본문 바로가기

벌새::Analysis

해외 광고 툴바 : SafePCRepair Internet Explorer Toolbar

반응형

인터넷 검색 광고 및 광고 배너 등을 통해 유포되고 있는 시스템 최적화 기능이 포함된 해외에서 제작된 "SafePCRepair Internet Explorer Toolbar" 광고 툴바(Toolbar) 프로그램에 대해 살펴보도록 하겠습니다.

해당 프로그램은 Internet Explorer, Mozilla Firefox 웹 브라우저 환경에서는 EXE 실행 파일을 배포하며, Chrome 웹 브라우저 환경에서는 SafePCRepair 확장 프로그램을 추가하는 방식으로 설치가 이루어집니다.

 

설치 과정을 살펴보면 배포 파일<SHA-1 : a9a96993c7b9632f00a4cc13d6d423dbe64c779d - AhnLab V3 365 Clinic : PUP/Win32.EvdLookup.R163457 (VT : 20/55)> 실행을 통해 특정 서버에서 광고 툴바 설치를 위한 설치 파일을 다운로드하여 "C:\Users\(사용자 계정)\AppData\Local\Temp\nsdC330.tmp\SafePCRepairSetup.exe" 파일<SHA-1 : 3ebadc947ccffbf75dd0f89d54ffb4c4b90ce6d7 - Kaspersky : not-a-virus:WebToolbar.Win32.MyWebSearch.tq (VT : 24/56)>로 생성 및 실행되어 "C:\Program Files\SafePCRepair_89" 폴더에 프로그램을 설치합니다.

 

또한 생성된 "C:\Program Files\SafePCRepair_89\bar\1.bin\TPIManagerConsole.exe" 파일은 특정 서버에서 시스템 최적화 프로그램(Mindspark SafePCRepair) 설치 파일(SafePCRepairSetup.exe)을 추가 다운로드하여 "C:\Program Files\SafePCRepair_89\bar\1.bin\{3493620C-8B3F-4D82-BEFE-F88AE26BE3E8}.exe" 파일<SHA-1 : 975492316d7e0d441b2c2db1f2f886e23dff460b - avast! : Win32:Mindspark-A [PUP] (VT : 14/56)>을 임시 생성 및 실행하여 "C:\Program Files\SafePCRepair" 폴더에 프로그램을 설치합니다.

 

[생성 폴더 / 파일 등록 정보 : Mindspark SafePCRepair 프로그램]

 

C:\Program Files\SafePCRepair
C:\Program Files\SafePCRepair\IoloServiceWrapper.dll
C:\Program Files\SafePCRepair\ioloToolService.dll
C:\Program Files\SafePCRepair\ioloToolService.exe :: 서비스(ioloService) 등록 파일
C:\Program Files\SafePCRepair\log4net.dll
C:\Program Files\SafePCRepair\lua5.1.dll
C:\Program Files\SafePCRepair\Microsoft.Expression.Drawing.dll
C:\Program Files\SafePCRepair\MindSparkTools.dll
C:\Program Files\SafePCRepair\Newtonsoft.Json.dll
C:\Program Files\SafePCRepair\SPR.exe :: SafePCRepair 프로그램 실행 파일
C:\Program Files\SafePCRepair\TaskDialog.dll
C:\Program Files\SafePCRepair\Uninstall
C:\Program Files\SafePCRepair\uninstall.exe :: "Mindspark SafePCRepair" 프로그램 삭제 파일
C:\ProgramData\iolo
C:\Users\(사용자 계정)\AppData\Local\iolo

 

[생성 폴더 / 파일 등록 정보 : SafePCRepair Internet Explorer Toolbar 프로그램]

 

