본문 바로가기

벌새::Analysis

검색 도우미 : Poppin Search

반응형

인터넷 검색시 새 탭 방식으로 광고를 생성하며, 웹 사이트 접속 및 웹 브라우저 종료시 다양한 광고창을 생성할 수 있는 검색 도우미 "Poppin Search" 프로그램<SHA-1 : a92b0c063b63a16770e41b9d40a2e132bc760c24 - AhnLab V3 365 Clinic : PUP/Win32.Enumerate.R37949 (VT : 26/55)>에 대해 살펴보도록 하겠습니다.

 

해당 프로그램은 기존부터 유사한 기능을 제공하는 다양한 프로그램이 배포되고 있었으므로 참고하시기 바랍니다.

"Poppin Search" 광고 프로그램은 설치 및 동작시 가상 환경(VMware, Oracle VM VirtualBox)과 분석 도구(Fiddler Web Debugger, Microsoft Message Analyzer, Packetyzer, SmartSniff, SnoopSpy, Wireshark) 실행을 체크하여 프로그램 설치가 이루어지지 않도록 분석을 방해하고 있습니다.

 

그러므로 광고 프로그램 설치를 사전에 예방할 수 있는 방법을 참고하여 조금이나마 도움이 되시길 바랍니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Program Files\PoppinSearch
C:\Program Files\PoppinSearch\poppin.exe :: 시작 프로그램(poppin) 등록 파일, 예약 작업(WinPPins) 등록 파일, 메모리 상주 프로세스(일정 시간 경과 후 종료 처리)
C:\Program Files\PoppinSearch\poppind.exe :: 시작 프로그램(PoppinSearchUpDates) 등록 파일
C:\Program Files\PoppinSearch\poppins.dll :: BHO 등록 파일
C:\Program Files\PoppinSearch\poppins.exe :: 시작 프로그램(PoppinSearch) 등록 파일, 예약 작업(SystemPoppinS) 등록 파일, 메모리 상주 프로세스
C:\Program Files\PoppinSearch\poppinsearch_sajulove_new.dll
C:\Program Files\PoppinSearch\poppinsearch_sajulove.dll
C:\Program Files\PoppinSearch\uninstall.exe :: 프로그램 삭제 파일
C:\Windows\System32\Tasks\SystemPoppinS
C:\Windows\System32\Tasks\WinPPins

 

[생성 파일 진단 정보]

 

C:\Program Files\PoppinSearch\poppin.exe
 - SHA-1 : 5a3d51acf3ffd9b0f2d91d96ea8e689ff8c3f5ec
 - AhnLab V3 : Adware/Win32.Agent.C578508 (VT : 7/55)

 

C:\Program Files\PoppinSearch\poppind.exe
 - SHA-1 : fe297fecf4c67933114485703efdb7ab4a954b83
 - BitDefender : Gen:Variant.Adware.Graftor.100552 (VT : 13/54)

 

C:\Program Files\PoppinSearch\poppins.dll
 - SHA-1 : c6997e17d507d49192bac306634dfcec6d62438f
 - ESET : a variant of Win32/Adware.Kraddare.HO (VT : 3/55)

 

C:\Program Files\PoppinSearch\poppins.exe
 - SHA-1 : a07a8381ca88b5b313116c2ae576c2052c997bf0
 - avast! : Win32:Adware-gen [Adw] (VT : 13/55)

 

C:\Program Files\PoppinSearch\poppinsearch_sajulove_new.dll
 - SHA-1 : cd7a544c61cb6b01073b4ace8457971bceb64bde
 - AhnLab V3 365 Clinic : PUP/Win32.KeywordPop.R105897 (VT : 12/55)

 

C:\Program Files\PoppinSearch\poppinsearch_sajulove.dll
 - SHA-1 : 2ef2b61193fc85c62b09767385be3f93ad0373be
 - BitDefender : Gen:Variant.Adware.Symmi.39107 (VT : 22/54)

 

C:\Program Files\PoppinSearch\uninstall.exe
 - SHA-1 : bff1ccc91d686f82c50990c9df1b539282e0e8e2
 - AhnLab V3 365 Clinic : PUP/Win32.Enumerate.R37949 (VT : 4/55)

B&C 디지털 서명이 포함된 해당 프로그램은 "C:\Program Files\PoppinSearch" 폴더에 파일을 생성하며, 다음과 같은 등록값을 통해 시스템 시작시 자동 실행되도록 구성되어 있습니다.

 

1. 시작 프로그램 등록값

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - poppin = "C:\Program Files\PoppinSearch\poppin.exe" subcmd
 - PoppinSearch = "C:\Program Files\PoppinSearch\poppins.exe" subcmd
 - PoppinSearchUpDates = C:\Program Files\PoppinSearch\poppind.exe

Windows 시작시 poppin, PoppinSearch, PoppinSearchUpDates 3개의 시작 프로그램 등록값을 통해 자동 실행됩니다.

