즐겨찾기, 바탕 화면, 작업 표시줄 영역에 인터넷 쇼핑몰 바로가기 아이콘을 생성하며, 인터넷 검색시 InternetStartNews 광고 팝업창을 생성하는 국내에서 제작된 WindowsStar 광고 프로그램에 대해 살펴보도록 하겠습니다.

대표적인 배포 방식을 살펴보면 인터넷 쇼핑몰 웹 사이트 방문시 "WINDOWSTAR 위젯" ActiveX 설치 방식으로 이루어지고 있습니다.

제시된 ActiveX 설치 방식으로 진행이 이루어지면 starad.CAB 압축 파일을 다운로드한 후 임시 폴더 내에 압축 해제하여 다음과 같은 ActiveX 컨트롤을 생성합니다.

 

이름

 staradoc.starad

게시자

 HOSOFTWARE

유형

 ActiveX 컨트롤

CLSID

 {A0D5AFB8-A746-497C-97AC-2C8EF98254B6}

파일

 C:\Windows\Downloaded Program Files\starad.ocx

 

이를 통해 "staradoc.starad" ActiveX 컨트롤은 특정 인터넷 쇼핑몰 웹 사이트 접속시 자동으로 실행하도록 구성되어 있습니다.

또한 "C:\Windows\Downloaded Program Files\staraddo.exe" 파일(SHA-1 : 738662d40931e8a1a9dc31352bac578622e55152 - Hauri ViRobot : Adware.Agent.371264[h] (VT : 4/56)>로 생성되어 실행된 파일은 특정 서버에서 WindowsStar 설치 파일<SHA-1 : 912bea87777dc5a7ebfd47b91f73e44d49428753 - avast! : Win32:Malware-gen (VT : 16/56)>을 다운로드하여 "C:\Windows\Downloaded Program Files\staraddoSetup_flaqb1.exe" 파일로 생성 및 실행하여 설치가 진행됩니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Program Files\WindowsStar
C:\Program Files\WindowsStar\agreement.txt
C:\Program Files\WindowsStar\starad.exe :: 예약 작업(WindowsStar) 등록 파일, 메모리 상주 프로세스
C:\Program Files\WindowsStar\staraduninst.exe
C:\Program Files\WindowsStar\uninst.exe :: 프로그램 삭제 파일
C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\가을여성의류 림뷰.website
C:\Users\(사용자 계정)\AppData\Roaming\WindowsStar
C:\Users\(사용자 계정)\AppData\Roaming\WindowsStar\InfDat.dat
C:\Users\(사용자 계정)\AppData\Roaming\WindowsStar\liveicon
C:\Users\(사용자 계정)\AppData\Roaming\WindowsStar\liveicon\1408407916_JFJ1.ico
C:\Users\(사용자 계정)\AppData\Roaming\WindowsStar\liveicon\가을여성의류 림뷰.website
C:\Users\(사용자 계정)\AppData\Roaming\WindowsStar\SetupIcon.dat
C:\Users\(사용자 계정)\AppData\Roaming\WindowsStar\tmp
C:\Users\(사용자 계정)\Desktop\가을여성의류 림뷰.url
C:\Users\(사용자 계정)\Favorites\가을여성의류 림뷰.url
C:\Users\(사용자 계정)\Favorites\Links\가을여성의류 림뷰.url
C:\Windows\Downloaded Program Files\starad.INF
C:\Windows\Downloaded Program Files\starad.ocx
C:\Windows\Downloaded Program Files\staraddo.exe
C:\Windows\Downloaded Program Files\staraddoSetup_flaqb1.exe
C:\Windows\System32\Tasks\WindowsStar

 

[생성 파일 진단 정보]

 

C:\Program Files\WindowsStar\starad.exe
 - SHA-1 : 0cdeefd04fb54f3f7dfdad3f52778c7b853408b9
 - AhnLab V3 365 Clinic : PUP/Win32.KorAd (VT : 10/55)

 

C:\Program Files\WindowsStar\staraduninst.exe
 - SHA-1 : 140513315452249a958edf020570391f5458b1f2
 - AhnLab V3 365 Clinic : PUP/Win32.KorAd (VT : 7/56)

 

C:\Windows\Downloaded Program Files\staraddo.exe
 - SHA-1 : 738662d40931e8a1a9dc31352bac578622e55152
 - Hauri ViRobot : Adware.Agent.371264[h] (VT : 4/56)

 

C:\Windows\Downloaded Program Files\staraddoSetup_flaqb1.exe
 - SHA-1 : 912bea87777dc5a7ebfd47b91f73e44d49428753
 - avast! : Win32:Malware-gen (VT : 16/56)

HOSOFTWARE 디지털 서명이 포함된 해당 광고 프로그램은 "C:\Program Files\WindowsStar", "C:\Users\(사용자 계정)\AppData\Roaming\WindowsStar" 폴더에 주요 파일을 생성합니다.