C:\Program Files\SafePCRepair_89
C:\Program Files\SafePCRepair_89\bar
C:\Program Files\SafePCRepair_89\bar\1.bin
C:\Program Files\SafePCRepair_89\bar\1.bin\89bar.dll :: 도구 모음(SafePCRepair) 등록 파일 및 브라우저 도우미 개체(Toolbar BHO) 등록 파일
C:\Program Files\SafePCRepair_89\bar\1.bin\89barsvc.exe :: 서비스(SafePCRepair_89Service) 등록 파일, 메모리 상주 프로세스
C:\Program Files\SafePCRepair_89\bar\1.bin\89bprtct.dll
C:\Program Files\SafePCRepair_89\bar\1.bin\89dlghk.dll
C:\Program Files\SafePCRepair_89\bar\1.bin\89dlghk64.dll
C:\Program Files\SafePCRepair_89\bar\1.bin\89highin.exe
C:\Program Files\SafePCRepair_89\bar\1.bin\89htmlmu.dll
C:\Program Files\SafePCRepair_89\bar\1.bin\89httpct.dll
C:\Program Files\SafePCRepair_89\bar\1.bin\89idle.dll
C:\Program Files\SafePCRepair_89\bar\1.bin\89medint.exe :: 시작 프로그램(SafePCRepair EPM Support) 등록 파일
C:\Program Files\SafePCRepair_89\bar\1.bin\89regiet.dll
C:\Program Files\SafePCRepair_89\bar\1.bin\89skin.dll
C:\Program Files\SafePCRepair_89\bar\1.bin\89skplay.exe
C:\Program Files\SafePCRepair_89\bar\1.bin\89SrcAs.dll :: 브라우저 도우미 개체(Search Assistant BHO) 등록 파일
C:\Program Files\SafePCRepair_89\bar\1.bin\89tpinst.dll
C:\Program Files\SafePCRepair_89\bar\1.bin\AppIntegrator.exe :: 메모리 상주 프로세스(32비트 환경)
C:\Program Files\SafePCRepair_89\bar\1.bin\AppIntegrator64.exe :: 메모리 상주 프로세스(64비트 환경)
C:\Program Files\SafePCRepair_89\bar\1.bin\AppIntegratorStub.dll
C:\Program Files\SafePCRepair_89\bar\1.bin\AppIntegratorStub64.dll
C:\Program Files\SafePCRepair_89\bar\1.bin\AssistMonitor.dll
C:\Program Files\SafePCRepair_89\bar\1.bin\AssistMonitor64.dll
C:\Program Files\SafePCRepair_89\bar\1.bin\assists
C:\Program Files\SafePCRepair_89\bar\1.bin\assists\Apa
C:\Program Files\SafePCRepair_89\bar\1.bin\assists\Apa\arbiter.dll
C:\Program Files\SafePCRepair_89\bar\1.bin\assists\Apa\arbiter64.dll
C:\Program Files\SafePCRepair_89\bar\1.bin\assists\Apa\Bar
C:\Program Files\SafePCRepair_89\bar\1.bin\assists\Apa\Bar\assist.exe
C:\Program Files\SafePCRepair_89\bar\1.bin\assists\Apa\Dialog
C:\Program Files\SafePCRepair_89\bar\1.bin\assists\Apa\Dialog\assist.exe
C:\Program Files\SafePCRepair_89\bar\1.bin\assists\ie_default_search_provider
C:\Program Files\SafePCRepair_89\bar\1.bin\assists\ie_default_search_provider\arbiter.dll
C:\Program Files\SafePCRepair_89\bar\1.bin\assists\ie_default_search_provider\arbiter64.dll
C:\Program Files\SafePCRepair_89\bar\1.bin\assists\ie_default_search_provider\assist.exe
C:\Program Files\SafePCRepair_89\bar\1.bin\assists\ie_enable
C:\Program Files\SafePCRepair_89\bar\1.bin\assists\ie_enable\arbiter.dll
C:\Program Files\SafePCRepair_89\bar\1.bin\assists\ie_enable\arbiter64.dll
C:\Program Files\SafePCRepair_89\bar\1.bin\BAT.dll
C:\Program Files\SafePCRepair_89\bar\1.bin\CrExt.dll
C:\Program Files\SafePCRepair_89\bar\1.bin\CrExtP89.exe
C:\Program Files\SafePCRepair_89\bar\1.bin\DpnMngr.dll
C:\Program Files\SafePCRepair_89\bar\1.bin\FF-NativeMessagingDispatcher.dll
C:\Program Files\SafePCRepair_89\bar\1.bin\HiddenToolbarReminder.dll
C:\Program Files\SafePCRepair_89\bar\1.bin\HkFxMgr.dll
C:\Program Files\SafePCRepair_89\bar\1.bin\HkFxMgr64.dll
C:\Program Files\SafePCRepair_89\bar\1.bin\InstallEnabler.dll
C:\Program Files\SafePCRepair_89\bar\1.bin\t8EPMSup.dll
C:\Program Files\SafePCRepair_89\bar\1.bin\T8EXTEX.DLL
C:\Program Files\SafePCRepair_89\bar\1.bin\T8EXTPEX.DLL
C:\Program Files\SafePCRepair_89\bar\1.bin\T8HTML.DLL
C:\Program Files\SafePCRepair_89\bar\1.bin\t8Res.dll
C:\Program Files\SafePCRepair_89\bar\1.bin\T8TICKER.DLL
C:\Program Files\SafePCRepair_89\bar\1.bin\ToolbarGuard.dll
C:\Program Files\SafePCRepair_89\bar\1.bin\ToolbarGuard64.dll
C:\Program Files\SafePCRepair_89\bar\1.bin\TPIManagerConsole.exe
C:\Program Files\SafePCRepair_89\bar\1.bin\Verify.dll
C:\Program Files\SafePCRepair_89\bar\assists
C:\Program Files\SafePCRepair_89\bar\gen1
C:\Program Files\SafePCRepair_89\bar\Message
C:\Program Files\SafePCRepair_89\bar\Settings
C:\Users\(사용자 계정)\AppData\Local\SafePCRepair_89
C:\Users\(사용자 계정)\AppData\LocalLow\SafePCRepair_89

 

[생성 파일 진단 정보]

 

C:\Program Files\SafePCRepair\IoloServiceWrapper.dll
 - SHA-1 : 7a7667253f417ab977574bc94e928c613002f2de
 - AVG : MyWebSearch (VT : 12/56)

 

C:\Program Files\SafePCRepair\ioloToolService.dll
 - SHA-1 : 86b4b56702a7dd5d6a6a32029511f666cb60b9c5
 - Malwarebytes : PUP.Optional.MindSpark (VT : 11/56)

 

C:\Program Files\SafePCRepair\ioloToolService.exe
 - SHA-1 : 7c29d7ea9f25f038e8c80636396edf65f9312e4b
 - Hauri ViRobot : Adware.Mindspark.2624352[h] (VT : 12/55)