 

(1) poppin 시작 프로그램 등록 정보

poppin 시작 프로그램 등록값은 Windows 시작시 광고 기능을 수행하는 ["C:\Program Files\PoppinSearch\poppin.exe" subcmd] 파일을 실행하여 특정 서버에서 구성값 정보를 체크한 후 메모리에 상주합니다.

 

(2) PoppinSearch 시작 프로그램 등록 정보

PoppinSearch 시작 프로그램 등록값은 Windows 시작시 ["C:\Program Files\PoppinSearch\poppins.exe" subcmd] 파일을 실행하여 특정 서버로부터 구성값 정보를 체크한 후 메모리에 상주합니다.

실행된 poppins.exe 파일은 15분간 대기한 후 백그라운드 방식으로 열린 주소창 검색(dns3.ktguide.com)에 다양한 검색 키워드 값을 기반으로 자동 검색 및 자동 광고창 생성 동작 후 종료 처리됩니다.

 

(3) PoppinSearchUpDates 시작 프로그램 등록 정보

PoppinSearchUpDates 시작 프로그램 등록값은 Windows 시작시 "C:\Program Files\PoppinSearch\poppind.exe" 파일을 실행하여 특정 서버에서 프로그램 업데이트 파일을 다운로드할 수 있습니다.

 

  • h**p://down.poppin**.co.kr/download/PoppinSearch_mu_update_20141002.exe (SHA-1 : 9435e356227a393268d54cf17bfdb0dcd074ea81) - AVG : Generic5.ARJX (VT : 23/55)

다운로드된 파일은 "C:\Users\(사용자 계정)\AppData\Roaming\PoppinSearch_mu_update_20141002.exe" 파일로 임시 생성되어 "Poppin Search" 프로그램 패치를 완료한 후 자가 삭제 처리됩니다.

또한 특정 부팅 시점에서는 서버에 등록된 추가적인 프로그램 정보가 존재할 경우 업데이트 창 생성을 통해 다양한 권장 프로그램(제휴 프로그램) 설치를 유도할 수 있으므로 주의하시기 바랍니다.

 

2. 예약 작업 등록값

● SystemPoppinS : "C:\Program Files\PoppinSearch\poppins.exe" schcmd

● WinPPins : "C:\Program Files\PoppinSearch\poppin.exe" schcmd

"Poppin Search" 광고 프로그램은 예약 작업 영역에 SystemPoppinS, WinPPins 2개의 작업 스케줄러 값을 등록하여 시스템 시작시 자동 실행하도록 구성되어 있습니다.

 

(1) SystemPoppinS 작업 스케줄러 등록 정보

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
 - poppins = "C:\Program Files\PoppinSearch\poppins.exe" Runcmd

SystemPoppinS 작업 스케줄러 값은 시스템 시작시 ["C:\Program Files\PoppinSearch\poppins.exe" schcmd] 파일을 자동 실행하여 특정 서버에서 구성값 정보를 체크한 후 RunOnce 시작 프로그램 영역에 poppins 값을 추가하여 부팅시 poppins.exe 파일이 자동 실행될 수 있도록 보강 작업을 합니다.

 

(2) WinPPins 작업 스케줄러 등록 정보

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
 - poppin = "C:\Program Files\PoppinSearch\poppin.exe" Runcmd

WinPPins 작업 스케줄러 값은 시스템 시작시 ["C:\Program Files\PoppinSearch\poppin.exe" schcmd] 파일을 자동 실행하여 특정 서버에서 구성값 정보를 체크한 후 RunOnce 시작 프로그램 영역에 poppin 값을 추가하여 부팅시 poppin.exe 파일이 자동 실행될 수 있도록 보강 작업을 합니다.

 

3. "Poppin Search" 프로그램 업데이트 및 광고 동작

 

"Poppin Search" 광고 프로그램은 시스템 시작시 "C:\Program Files\PoppinSearch\poppind.exe" 파일을 자동 실행하여 추가적인 업데이트 기능을 수행할 수 있습니다.(※ 1-(3) 정보 참조)

 

[생성 폴더 / 파일 등록 정보]

 

C:\Program Files\PoppinSearch\poppin.exe
C:\Program Files\PoppinSearch\poppind.exe
C:\Program Files\PoppinSearch\poppins.exe
C:\Program Files\PoppinSearch\poppinsearch_sajulove_new.dll
C:\Program Files\PoppinSearch\poppinsearch_sajulove.dll
C:\Program Files\PoppinSearch\uninstall.exe
C:\Windows\System32\Tasks\SystemPoppinS
C:\Windows\System32\Tasks\WinPPins

 

[생성 파일 진단 정보]

 

C:\Program Files\PoppinSearch\poppin.exe
 - SHA-1 : ecd7724b0e87cbeb4338350552981282055dad35
 - avast! : Win32:Adware-gen [Adw] (VT : 4/55)

 

