본문 바로가기

벌새::Analysis

검색 도우미 : 인터넷정보둘 (InternetInfos)

728x90
반응형
미디어클릭(MediaClick) 업체에서 제공하는 검색 도우미 인터넷정보둘(InternetInfos) 툴바에 대해 살펴보도록 하겠습니다.

해당 프로그램은 IE를 통해 포털 사이트에서 검색시 상단, 좌측, 하단에 검색 관련 정보를 제시하는 프로그램으로 소개되어 있습니다.

설치 방식은 해당 배포 사이트에서 제공하는 설치 파일을 이용하여 설치시 어떤 방식으로 설치를 하는지와 설치 후 등록정보를 중심으로 살펴보겠습니다.
초기 제품 설치시 제공되는 이용약관을 통하여 사용자의 동의를 구하고 있습니다. 사용자가 동의를 할 경우 해당 제작사 서버에서 파일을 다운로드를 시도합니다.

[설치시 다운로드 동작]

GET /info/config.php?kind=install&pid=[파트너 아이디]&ver=&addresses=&hdmacid=00402b21b272_&first=y&pp=&ee=y HTTP/1.1
Host: www.favoritesite.kr (211.233.36.24)

GET /info/download/install.zip HTTP/1.1 - 설치 파일 다운로드
Host: www.favoritesite.kr (211.233.36.24)

GET /info/counter.php?counterv=a&kind=i&pid=[파트너 아이디]&uniq=512DC7AF-A715-4edb-A8AD-96CA6CC33E8D&addresses=[설치자 Mac Address]_&hdmacid=[설치자 Mac Address]_&subv=s1&ee=y&sg=n&ver=1001&dllver=1001&pp= HTTP/1.1 - 설치 관련 카운터
Host: www.favoritesite.kr (211.233.36.24)
[생성 파일 정보]

C:\Program Files\internetinfos\internetinfos.dll
C:\Program Files\internetinfos\internetinfos.exe
C:\Program Files\internetinfos\License.txt
C:\Program Files\internetinfos\uninstall.exe
C:\Documents and Settings\[사용자 계정]\Local Settings\Temp\installcheck_home.exe - 설치 파일

C:\Program Files\internetinfos\internetinfos.exe (AhnLab V3 : Win-Trojan/P6021de8e8e.98304)

MD5 : 1ee822713ef071c2bb599f28f4dc5089

설치된 실행 파일(internetinfos.exe)을 국내외 보안제품 일부에서 트로이목마로 진단하고 있는 것을 확인할 수 있습니다.
설치 후 IE상에서 사용자는 [인터넷정보들] 항목을 활성화 시킬 경우 검색어에 따른 툴바 형태의 광고가 동작할 것으로 보입니다.

[시작 프로그램 등록]

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - internetinfos = "C:\Program Files\internetinfos\internetinfos.exe" /run

[BHO 등록]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9B4BDC11-6F46-496C-B5AD-9ABCE613E0A7}

[툴바 등록]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar
 - {192F3139-12F2-4A4B-9EA9-35BF3FDF1222}

※ HKEY_CLASSES_ROOT\CLSID\{192F3139-12F2-4A4B-9EA9-35BF3FDF1222}
 - 기본값 = 인터넷정보들
해당 프로그램의 삭제는 제어판의 [internetInfos - 인터넷정보] 삭제 항목을 이용하여 삭제하실 수 있습니다.

[추가 삭제 파일 정보]

C:\Documents and Settings\[사용자 계정]\Local Settings\Temp\installcheck_home.exe
C:\Documents and Settings\[사용자 계정]\Local Settings\Temp\014[램덤 숫자]_x.exe

[추가 삭제 레지스트리 정보]

HKEY_CURRENT_USER\software\Microsoft\internetinfosdontinstall

해당 프로그램의 경우 삭제 후에도 임시폴더에 설치 파일(해당 파일은 실행시 어떤 정보도 제공하지 않고 재설치 시도)이 존재하므로 반드시 추가적인 삭제가 필요해 보입니다.

다양한 종류의 검색 관련 도우미 프로그램들이 웹 상에 많이 존재하고 사용자가 모르게 또는 인지하기 힘든 형태로 설치되는 경우가 많으므로 이런 경우에는 기본적으로 BHO 정보를 토대로 확인하는 습관이 필요해 보입니다.

728x90
반응형