 

C:\Program Files\SafePCRepair\log4net.dll
 - SHA-1 : cdd333c65dacae329c4c7877290f67f1ceb628da
 - avast! : Win32:Mindspark-A [PUP] (VT : 12/56)

 

C:\Program Files\SafePCRepair\Microsoft.Expression.Drawing.dll
 - SHA-1 : 25ea4c016be7e68ca912830e3d5bab79c11766d7
 - AVG : MyWebSearch (VT : 12/56)

 

C:\Program Files\SafePCRepair\MindSparkTools.dll
 - SHA-1 : 8934bc3ab5755e9711351d2b08d43f7d8c6e5f83
 - Malwarebytes : PUP.Optional.MindSpark (VT : 11/56)

 

C:\Program Files\SafePCRepair\Newtonsoft.Json.dll
 - SHA-1 : 8a00e329ed02c51c706400e7fd38dcf2f9d487f8
 - avast! : Win32:Mindspark-A [PUP] (VT : 11/56)

 

C:\Program Files\SafePCRepair\SPR.exe
 - SHA-1 : 8320e3d470b59def37cf57c8506251102e0c5fcc
 - AVG : MyWebSearch (VT : 11/56)

 

C:\Program Files\SafePCRepair\TaskDialog.dll
 - SHA-1 : 4295f7ae875969f835ac715cc8f9199cc4a6eee7
 - avast! : Win32:Mindspark-A [PUP] (VT : 11/54)

 

C:\Program Files\SafePCRepair\uninstall.exe
 - SHA-1 : c9ee8b9dc4d98916a6a8ef1905d91f2934921569
 - Malwarebytes : PUP.Optional.MindSpark (VT : 10/56)

 

C:\Program Files\SafePCRepair_89\bar\1.bin\89bar.dll
 - SHA-1 : 68a9d103f794612a22f3a0ea8eee20cc90fcdbde
 - avast! : Win32:Mindspark-A [PUP] (VT : 17/56)

 

C:\Program Files\SafePCRepair_89\bar\1.bin\89barsvc.exe
 - SHA-1 : 3d532e02194ec7cdbb8c682ce1d66b5daf61cbf2
 - Hauri ViRobot : Adware.Mindspark.89424[h] (VT : 22/56)

 

C:\Program Files\SafePCRepair_89\bar\1.bin\89bprtct.dll
 - SHA-1 : 15c4aa1b8b3e8c29d399e127a180c98e1ef16457
 - ESET : a variant of Win32/Toolbar.MyWebSearch.AS potentially unwanted (VT : 17/56)

 

C:\Program Files\SafePCRepair_89\bar\1.bin\89dlghk.dll
 - SHA-1 : a2a1071fe490e47fb2a88e05d3f8102ad255cd43
 - Malwarebytes : PUP.Optional.MindSpark (VT : 17/56)

 

C:\Program Files\SafePCRepair_89\bar\1.bin\89dlghk64.dll
 - SHA-1 : 30c0193255f19de1713b05636e191abdc49cfc80
 - Kaspersky : not-a-virus:WebToolbar.Win32.MyWebSearch.tq (VT : 15/56)

 

C:\Program Files\SafePCRepair_89\bar\1.bin\89highin.exe
 - SHA-1 : 313658fb0dd13dec5e161e7df1e535e4f5c63a4f
 - AVG : Toolbar.MyWebSearch.BQ (VT : 18/56)

 

C:\Program Files\SafePCRepair_89\bar\1.bin\89htmlmu.dll
 - SHA-1 : f0a92d7a5d2bbefa3d94672ee46022713d345e07
 - avast! : Win32:Mindspark-A [PUP] (VT : 17/56)

 

C:\Program Files\SafePCRepair_89\bar\1.bin\89httpct.dll
 - SHA-1 : adb8ee2bddbc195fb631dca000a7b883463578a0
 - Malwarebytes : PUP.Optional.MindSpark (VT : 17/56)

 

C:\Program Files\SafePCRepair_89\bar\1.bin\89idle.dll
 - SHA-1 : 3d9d57030fde0dcd90074a2f255c145af50e63fd
 - Kaspersky : not-a-virus:WebToolbar.Win32.MyWebSearch.tq (VT : 17/56)

 

C:\Program Files\SafePCRepair_89\bar\1.bin\89medint.exe
 - SHA-1 : 84df210725ac743f6e5c4071f894f96ae71fd1d2
 - ESET : a variant of Win32/Toolbar.MyWebSearch.AJ potentially unwanted (VT : 20/56)

 

C:\Program Files\SafePCRepair_89\bar\1.bin\89regiet.dll
 - SHA-1 : 658e2ab881f1fc6e883ad78da52e8940cb619b45
 - avast! : Win32:Mindspark-A [PUP] (VT : 18/56)

 

C:\Program Files\SafePCRepair_89\bar\1.bin\89skin.dll
 - SHA-1 : 37f729e8821f39bf2973ccc5eb9c93fcb024c8fa
 - Malwarebytes : PUP.Optional.MindSpark (VT : 18/56)

 

C:\Program Files\SafePCRepair_89\bar\1.bin\89skplay.exe
 - SHA-1 : cc35363b5fef4161ec6c10dc4c0e8bc9183a03b2
 - AhnLab V3 365 Clinic : PUP/Win32.MyWebSearch.C107752 (VT : 20/56)

