media, Inc.)" 도구 모음과 브라우저 도우미 개체(BHO) 값을 실행하여 "C:\Program Files\ilividbandoomoviestoolbar\IE\searchresultsDx.dll" 광고 모듈이 iexplore.exe 프로세스에 인젝션되어 실행되도록 되어 있습니다.

 

또한 추가적으로 Internet Explorer 웹 브라우저 실행시 "C:\Program Files\ilividbandoomoviestoolbar\IE\searchresultstb.dll" 모듈을 함께 로딩하여 인터넷 검색을 통한 광고 동작을 수행할 수 있습니다.

프로그램 삭제시에는 Internet Explorer 웹 브라우저를 종료한 상태에서 제어판에 등록된 "Movies Search App for Internet Explorer (Dist. by Bandoo Media, Inc.)" 삭제 항목을 이용하여 삭제할 수 있습니다.

 

또한 Mozilla Firefox 웹 브라우저 사용자의 경우 "Movies Search App for Firefox (Dist. by Bandoo Media, Inc.)" 삭제 항목을 통해 프로그램 삭제를 진행할 수 있습니다.

 

프로그램 삭제 후에는 추가적으로 다음의 폴더를 찾아 삭제하시기 바랍니다.

  • C:\ProgramData\Datamngr
  • C:\Users\(사용자 계정)\AppData\Local\iLivid
  • C:\Users\(사용자 계정)\AppData\Local\VirtualStore\Program Files\Movies App
  • C:\Users\(사용자 계정)\AppData\LocalLow\searchresultstb

특히 구버전 또는 다른 배포 경로를 통해 설치가 이루어지는 경우 "C:\Users\(사용자 계정)\AppData\Local\VirtualStore\Program Files\Movies App\Datamngr" 폴더가 아닌 다음과 같은 폴더 위치에 파일이 생성될 수 있으므로 프로그램 삭제 후 존재시 삭제하시기 바랍니다.

  • C:\Program Files\Movies App
  • C:\Program Files\Movies App\Datamngr
  • C:\Program Files\Movies App\Datamngr\favicon.ico
  • C:\Program Files\Movies App\Datamngr\setmgrc2.cfg
  • C:\Program Files\Movies App\Datamngr\x64
  • C:\Program Files\Movies App\Datamngr\x64\setmgrc2.cfg
[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\APNDTX
HKEY_CURRENT_USER\Software\Datamngr
HKEY_CURRENT_USER\Software\ilividbandoomoviestoolbar
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2427}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{c0caa5fe-7c9c-4dca-a265-63cf55379d1a}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\${dtUserElevationPolicyID}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{c0caa5fe-7c9c-4dca-a265-63cf55379d1a}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{DA33936A-4AB8-4F4B-A43A-AC9EB66BA6CD}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar
 - {c0caa5fe-7c9c-4dca-a265-63cf55379d1a} = Movies Search App (Dist. by Bandoo Media, Inc.)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{c0caa5fe-7c9c-4dca-a265-63cf55379d1a}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{C0CAA5FE-7C9C-4DCA-A265-63CF55379D1A}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ilividbandoomoviestoolbarFF
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ilividbandoomoviestoolbarIE
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules
 - {0DA443B7-8B26-4781-8EB5-F0AF87647F32} = v2.10|Action=Allow|Active=TRUE|Dir=In|Protocol=17|Profile=Private|App=C:\Program Files\ilividbandoomoviestoolbar\IE

\dtuser.exe|Name=Movies Search App (Dist. by Bandoo Media, Inc.) DTX Broker|
 - {20C02AC9-7C57-4F72-89C6-F901366CC379} = v2.10|Action=Allow|Active=TRUE|Dir=In|Protocol=6|Profile=Private|App=C:\Program Files\ilividbandoomoviestoolbar\IE

\dtuser.exe|Name=Movies Search App (Dist. by Bandoo Media, Inc.) DTX Broker|

 

■ 홈 페이지 주소 변경하기

프로그램 삭제 후 Internet Explorer 웹 브라우저의 인터넷 옵션을 실행하여 홈 페이지에 등록된 "www.search.ask.com" 주소를 삭제하시고 사용자가 원하는 URL 주소로 변경하시기 바랍니다. 

 

검색 공급자 변경하기

프로그램 삭제 후 Internet Explorer 웹 브라우저의 추가 기능 관리에 등록된 "Ask.com" 검색 공급자를 선택하여 "제거" 버튼을 통해 삭제하시거나, "Ask.com" 검색 공급자가 기본값으로 설정된 경우 다른 검색 공급자(Bing)를 기본값으로 설정한 후 삭제하시기 바랍니다.

 

2. "Movies Search App for Chrome (Dist. by Bandoo Media, Inc.)" 프로그램 정보

Google Chrome 웹 브라우저가 설치된 사용자의 경우 프로그램 설치 과정에서 "Movies App for Chrome by Ask" 창을 통해 설치를 유도하고 있습니다.

설치가 진행될 경우 Google Chrome 웹 브라우저의 확장 프로그램으로 "Search Extension by Ask v2" 앱을 설치 시도하며 설치가 진행되면 "C:\Users\(사용자 계정)\AppData\Local\Google\Chrome\User Data\Default\Extensions\aaaaafeopjhkcolncjbedbhofpocmdbn\1.3_0" 폴더 내에 파일을 생성합니다.

정상적으로 설치된 환경에서 Google Chrome 웹 브라우저 실행시 홈 페이지 주소(www.search.ask.com/?gct=hp&o=APN10655)가 변경되며, 검색 주소창 주소도 Ask.com으로 변경됩니다.

"Movies Search App for Chrome (Dist. by Bandoo Media, Inc.)" 프로그램은 기본적으로 제어판의 삭제 항목에 표시되지 않으므로, Google Chrome 웹 브라우저의 확장 프로그램(chrome://extensions)에 등록된 "Search Extension by Ask v2" 프로그램을 찾아 삭제를 진행하시면 해결됩니다.

 

"Movies Search App for Internet Explorer (Dist. by Bandoo Media, Inc.)" 프로그램으로 대표되는 Ask.com 관련 해외 광고 프로그램은 다양한 변종이 존재하는 것으로 파악되고 있으며, 일부 환경에서는 시스템 환경을 변경하여 오류 발생 및 프로그램 삭제에 많은 어려움이 있습니다.

 

그러므로 해외 웹 사이트 이용시 다운로드(Download) 문구에 현혹되어 함부로 파일을 다운로드 및 실행하는 일이 없도록 주의하시기 바라며, 설치시 추가적으로 포함되는 제휴 프로그램을 꼼꼼하게 확인하는 습관을 가지시기 바랍니다.

728x90
반응형