예약 작업 영역에 WindowsStar 작업 스케줄러 값을 등록하여 시스템 시작시 "C:\Program Files\WindowsStar\starad.exe" 파일을 자동 실행하여 메모리에 상주하도록 구성되어 있습니다.

이 과정에서 특정 웹 사이트 검색 기반 광고 구성값, 인터넷 쇼핑몰 바로가기 아이콘 정보 등을 체크할 수 있습니다.

WindowsStar 광고 프로그램이 설치된 환경에서는 즐겨찾기, 바탕 화면, 작업 표시줄 영역에 특정 인터넷 쇼핑몰 바로가기 아이콘이 생성될 수 있으며, 바탕 화면에 생성된 바로가기 아이콘에 마우스를 위치할 경우 자동으로 InternetStartNews 광고창이 생성될 수 있습니다.

또한 특정 검색 키워드 값을 기반으로 한 인터넷 검색시 시스템 트레이 알림 아이콘 상단에 InternetStartNews 광고 팝업창이 생성될 수 있습니다.

 

WindowsStar 광고 프로그램 삭제 방법

(a) Windows 작업 관리자를 실행하여 메모리에 상주하는 starad.exe 프로세스를 찾아 종료하시기 바랍니다.

(b) 제어판 또는 체크잇(CheckIt : www.checkitinfo.com) 프로그램에 등록된 "WindowsStar" 삭제 항목을 이용하여 프로그램 제거를 진행할 수 있으며, 프로그램 삭제 후에는 추가적으로 다음의 파일을 찾아 삭제하시기 바랍니다.(※ WindowsStar 광고 프로그램 설치시 광고 프로그램의 기능 수행을 위한 "VB Runtimes Pack, release 7" 정상 프로그램이 동반 설치됩니다.)

  • C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\가을여성의류 림뷰.website
  • C:\Users\(사용자 계정)\Desktop\가을여성의류 림뷰.url
  • C:\Users\(사용자 계정)\Favorites\가을여성의류 림뷰.url
  • C:\Users\(사용자 계정)\Favorites\Links\가을여성의류 림뷰.url
  • C:\Windows\Downloaded Program Files\staraddoSetup_flaqb1.exe

참고로 인터넷 쇼핑몰 바로가기 아이콘 이름은 ActiveX 배포 웹 사이트에 따라 달라질 수 있습니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A0D5AFB8-A746-497C-97AC-2C8EF98254B6}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{BF322616-4916-49C6-A292-C1094BF1928C}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{22ED66E9-99B4-4702-ACAD-27F822B20D29}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\staradoc.starad
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{A0D5AFB8-A746-497C-97AC-2C8EF98254B6}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\starad.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\
C:/Windows/Downloaded Program Files/starad.ocx
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\
C:/Windows/Downloaded Program Files/staraddo.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs
 - C:\Windows\Downloaded Program Files\starad.ocx = 1
 - C:\Windows\Downloaded Program Files\staraddo.exe = 1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
WindowsStar
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{E3AD5CD7-C8D8-48C9-B410-937981580EEA}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\WindowsStar
HKEY_LOCAL_MACHINE\SOFTWARE\starad

 

일반적으로 ActiveX 설치 방식은 사용자 계정 컨트롤 창 생성을 통해 사용자가 동의한 경우에만 설치되는 것처럼 인지할 수 있지만, 프로그램 설치 과정에서 이용약관을 제시하지 않으며 어떤 기능을 가진 프로그램을 설치하는지 표시하지 않는다는 점에서 문제가 있는 배포 방식이라고 할 수 있습니다.

신고
블로그 이미지

벌새

울지않는벌새가 되고 싶은 나..