 

C:\Program Files\SafePCRepair_89\bar\1.bin\89SrcAs.dll
 - SHA-1 : 14ee18856d2772194f5dbff5bddf3a6edc12f3b5
 - Kaspersky : not-a-virus:WebToolbar.Win32.MyWebSearch.tq (VT : 18/56)

 

C:\Program Files\SafePCRepair_89\bar\1.bin\89tpinst.dll
 - SHA-1 : c1dd869f74e8baff9e1a69cb24b3bba19653ca44
 - ESET : a variant of Win32/Toolbar.MyWebSearch.AJ potentially unwanted (VT : 16/56)

 

C:\Program Files\SafePCRepair_89\bar\1.bin\AppIntegrator.exe
 - SHA-1 : 65e4f3e1a57c0775919d0ebdd16b949e8b87e354
 - Hauri ViRobot : Adware.Mindspark.229712[h] (VT : 19/56)

 

C:\Program Files\SafePCRepair_89\bar\1.bin\AppIntegrator64.exe
 - SHA-1 : 4e4c6cc4f3538fa38615f5cdda91166e61c4112f
 - Hauri ViRobot : Adware.Mindspark.265040[h] (VT : 14/56)

 

C:\Program Files\SafePCRepair_89\bar\1.bin\AppIntegratorStub.dll
 - SHA-1 : 2bd3809a31765edfeb4e9c900595306db8f9c30e
 - AVG : Toolbar.MyWebSearch.BO (VT : 18/56)

 

C:\Program Files\SafePCRepair_89\bar\1.bin\AppIntegratorStub64.dll
 - SHA-1 : e4b3b4bb499259fa1dc2e2057c6d4abada9cad78
 - avast! : Win32:Mindspark-A [PUP] (VT : 15/56)

 

C:\Program Files\SafePCRepair_89\bar\1.bin\AssistMonitor.dll
 - SHA-1 : 87390f61cadc233360ba98db24d809ded1a376fa
 - Malwarebytes : PUP.Optional.MindSpark (VT : 17/54)

 

C:\Program Files\SafePCRepair_89\bar\1.bin\AssistMonitor64.dll
 - SHA-1 : 82a26811bf258b8f17dc2efe97a1267f5f1ac70d
 - ESET : a variant of Win64/Toolbar.MyWebSearch.G potentially unwanted (VT : 13/56)

 

C:\Program Files\SafePCRepair_89\bar\1.bin\assists\Apa\arbiter.dll
 - SHA-1 : fe1a6ca768db1fa6293aafc3efa16db127257586
 - avast! : Win32:Mindspark-A [PUP] (VT : 15/56)

 

C:\Program Files\SafePCRepair_89\bar\1.bin\assists\Apa\arbiter64.dll
 - SHA-1 : 3d229a6b301c0a28a6bda7c060b8dbce4241585b
 - ESET : a variant of Win64/Toolbar.MyWebSearch.F potentially unwanted (VT : 15/56)

 

C:\Program Files\SafePCRepair_89\bar\1.bin\assists\Apa\Bar\assist.exe
 - SHA-1 : 0aa563c12c22b7144f94bc0f228fd8ca90a0d4bc
 - AVG : Toolbar.MyWebSearch.BM (VT : 18/56)

 

C:\Program Files\SafePCRepair_89\bar\1.bin\assists\Apa\Dialog\assist.exe
 - SHA-1 : 8759f6dd1e0a63e259e2240ba10e3888577ab635
 - Kaspersky : not-a-virus:WebToolbar.Win32.MyWebSearch.tq (VT : 19/56)

 

C:\Program Files\SafePCRepair_89\bar\1.bin\assists\ie_default_search_provider\arbiter.dll
 - SHA-1 : fa5989e5d72b0e7650d068da2cd873f6f807ef45
 - AhnLab V3 365 Clinic : PUP/Win32.MyWebSearch.R120263 (VT : 19/56)

 

C:\Program Files\SafePCRepair_89\bar\1.bin\assists\ie_default_search_provider\arbiter64.dll
 - SHA-1 : 09d688156a92868a91852f2eed2fbc14998123cf
 - Malwarebytes : PUP.Optional.MindSpark (VT : 15/56)

 

C:\Program Files\SafePCRepair_89\bar\1.bin\assists\ie_default_search_provider\assist.exe
 - SHA-1 : f509e45d28f43024249233c7e987d835dc737a1b
 - ESET : a variant of Win32/Toolbar.MyWebSearch.AF potentially unwanted (VT : 18/56)

 

C:\Program Files\SafePCRepair_89\bar\1.bin\assists\ie_enable\arbiter.dll
 - SHA-1 : 5f5c593f6b8c5c6cf1a3e3864fafdf098b7a7489
 - avast! : Win32:Mindspark-A [PUP] (VT : 15/56)

 

C:\Program Files\SafePCRepair_89\bar\1.bin\assists\ie_enable\arbiter64.dll
 - SHA-1 : 8dcf2ce9efa9f3914c9828d74b3d631d9b1dc081
 - Kaspersky : not-a-virus:WebToolbar.Win32.MyWebSearch.tq (VT : 16/56)

 