C:\Program Files\PoppinSearch\poppind.exe
 - SHA-1 : d0183c78c97c1c130cef3dd8cc17b33506df3625
 - ESET : a variant of Win32/AdWare.Kraddare.IN (VT : 3/55)

 

C:\Program Files\PoppinSearch\poppins.exe
 - SHA-1 : 3e9aee016f0ef97f004d21608d017eae37123ebc
 - ESET : a variant of Win32/Adware.Kraddare.HO (VT : 2/55)

 

C:\Program Files\PoppinSearch\poppinsearch_sajulove_new.dll
 - SHA-1 : 71a48d896fb33e50fec09a91b6bded04abe57ed0
 - Avira : Adware/Symmi.36013.38 (VT : 16/55)

 

C:\Program Files\PoppinSearch\poppinsearch_sajulove.dll
 - SHA-1 : 7a27d863a718c6a9ef977929c0bb77f5b04d276d
 - AhnLab V3 365 Clinic : PUP/Win32.SubShop.C290653 (VT : 19/55)

 

C:\Program Files\PoppinSearch\uninstall.exe
 - SHA-1 : 498a48ec8a5020f623d1ba49c5f1b575b543bf84
 - AhnLab V3 365 Clinic : PUP/Win32.Enumerate.R37949 (VT : 4/55)

 

이름

 Poppin-S

게시자

 B&C

유형

 브라우저 도우미 개체

CLSID

 {897A1BC8-4CF0-48F7-AD60-6BF6D5D5B347}

파일

 C:\Program Files\PoppinSearch\poppins.dll

 

"Poppin Search" 광고 프로그램이 설치된 환경에서는 Internet Explorer 웹 브라우저에서 동작하는 "Poppin-S" 브라우저 도우미 개체(BHO) 확장 프로그램을 추가하여 "C:\Program Files\PoppinSearch\poppins.dll" 광고 모듈을 통해 광고 동작을 수행할 수 있습니다.

이를 통해 "poppins.exe + poppins.dll + poppinsearch_sajulove_new.dll + poppinsearch_sajulove.dll" 광고 모듈 조합을 통해 특정 검색 키워드를 이용한 인터넷 검색시 자동으로 새 탭 방식의 광고탭(tab.openpotservice.com)이 생성되며, 사용자가 생성된 OpenPot 광고탭을 클릭시 "cl.ncclick.co.kr" 제휴 코드를 포함한 연결이 이루어집니다.

 

그 외에 웹 사이트 접속 및 웹 브라우저 종료시 다양한 광고창이 자동으로 생성되어 불편을 유발할 수 있습니다.

 

4. 프로그램 삭제 방법

 

(a) Windows 작업 관리자를 실행하여 메모리에 상주하는 poppins.exe 프로세스를 찾아 종료하시기 바라며, 일부 환경에서는 poppin.exe 프로세스도 함께 존재할 수 있으므로 종료하시기 바랍니다.

 

(b) Internet Explorer 웹 브라우저를 종료한 상태에서 제어판에 등록된 "Poppin Search" 삭제 항목을 이용하여 프로그램 삭제를 진행하시기 바랍니다.

[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\Exchangaps
HKEY_CURRENT_USER\Software\honorzone
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - poppin = "C:\Program Files\PoppinSearch\poppin.exe" subcmd
 - PoppinSearch = "C:\Program Files\PoppinSearch\poppins.exe" subcmd
 - PoppinSearchUpDates = C:\Program Files\PoppinSearch\poppind.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
 - poppin = "C:\Program Files\PoppinSearch\poppin.exe" Runcmd
 - poppins = "C:\Program Files\PoppinSearch\poppins.exe" Runcmd
HKEY_CURRENT_USER\Software\poppin
HKEY_CURRENT_USER\Software\searchlinenc
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\{33843C8D-C52F-4661-B3E9-34E012BA97F8}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\poppins.DLL
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{897A1BC8-4CF0-48F7-AD60-6BF6D5D5B347}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{33552FEB-9696-463B-8890-321E87DEB830}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\poppins.poppins_Obj
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\poppins.poppins_Obj.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{36434A45-ADF6-4A9D-A5F5-FE1B7C7C833D}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{897A1BC8-4CF0-48F7-AD60-6BF6D5D5B347}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\PoppinSearch uninstall
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{0723C73B-C6DD-498D-B665-8D4CA3D6AF19}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{7FC43148-5F64-4D8E-8938-990A675D9036}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\SystemPoppinS
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\WinPPins

 

"Poppin Search" 광고 프로그램이 설치된 환경에서는 주기적인 프로그램 업데이트를 통해 파일 패치가 이루어질 수 있으며, 차후 업데이트 창을 통해 유사한 기능을 제공하는 또 다른 광고 프로그램 설치를 유도할 수 있으므로 원치않는 프로그램이 설치되지 않도록 주의하시기 바랍니다.

728x90
반응형