Windows 시작시 "Qad 팝업" 광고창 생성 및 웹 사이트 접속시 QadWidget 광고 배너를 노출할 수 있는 국내에서 제작된 "QadSoftware 1.0" 광고 프로그램(SHA-1 : 4b9dde916e53a30710c0f79db232428527186459)에 대해 살펴보도록 하겠습니다.

해당 광고 프로그램은 2014년 3월경부터 ActiveX 또는 제휴 프로그램으로 최소 3종 이상의 변종이 배포된 것으로 추정되며, 설치 환경이 가상 환경인 경우 정상적으로 설치 및 동작되지 않도록 Anti-VM 기능이 포함되어 있습니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Program Files (x86)\QadSoftware
C:\Program Files (x86)\QadSoftware\ClassConf.ini
C:\Program Files (x86)\QadSoftware\EventConf.ini
C:\Program Files (x86)\QadSoftware\Log
C:\Program Files (x86)\QadSoftware\PopConf.ini
C:\Program Files (x86)\QadSoftware\QadClass.dll :: BHO(Qad Help Class) 등록 파일
C:\Program Files (x86)\QadSoftware\QadClass.ocx
C:\Program Files (x86)\QadSoftware\QadEvent.exe :: Qad 팝업 생성 파일
C:\Program Files (x86)\QadSoftware\QadPop.exe :: 시작 프로그램(QadPop.exe) 등록 파일, 메모리 상주 프로세스
C:\Program Files (x86)\QadSoftware\QadUpdateService.exe :: 서비스(Qad Update Service) 등록 파일, 메모리 상주 프로세스
C:\Program Files (x86)\QadSoftware\uninst.exe :: 프로그램 삭제 파일
C:\Program Files (x86)\QadSoftware\UpdateConf.ini

 

[생성 파일 진단 정보]

 

C:\Program Files (x86)\QadSoftware\QadClass.dll
 - SHA-1 : 5f81e82c5b6be60e4f7505863eb203e7554219a3
 - AhnLab V3 365 Clinic : PUP/Win32.Generic.C1052911

 

C:\Program Files (x86)\QadSoftware\QadPop.exe
 - SHA-1 : f17b7ea897ac247f0c737cc3644c2c617625faf0
 - AhnLab V3 365 Clinic : PUP/Win32.Generic.C1052910

"Samil INS Co., Ltd." 디지털 서명이 포함된 "QadSoftware 1.0" 광고 프로그램은 "C:\Program Files (x86)\QadSoftware" 폴더에 파일을 생성합니다.

"Qad Update Service (표시 이름 : Qad Update Service)" 서비스 항목을 등록하여 시스템 시작시 "C:\Program Files (x86)\QadSoftware\QadUpdateService.exe" 파일(SHA-1 : 675bdd34e252a24bd80f90cb75227cce54eb2bd6)을 자동 실행하여 메모리에 상주하도록 구성되어 있습니다.

자동 실행된 QadUpdateService.exe 서비스 파일은 프로그램 버전 정보를 체크하여 상위 버전이 존재할 경우 광고 기능을 수행하는 QadClass.dll, QadPop.exe 파일을 패치할 수 있습니다.

또한 QadPop.exe 시작 프로그램 등록값을 통해 Windows 시작시 "C:\Program Files (x86)\QadSoftware\QadPop.exe" 파일을 자동 실행하여 광고 구성값 정보를 체크한 후 메모리에 상주하도록 구성되어 있습니다.

이 과정에서 "C:\Program Files (x86)\QadSoftware\QadEvent.exe" 파일(SHA-1 : c2d452ecdbaa2a0c6ad96d9dafe9eabb99775c48) 실행을 통해 "Qad 팝업" 창을 생성하여 특정 인터넷 쇼핑몰 알림을 생성할 수 있습니다.

 

이름

 Qad Help Class

게시자

 Samil INS Co., Ltd.