C:\Program Files\SafePCRepair_89\bar\1.bin\BAT.dll
 - SHA-1 : 2d2bef94e7b3dcd056b877de333181c952535f67
 - Malwarebytes : PUP.Optional.MindSpark (VT : 17/56)

 

C:\Program Files\SafePCRepair_89\bar\1.bin\CrExt.dll
 - SHA-1 : 3a8b4e42b764fb9a8e29b687d09dfeaf7d4ff469
 - AVG : Toolbar.MyWebSearch.BW (VT : 18/56)

 

C:\Program Files\SafePCRepair_89\bar\1.bin\CrExtP89.exe
 - SHA-1 : 30e5da925a16524d23038501b9a0e1d82166bca3
 - AVG : Toolbar.MyWebSearch.BJ (VT : 19/55)

 

C:\Program Files\SafePCRepair_89\bar\1.bin\DpnMngr.dll
 - SHA-1 : bff5bec05bfcfcec1cbb7f8780473caf6da92b53
 - AVG : Toolbar.MyWebSearch.BK (VT : 18/56)

 

C:\Program Files\SafePCRepair_89\bar\1.bin\FF-NativeMessagingDispatcher.dll
 - SHA-1 : a0f32eb0cc9f13a35e05a4fa2cdddf2c03a5e150
 - AVG : Toolbar.MyWebSearch.BI (VT : 19/56)

 

C:\Program Files\SafePCRepair_89\bar\1.bin\HiddenToolbarReminder.dll
 - SHA-1 : d3fd88b621bf13d50340f6162207591ba1267671
 - Kaspersky : not-a-virus:WebToolbar.Win32.MyWebSearch.tq (VT : 18/56)

 

C:\Program Files\SafePCRepair_89\bar\1.bin\HkFxMgr.dll
 - SHA-1 : 33f2e461da26eb0934f6664e9992ea4975f67494
 - AVG : Toolbar.MyWebSearch.BH (VT : 18/56)

 

C:\Program Files\SafePCRepair_89\bar\1.bin\HkFxMgr64.dll
 - SHA-1 : 1134745bf7765a807b812c63b58937a120f2831d
 - avast! : Win32:Mindspark-A [PUP] (VT : 15/56)

 

C:\Program Files\SafePCRepair_89\bar\1.bin\InstallEnabler.dll
 - SHA-1 : de9fb9fe90d0c9ff6c4da3a666a2259f5bc8fbfd
 - ESET : a variant of Win32/Toolbar.MyWebSearch.AU potentially unwanted (VT : 17/56)

 

C:\Program Files\SafePCRepair_89\bar\1.bin\t8EPMSup.dll
 - SHA-1 : f7e9928aa98eed7ce27e47488cbcfc5efc3e6d9c
 - AVG : Toolbar.MyWebSearch.BU (VT : 18/56)

 

C:\Program Files\SafePCRepair_89\bar\1.bin\T8EXTEX.DLL
 - SHA-1 : 53e6d5b6e32305ccb2f20b5673041b41de5681ca
 - Malwarebytes : PUP.Optional.MindSpark (VT : 18/56)

 

C:\Program Files\SafePCRepair_89\bar\1.bin\T8EXTPEX.DLL
 - SHA-1 : f77e211e6c9de7e582a98d76029c8a10d3c3abce
 - Kaspersky : not-a-virus:WebToolbar.Win32.MyWebSearch.tq (VT : 18/56)

 

C:\Program Files\SafePCRepair_89\bar\1.bin\T8HTML.DLL
 - SHA-1 : 6f8f841ebaba18818c31228c2618d463ffe01f8f
 - avast! : Win32:Mindspark-A [PUP] (VT : 18/56)

 

C:\Program Files\SafePCRepair_89\bar\1.bin\t8Res.dll
 - SHA-1 : 5943cad09024fc9830cf3bc6913561d917986ff3
 - Hauri ViRobot : Adware.Mindspark.173904[h] (VT : 12/56)

 

C:\Program Files\SafePCRepair_89\bar\1.bin\T8TICKER.DLL
 - SHA-1 : fb82b446f07abccd54f9e54c78b390ec06ec411c
 - ESET : a variant of Win32/Toolbar.MyWebSearch.AE potentially unwanted (VT : 18/56)

 

C:\Program Files\SafePCRepair_89\bar\1.bin\ToolbarGuard.dll
 - SHA-1 : c742427f90eeb47ed105a864c75a7ee4546327c1
 - AVG : Toolbar.MyWebSearch.BX (VT : 18/56)

 

C:\Program Files\SafePCRepair_89\bar\1.bin\ToolbarGuard64.dll
 - SHA-1 : 8293744ba14e25ad6f93d2792e5d438f87b44ba3
 - Malwarebytes : PUP.Optional.MindSpark (VT : 15/55)

 

C:\Program Files\SafePCRepair_89\bar\1.bin\TPIManagerConsole.exe
 - SHA-1 : f46e8d8c326c804f343d7693d178edf498616bc1
 - AVG : Toolbar.MyWebSearch.AW (VT : 17/56)

 

C:\Program Files\SafePCRepair_89\bar\1.bin\Verify.dll
 - SHA-1 : d6e037ef885acdace24243dd8e345917ca15cec4
 - AhnLab V3 365 Clinic : PUP/Win32.MyWebSearch.C975317 (VT : 18/56)

 

"Mindspark Interactive Network" 디지털 서명이 포함된 해당 프로그램은 "C:\Program Files\SafePCRepair", "C:\Program Files\SafePCRepair_89" 폴더에 주요 파일을 각각 생성합니다.

