본문 바로가기

벌새::Analysis

해외 광고 프로그램 : Cyti Web

반응형

해외 사이트를 통해 다운로드한 파일을 실행할 경우 다수의 제휴(스폰서) 프로그램과 함께 설치될 수 있는 "Cyti Web" 해외 광고 프로그램에 대해 살펴보도록 하겠습니다.

 

참고로 해당 프로그램 정보 중에서는 설치(업데이트) 기능을 수행하는 일부 파일 정보가 누락되어 있을 가능성이 있습니다.

 

우선 설치 과정을 살펴보면 특정 서버로부터 다운로드된 "Cyti Web" 드랍퍼(Dropper) 파일<SHA-1 : 3e5ccd41934e56872a23fdb3e8bf9d5248b43b93 - 알약(ALYac) : Adware.BrowseFox.BF (VT : 30/57)>이 다운로드 및 실행되어 "C:\Users\(사용자 계정)\AppData\Local\Temp\CytiWeb.mg.exe" 파일<SHA-1 : 0e9efc87f59e1aaa88770d63b1d7cc46149ee4e4 - Avira : Adware/BrowseFox.247024.268 (VT : 31/56)>을 생성 및 실행합니다. 

 

실행된 파일(CytiWeb.mg.exe)은 Mac Address 값을 체크한 후 사용자 PC에 존재하는 보안 제품 및 분석 도구 등의 정보를 체크한 후 특정 서버로부터 다음과 같은 ZIP 압축 파일을 다운로드합니다.

다운로드된 ZIP 압축 파일(Setup)은 cbe75cb4 압축 암호로 보호되어 있으며, 7-Zip 압축 파일(7za.exe)을 이용하여 자동으로 압축 해제를 통해 "C:\Users\(사용자 계정)\AppData\Local\Temp\CytiWeb_Setup.exe" 파일<SHA-1 : 5d8e9e83ff0c3b578e2212862df9004ec2edd5c9 - Avira : ADWARE/BrowseFox.Gen (VT : 29/57)>을 생성하여 프로그램 설치를 진행한 후 자신은 자동 삭제 처리됩니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Program Files\Cyti Web
C:\Program Files\Cyti Web\CytiWeb.ico
C:\Program Files\Cyti Web\CytiWebBHO.dll :: BHO 등록 파일
C:\Program Files\Cyti Web\CytiWebUninstall.exe :: 프로그램 삭제 파일
C:\Users\(사용자 계정)\AppData\Local\Temp\Cyti Web

 

[생성 파일 진단 정보]

 

C:\Program Files\Cyti Web\CytiWebBHO.dll
 - SHA-1 : 6bcd492853b3d1ce31cfcdd7ea312626aae7396c
 - Avira : ADWARE/BrowseFox.Gen2 (VT : 16/57)

 

C:\Program Files\Cyti Web\CytiWebUninstall.exe
 - SHA-1 : 711d46ac9c9c0e102afb89c9dee1c95c7da68297
 - Avira : ADWARE/BrowseFox.Gen4 (VT : 11/57)

Girafarri 디지털 서명이 포함된 해당 프로그램은 "C:\Program Files\Cyti Web" 폴더에 파일을 생성합니다.

 

이름

 Cyti Web 1.0.0.7

게시자

 Girafarri

유형

 브라우저 도우미 개체

CLSID

 {9DE1D63D-FDBF-47B9-8E12-8455694E2B78}

폴더 / 파일

 C:\Program Files\Cyti Web\CytiWebbho.dll

 

해당 프로그램은 Internet Explorer 웹 브라우저 실행시 CytiWebbho.dll 파일을 브라우저 도우미 개체(BHO) 값으로 등록하여 자동 로딩하며, 이를 통해 인터넷 검색 및 웹 사이트 접속시 광고 배너를 노출할 수 있는 기능을 포함하고 있습니다.

 

"Cyti Web" 광고 프로그램 삭제 방법

해당 프로그램의 삭제를 위해서는 Internet Explorer 웹 브라우저를 종료한 상태에서 제어판 또는 체크잇(CheckIt : www.checkitinfo.com) 프로그램에 등록된 "Cyti Web" 삭제 항목을 이용하여 제거할 수 있으며, 프로그램 삭제 후에는 "C:\Users\(사용자 계정)\AppData\Local\Temp\Cyti Web" 폴더를 추가적으로 삭제하시기 바랍니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\Cyti Web
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1AA60054-57D9-4F99-9A55-D0FBFBE7ECD3}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{4AA46D49-459F-4358-B4D1-169048547C23}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9de1d63d-fdbf-47b9-8e12-8455694e2b78}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{55587710-CCC9-4EB4-9A7B-8448B7AB26A7}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{526CCAE8-8CE5-46C4-8509-E5D7871251C8}
HKEY_LOCAL_MACHINE\SOFTWARE\Cyti Web
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9de1d63d-fdbf-47b9-8e12-8455694e2b78}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Cyti Web

 

"Cyti Web" 해외 광고 프로그램은 프로그램 이름으로는 광고 프로그램으로 인지하기 매우 어려우며, 인터넷 이용시 노출되는 광고 배너로 불편을 유발할 수 있으므로 설치되지 않도록 주의하시기 바랍니다.

728x90
반응형