본문 바로가기

벌새::Analysis

검색 도우미 : 바로고 (Barogo)

반응형
엔에프아이네트웍 업체에서 서비스하는 인터넷 검색 도우미 바로고(Barogo) 툴바에 대해 살펴보도록 하겠습니다.


프로그램의 설치 단계에서는 이용약관을 제공하고 있으며 동의시 설치가 이루어집니다.

테스트 환경에서는 설치 다음 단계의 화면을 제공되지 않으므로 실제 사용자는 해당 툴바가 어느 폴더에 파일을 생성하는지 여부 등에 대해 확인할 수 없으며, 프로그램의 버그인지 해당 화면이 종료가 되지 않는 등의 문제가 발생하는 것을 확인할 수 있었습니다.

생성 폴더, 파일 정보


해당 프로그램의 생성 폴더는 [BPG Search Helper]라는 이름으로 등록되어 있으므로 사용자가 바로고라는 이름으로 검색시 찾기 어렵도록 구성된 느낌입니다.

특히, 프로그램의 삭제를 하기 위해 제어판의 삭제 목록을 찾아보면 해당 프로그램은 존재하지 않으며, 생성된 폴더 내의 uninstaller.exe 삭제 파일은 동작하지 않으므로 사용자는 해당 프로그램이 설치가 되면 삭제를 할 수 없는 문제가 있습니다.

[추가 생성 폴더/파일 등록 정보]

%Temp%\baroband
%Temp%\baroband.zip

[생성 레지스트리 등록 정보]

HKEY_CLASSES_ROOT\AppID\{0A3E751E-BCDB-4E0D-A10D-3FD632472CC9}
HKEY_CLASSES_ROOT\AppID\baroband.DLL
HKEY_CLASSES_ROOT\baroband.barobandBHO
HKEY_CLASSES_ROOT\baroband.barobandBHO.1
HKEY_CLASSES_ROOT\baroband.barobandOBJ
HKEY_CLASSES_ROOT\baroband.barobandOBJ.1
HKEY_CLASSES_ROOT\baroband.barobandVBAR
HKEY_CLASSES_ROOT\baroband.barobandVBAR.1
HKEY_CLASSES_ROOT\BAROBANDI.barobandiCtrl.1
HKEY_CLASSES_ROOT\CLSID\{0B3A53E2-4569-4776-86D4-91E405A29180}
HKEY_CLASSES_ROOT\CLSID\{18F94F12-92CC-4768-B21E-C4E8244958EF}
HKEY_CLASSES_ROOT\CLSID\{1C3C5D3B-5564-40D1-99C8-7DF867B2C4DE}
HKEY_CLASSES_ROOT\CLSID\{35E405A4-F492-4BF7-903D-85CE6EA5E4BB}
HKEY_CLASSES_ROOT\CLSID\{7853EE9D-0A62-40FB-B92F-2E706E5C6026}
HKEY_CLASSES_ROOT\Interface\{5EB8E674-4E46-4FE4-BB69-22EE4B8E9E43}
HKEY_CLASSES_ROOT\Interface\{6BBC317F-B05A-4D23-AC64-4BE4938E8FFA}
HKEY_CLASSES_ROOT\Interface\{8B98264E-9B0C-4EC6-ACB6-65E43997017D}
HKEY_CLASSES_ROOT\Interface\{A30AE4C5-4198-4185-9DE9-FE87C9D24363}
HKEY_CLASSES_ROOT\Interface\{BFF87581-B7DE-4D70-8FCC-A486B2678066}
HKEY_CLASSES_ROOT\TypeLib\{33361E51-1050-40AA-8778-8383CD4382D0}
HKEY_CLASSES_ROOT\TypeLib\{F1F27B00-6766-49E6-97DB-2E511854681C}
HKEY_CURRENT_USER\Software\baroband
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks
 - {35E405A4-F492-4BF7-903D-85CE6EA5E4BB}
HKEY_LOCAL_MACHINE\SOFTWARE\baroband
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{0B3A53E2-4569-4776-86D4-91E405A29180}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{35E405A4-F492-4BF7-903D-85CE6EA5E4BB}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - baroband = C:\Program Files\BPG Search Helper\webupate.exe


[기본 검색 공급자 추가 등록 정보]

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks
 - {35E405A4-F492-4BF7-903D-85CE6EA5E4BB}


해당 프로그램이 설치된 상태에서 Internet Explorer를 실행하면 초기에 기본 검색 공급자를 [BaroSearch]로 변경할지 여부를 묻고 있습니다. 특히 해당 검색은 ILikeClick 제휴 마케팅과 연결이 되어 있으므로 해당 검색 공급자를 이용하여 검색시 해당 프로그램 배포자의 수익으로 연결된 여지가 존재해 보입니다.


[BHO 등록 정보]

HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{0B3A53E2-4569-4776-86D4-91E405A29180}
※ HKEY_CLASSES_ROOT\CLSID\{0B3A53E2-4569-4776-86D4-91E405A29180}

HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{35E405A4-F492-4BF7-903D-85CE6EA5E4BB}
※ HKEY_CLASSES_ROOT\CLSID\{35E405A4-F492-4BF7-903D-85CE6EA5E4BB}

해당 검색 도우미의 기본적인 동작 방식은 검색 사이트에서 특정 검색어를 통해 제공되는 링크를 클릭시 사이트의 좌측에 [BaroBand]라는 검색창이 즐겨찾기 부분에 생성되고 있는 것을 확인할 수 있습니다.


만약 사용자가 좌측에 생성된 검색 링크를 클릭을 할 경우에는 해당 사이트로 바로 연결되는 것이 아니라 오버추어(Overture) 온라인 광고 등록 링크를 경유하여 접근하는 것을 확인할 수 있습니다. 이 부분 역시 사용자가 해당 검색 링크를 통해 특정 사이트에서 수익을 발생시키면 해당 프로그램 배포자에게 금전적으로 연결되리라 생각됩니다.

특히 이렇게 초기 좌측 광고 검색 결과를 클릭하여 새롭게 생성된 창의 BaroBand 검색창은 현재 Internet Explorer에서 교차 사이트 스크립팅(XSS) 방지를 위해 차단을 하고 있는 것을 확인할 수 있습니다.

[Microsoft Internet Explorer에서 교차 사이트 스크립팅을 차단하는 이유]

Internet Explorer의 XSS(교차 사이트 스크립팅) 필터는 하나의 웹 사이트가 또 다른 웹 사이트에 스크립트 코드를 추가하지 못하도록 합니다. XSS 필터는 웹 사이트가 상호작용하는 방식을 감시하여 잠재적인 공격을 인지하면 자동으로 스크립트 코드가 실행되지 못하도록 차단합니다. 이런 일이 발생하면 알림 줄에 메시지가 표시되어 개인 정보와 보안을 보호하기 위해 웹 페이지가 변경되었다는 것을 사용자에게 알립니다.

위와 같은 이유로 사실상 해당 프로그램은 보안적으로 문제가 있을 수 있다고 판단됩니다.

해당 프로그램은 삭제가 제대로 지원되지 않도록 구성되어 있으므로(이 부분은 테스트 환경에서 다를 수 있습니다.) 삭제시에는 모든 프로그램을 종료하신 후, 파일 삭제와 레지스트리 삭제를 병행하시기 바랍니다.

반응형