 

1. "Mindspark SafePCRepair" 프로그램 정보

"ioloService (표시 이름 : ioloToolService)" 서비스 항목을 등록하여 시스템 시작시 "C:\Program Files\SafePCRepair\ioloToolService.exe" 파일을 자동 실행하도록 구성되어 있습니다.

"C:\Program Files\SafePCRepair" 폴더에 생성된 파일은 iolo 업체에서 제공하는 System Mechanic 시스템 최적화 프로그램 유료 결제 유도 목적으로 제작된 프로그램이지만, 사용자가 "C:\Program Files\SafePCRepair\SPR.exe" 파일을 찾아 직접 실행해야지 동작하게 되어 있다는 점에서는 SafePCRepair 프로그램의 진짜 목적은 광고로 추정됩니다.

"C:\Program Files\SafePCRepair\uninstall.exe" "/U:C:\Program Files\SafePCRepair\Uninstall\uninstall.xml"

특히 설치된 프로그램의 삭제 레지스트리 값(HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Mindspark SafePCRepair)을 살펴보면 DisplayName 값에 프로그램 이름을 표시하지 않는 방식으로 제어판에 표시하지 않고 있습니다.

 

2. "SafePCRepair Internet Explorer Toolbar" 프로그램 정보

"C:\Program Files\SafePCRepair_89" 폴더에 설치된 "SafePCRepair Internet Explorer Toolbar" 광고 툴바 프로그램은 "SafePCRepair_89Service (표시 이름 : SafePCRepairService)" 서비스 항목을 등록하여 시스템 시작시 "C:\PROGRA~1\SAFEPC~1\bar\1.bin\89barsvc.exe" 파일을 자동 실행하여 메모리에 상주하도록 구성되어 있습니다.

 

또한 Windows 시작시 ["C:\PROGRA~1\SAFEPC~1\bar\1.bin\89medint.exe" t8EPMSup.dll,S] 파일을 시작 프로그램(SafePCRepair EPM Support)으로 등록하여 자동 실행한 후 종료 처리합니다.

프로그램 설치시 사용자가 기본 검색 공급자 항목에 체크한 경우 Internet Explorer 웹 브라우저 실행시 "Ask Web Search (int.search.tb.ask.com)"로 변경을 시도할 수 있으며, Internet Explorer 웹 브라우저 및 Windows 탐색기 실행시 자동으로 AppIntegrator.exe (32비트), AppIntegrator64.exe (64비트) 파일이 실행되어 메모리에 상주합니다.

프로그램이 설치된 환경에서는 홈 페이지가 "Ask Home Page (home.tb.ask.com)"로 자동 변경되며, 도구 모음에 표시된 SafePCRepair 광고 툴바(Toolbar)에 포함된 시스템 최적화 메뉴가 존재하지만 실제 동작으로 연결되지는 않는 것으로 확인되고 있습니다.

 

이름

 SafePCRepair

게시자

 Mindspark Interactive Network

유형

 도구 모음

CLSID

 {A9D9EA68-5D09-43EF-A0C5-6F6A6F82A0E1}

폴더 / 파일

 C:\Program Files\SafePCRepair_89\bar\1.bin\89bar.dll

 

이름

 Toolbar BHO

게시자

 Mindspark Interactive Network

유형

 브라우저 도우미 개체

CLSID

 {1FC509DF-4B29-4AB3-96E6-47C178D60287}

폴더 / 파일

 C:\Program Files\SafePCRepair_89\bar\1.bin\89bar.dll

 

이름

 Search Assistant BHO

게시자

 Mindspark Interactive Network

유형

 브라우저 도우미 개체

CLSID

 {5D13BF91-EA09-4ED8-9ACD-C6BAD32617B9}

폴더 / 파일

 C:\Program Files\SafePCRepair_89\bar\1.bin\89SrcAs.dll

 

Internet Explorer 웹 브라우저에 추가된 SafePCRepair 광고 툴바(Toolbar)는 인터넷 검색시 Ask.com 검색 서비스로 연결을 제공합니다.

 

3. Chrome 웹 브라우저 환경에서의 SafePCRepair 확장 프로그램 정보

Chrome 웹 브라우저 환경에서는 SafePCRepair 확장 프로그램을 추가하는 방식으로 Internet Explorer 웹 브라우저와 동일하게 홈 페이지 정보를 수정할 수 있습니다.

Chrome 웹 브라우저 실행시 "SafePCRepair by myway"를 새 탭(New Tab)으로 실행하도록 설정이 변경됩니다.

그러므로 Chrome 웹 브라우저에 추가된 경우 확장 프로그램(chrome://extensions)에 등록된 SafePCRepair 항목을 찾아 사용 해제한 후 휴지통 아이콘을 클릭하여 삭제하시기 바랍니다.