유형

 브라우저 도우미 개체

CLSID

 {0BF5485E-4258-41A4-B90D-705B2CB9F4EE}

폴더 / 파일

 C:\Program Files (x86)\QadSoftware\QadClass.dll

 

프로그램이 설치된 환경에서 Internet Explorer 웹 브라우저 실행시 광고 구성값을 체크하여 QadClass.dll 광고 모듈을 통해 특정 웹 사이트 접속 등의 행위를 감시하여 광고 배너를 생성할 수 있습니다.

참고로 테스트 당시에는 광고 배너 생성 행위가 확인되지 않지만 만약 정상적으로 동작한다면 웹 페이지 영역에 QadWidget 광고 배너가 노출될 수 있습니다.

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Ext
 - IgnoreFrameApprovalCheck = 1

또한 해당 광고 프로그램이 설치된 경우 IgnoreFrameApprovalCheck DWORD값 추가를 통해 Internet Explorer 웹 브라우저 실행시 브라우저 도우미 개체(BHO)로 등록된 "Qad Help Class" 확장 프로그램이 사용자 동의없이 자동으로 추가되도록 알림바가 노출되지 않도록 설정을 변경합니다.

 

"QadSoftware 1.0" 광고 프로그램 삭제 방법

(a) "보조프로그램 → 명령 프롬프트" 메뉴를 "관리자 권한으로 실행"하여 생성된 명령 프롬프트 창에 [sc stop "Qad Update Service"] 명령어를 입력 및 실행하여 메모리에 상주하는 QadUpdateService.exe 서비스 프로세스를 자동 종료하시기 바랍니다.

(b) Windows 작업 관리자를 실행하여 메모리에 상주하는 QadPop.exe 프로세스를 찾아 종료하시기 바랍니다.

(c) 제어판 또는 체크잇(CheckIt : www.checkitinfo.com) 프로그램에 등록된 "QadSoftware 1.0" 삭제 항목을 실행하여 프로그램 삭제를 진행하시기 바랍니다.

 

(d) 레지스트리 편집기(regedit)를 실행하여 삭제되지 않은 QadPop.exe 문자열을 찾아 삭제하시기 바랍니다.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - QadPop.exe = C:\Program Files (x86)\QadSoftware\QadPop.exe

 

[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Ext
 - IgnoreFrameApprovalCheck = 1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0BF5485E-4258-41A4-B90D-705B2CB9F4EE}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{679A2DA4-FC34-4EEA-BB35-511051A52938}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{679A2DA6-FC34-4EEA-BB35-511051A52938}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{62AE159E-9B36-4DDC-89C3-DA1D101742E5}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{679A2DA4-FC34-4EEA-BB35-511051A52938}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{679A2DA5-FC34-4EEA-BB35-511051A52938}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{7948FBF8-D94D-4F4E-B9C9-C8EA8B1FC58C}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{891B8EDC-8321-45BE-9288-69F8B4C2814D}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SAMILACTIVEX.SamilActiveXCtrl.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{64F86C30-BC54-4559-84EF-C73711EF2D13}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{679A2DA3-FC34-4EEA-BB35-511051A52938}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\QadSoftware
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - QadPop.exe = C:\Program Files (x86)\QadSoftware\QadPop.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\QadSoftware
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\Browser Helper Objects\{0BF5485E-4258-41A4-B90D-705B2CB9F4EE}
HKEY_LOCAL_MACHINE\SOFTWARE\QadSoftware
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Qad Update Service

 

"QadSoftware 1.0" 광고 프로그램은 특정 인터넷 쇼핑몰 홍보 목적으로 제작된 것으로 보이지만, 프로그램 설치로 인하여 정상적인 웹 브라우저 확장 프로그램 알림 기능을 변경하여 프로그램 제거 이후에도 사용자가 인지하지 못하게 확장 프로그램 추가가 이루어지므로 주의하시기 바랍니다.

신고
블로그 이미지

벌새

울지않는벌새가 되고 싶은 나..