 

"SafePCRepair Internet Explorer Toolbar" 광고 툴바 삭제 방법

 

해당 프로그램은 "C:\Program Files\SafePCRepair", "C:\Program Files\SafePCRepair_89" 폴더에 각각의 프로그램으로 설치되었지만 삭제시에는 "SafePCRepair Internet Explorer Toolbar" 삭제 항목을 이용하여 일괄 삭제 처리가 이루어집니다.

rundll32 "C:\Program Files\SafePCRepair_89\bar\1.bin\89Bar.dll",O mindsparktoolbarkey="SafePCRepair_89" uninstalltype=IE

(a) "보조프로그램 → 명령 프롬프트" 메뉴를 "관리자 권한으로 실행"하여 생성된 명령 프롬프트 창에 [sc stop "SafePCRepair_89Service"] 명령어를 입력 및 실행하여 89barsvc.exe 서비스 프로세스를 자동 종료하시기 바랍니다.

 

(b) 웹 브라우저를 비롯한 모든 프로그램을 종료한 상태에서 제어판을 실행한 후 Windows 작업 관리자를 실행하여 메모리에 상주하는 AppIntegrator.exe (32비트) 또는 AppIntegrator64.exe (64비트) 프로세스를 찾아 종료하시기 바랍니다.

 

(c) 제어판에 등록된 "SafePCRepair Internet Explorer Toolbar" 삭제 항목을 이용하여 프로그램 제거를 진행할 수 있으며, 프로그램 종료 후 생성된 "Uninstall SafePCRepair Internet Explorer Toolbar" 창의 "예(Y)" 버튼을 클릭한 후 반드시 Windows 재부팅을 진행하시기 바랍니다.

참고로 프로그램 삭제 후 생성된 메시지 창에서는 웹 브라우저 홈 페이지 및 기본 검색 공급자 정보를 사용자가 직접 수정하도록 안내하고 있습니다.

 

(d) Windows 재부팅 후 다음의 폴더가 존재할 경우 삭제하시기 바랍니다.

  • C:\ProgramData\iolo
  • C:\Users\(사용자 계정)\AppData\Local\iolo

(e) "보조프로그램 → 명령 프롬프트" 메뉴를 "관리자 권한으로 실행"하여 생성된 명령 프롬프트 창에 [sc delete "SafePCRepair_89Service"] 명령어를 입력 및 실행하여 삭제되지 않은 ioloService 서비스 항목을 자동 삭제하시기 바랍니다.

(f) Internet Explorer 웹 브라우저의 인터넷 옵션 메뉴를 실행하여 홈 페이지 주소(home.tb.ask.com)를 사용자가 원하는 주소로 변경하시기 바랍니다.

(g) Internet Explorer 웹 브라우저의 기본 검색 공급자 설정이 변경된 경우에는 "추가 기능 관리 → 검색 공급자" 메뉴에 표시된 Bing 또는 사용자가 원하는 검색 공급자를 선택하여 "기본값으로 설정"한 후 "Ask Web Search" 항목을 선택하여 "제거"하시기 바랍니다.

 

[생성 / 변경된 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\AppDataLow\Software\Mindspark
HKEY_CURRENT_USER\Software\AppDataLow\Software\Mindspark\SafePCRepair
HKEY_CURRENT_USER\Software\AppDataLow\Software\SafePCRepair_89
HKEY_CURRENT_USER\Software\Classes\CLSID\{be823b8c-a7ec-4078-a321-0f8046cbb48a}
HKEY_CURRENT_USER\Software\CodeGear
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Approved Extensions
 - {1FC509DF-4B29-4AB3-96E6-47C178D60287}
 - {5D13BF91-EA09-4ED8-9ACD-C6BAD32617B9}
 - {A9D9EA68-5D09-43EF-A0C5-6F6A6F82A0E1}

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
 - Start Page = (사용자 지정 홈 페이지 URL 주소) :: 변경 전
 - Start Page = http://home.tb.ask.com/index.jhtml?n=781BE04C&p2=^AW7^xdm009^YYA^kr&ptb=88F99ADF-4975-48EC-B6B6-

814F1AD5C62A&si=CM3mu4ai1ccCFdgkvQod8NEPYw :: 변경 후

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes
 - DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A} :: 변경 전 (Bing)
 - DefaultScope = {8684a7c7-3ade-4208-ad43-ad57a1af352c} :: 변경 후 (Ask Web Search)

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{8684a7c7-3ade-4208-ad43-ad57a1af352c}
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser
 - {A9D9EA68-5D09-43EF-A0C5-6F6A6F82A0E1}
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks
 - {be823b8c-a7ec-4078-a321-0f8046cbb48a}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\{CFBE264C-912E-4DA5-B67B-790B27D6D338}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\ioloToolService.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{10019e3c-1039-4c6a-8231-0c657afc4bc4}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1fc509df-4b29-4ab3-96e6-47c178d60287}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{43223489-51e1-4e5c-bbc4-3645dce39afe}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5806dc83-95c8-4120-a305-cbce6260adf1}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5d13bf91-ea09-4ed8-9acd-c6bad32617b9}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5ed1334e-4e55-40cd-accb-05ce52ad981d}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{79223c67-251e-4447-94fe-762be858d73e}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7D6E502F-02F7-46E9-AA46-D3364038B6F7}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{816098C9-EC16-4106-9FF7-E19580B2C338}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{a9d9ea68-5d09-43ef-a0c5-6f6a6f82a0e1}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{b6de1d4c-f21b-4056-a99c-1727fd6400ce}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{e81003f0-8f21-4a23-8142-403d821198ac}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{fe97fe9a-ef03-47e0-9df9-8ebb728c5d93}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{2438F6B7-0532-4C8C-9C5C-B34935DD3D70}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{34930B93-003D-4FF8-BF64-6A6F27547B0E}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{356E8E19-4DEB-4F01-8DB4-1A0C99129CE7}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{35C03DE9-8BA0-4B87-B3D1-51944C349FF1}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{3A98E922-A041-4D48-BE67-85A8E2E9B618}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{3C6E6F5A-8105-423A-AD2C-892FDAC11F49}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{499616EC-7C3D-499E-95ED-5D37D7FC7A3F}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{5160D776-E6C7-450A-AFB8-3BF0D83641A3}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{535062C7-0E84-4CD0-BEB2-59F41DD1A8F5}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{565ABC73-E8CB-4261-8FDE-C281445CA53D}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{56AD4096-50B4-48CA-9159-F05D340DC986}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{59B4F810-41AC-40F0-9FF1-703EAD14C290}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{5AB21B6C-9EAA-465D-9C21-A1F75981773C}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{7E84E65B-E911-4DC3-B316-E2E854343D1B}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{882CEBE6-479B-48C9-BA4C-9E287BFD7ADC}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{9007902D-06A3-4BFB-AEAC-9C335E74B91F}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{9CDABDB6-9522-4A27-B6C3-F1F0DB584A31}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{9E6E74B8-655A-4E4E-B5E0-6930412A7D55}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{A0222970-4A74-4E1D-B0B7-F83D42AEB676}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{A42FD199-B78F-452F-B31F-5755D6105704}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{A583156B-8B91-4C89-9ADB-5EE1D305C03C}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{A5935A23-63D1-4216-B6B3-7B392880EB21}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{A983B26D-76CB-41C6-947E-4EEFF0906747}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{B24F3E66-6E22-456F-85F0-43BEF5784F6C}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{B4BCF535-178F-43C9-98B3-1C5447AAF153}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{B98BE44D-266A-45FE-814D-DB708279E238}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{C62485E9-50DB-4F12-AE49-5D0A9B8BAC2C}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{CE2DC737-4634-4A55-A436-9C2C3E857053}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{D5731C13-597C-4756-8009-A21C02AF250F}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{DD64BDF7-3A2E-452E-BA14-6F17554EB018}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ioloToolService.ToolManager
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SafePCRepair_89.HTMLMenu
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SafePCRepair_89.HTMLMenu.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SafePCRepair_89.HTMLPanel
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SafePCRepair_89.HTMLPanel.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SafePCRepair_89.PseudoTransparentPlugin
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SafePCRepair_89.PseudoTransparentPlugin.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SafePCRepair_89.SettingsPlugin
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SafePCRepair_89.SettingsPlugin.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SafePCRepair_89.ToolbarProtector
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SafePCRepair_89.ToolbarProtector.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{0BC5607D-DC04-410A-B137-73F2EE733596}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{154690A0-7778-41B5-A3AB-EB51E2482B74}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{63498647-B3EF-4A8A-8C98-163ECF8048FE}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{95CD0B4B-5782-435E-993D-BA07B30710A6}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{B2A921D8-E831-468F-BBC6-16416342C0A7}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{BD821925-6AEE-4FFF-A8E8-7AB1F50B0F4F}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{C889A354-08D6-46F5-8C68-C6481023D6DE}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{CCB31621-E2C6-43E7-B5D8-2B161973D5C3}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v2.0.50727\NGENService\
Roots\C:/Program Files/SafePCRepair/SPR.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{0ddeae50-1858-4f3a-8fa9-4774f02eef86}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{2438f6b7-0532-4c8c-9c5c-b34935dd3d70}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{5ed1334e-4e55-40cd-accb-05ce52ad981d}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{63f9f932-ba95-42af-bb2b-51d8431db9b9}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{a983b26d-76cb-41c6-947e-4eeff0906747}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{8684a7c7-3ade-4208-ad43-ad57a1af352c}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar
 - {a9d9ea68-5d09-43ef-a0c5-6f6a6f82a0e1}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{1fc509df-4b29-4ab3-96e6-47c178d60287}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{5d13bf91-ea09-4ed8-9acd-c6bad32617b9}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\
PreApproved\{5806dc83-95c8-4120-a305-cbce6260adf1}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\
PreApproved\{816098C9-EC16-4106-9FF7-E19580B2C338}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\
PreApproved\{e81003f0-8f21-4a23-8142-403d821198ac}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\
PreApproved\{fe97fe9a-ef03-47e0-9df9-8ebb728c5d93}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - SafePCRepair EPM Support = "C:\PROGRA~1\SAFEPC~1\bar\1.bin\89medint.exe" t8EPMSup.dll,S
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Mindspark SafePCRepair
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
SafePCRepair_89bar Uninstall Internet Explorer
HKEY_LOCAL_MACHINE\SOFTWARE\SafePCRepair_89
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\ioloService
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\SafePCRepair_89Service

 

"SafePCRepair Internet Explorer Toolbar" 광고 툴바(Toolbar) 프로그램은 시스템 최적화 기능을 제공하는 것처럼 구성되어 있지만 실질적으로는 홈 페이지 및 기본 검색 공급자 변경이 주목적으로 판단되므로 설치로 인하여 불편을 겪지 않도록 주의하시기 바랍니다.

 

 
728x90
반응형