반응형
스타솔루션 업체에서 서비스하는 검색 도우미 아이큐브(EyeCuve) 사이드바 프로그램에 대해 살펴보도록 하겠습니다.
해당 배포 사이트에서 제공하는 설치 파일은 위와 같이 진단하고 있으므로 참고하시기 바랍니다.
프로그램의 이용약관에서는 Internet Explorer 사이드바 검색 연결 서비스를 하는 것으로 제시하고 있습니다.
실제 프로그램을 설치 완료한 상태에서 생성 파일 중 일부를 국내 보안제품에서 악성코드로 진단하고 있는 것을 확인할 수 있습니다.
설치가 완료된 후 해당 프로그램의 프로세스 동작은 acesp.exe 부모 프로세스에서 eyec.exe 프로세스를 불러오는데 테스트 환경에서는 해당 프로세스를 불러오는 과정에서 Microsoft Visual C++ Runtime Library 에러를 반복적으로 출력하고 있는 것을 확인할 수 있었습니다.
해당 프로그램의 모든 프로세스를 종료한 상태에서도 Internet Explorer를 동작시 해당 프로그램이 BHO 방식으로 동작하는 과정에서 또 다시 해당 프로세스를 불러오지 못하여 에러가 지속적으로 반복되어 사실상 컴퓨터 사용을 방해하는 것으로 보여집니다.
이는 사용자 컴퓨터에 VB 관련 파일이 존재하지 않아서 생기는 현상으로 추정됩니다.
그로 인하여 실제 프로그램이 Internet Explorer 상에서 사이드바의 동작 형태를 확인할 수 없었습니다.
파일 구성 중 acesp.exe 파일의 내부에서는 과거 해당 업체에서 서비스하던 악성코드 치료 프로그램의 업데이트 체크 관련 부분이 여전히 존재하고 있는 것을 확인할 수 있었습니다. 현재 해당 치료 프로그램은 서비스가 종료된 제품으로 추정됩니다.
프로그램의 삭제는 제어판의 [web solution eyecuve] 삭제 항목을 통해 삭제를 지원하고 있습니다. 하지만 해외 유명 보안제품과 국내 보안제품의 진단을 고려한다면 보안제품을 통한 추가적인 검사를 하시길 바랍니다.
이유는 실제 제어판을 통한 삭제 후에도 윈도우 시스템 폴더 내에 존재하는 nProtect 진단 파일 system1024.dll 파일과 삭제 관련 파일 uneye.exe 파일이 삭제되지 않기 때문입니다.
[설치 파일 진단 정보 - MD5 : 071c73dd7c25c230bce5338ffd2113a4 ]
국내 보안제품에서 설치 파일을 진단하지 않는 것은 진단 정책상의 문제로 추정됩니다.
국내 보안제품에서 설치 파일을 진단하지 않는 것은 진단 정책상의 문제로 추정됩니다.
해당 배포 사이트에서 제공하는 설치 파일은 위와 같이 진단하고 있으므로 참고하시기 바랍니다.
프로그램의 이용약관에서는 Internet Explorer 사이드바 검색 연결 서비스를 하는 것으로 제시하고 있습니다.
생성 폴더, 파일 정보
[생성 파일 진단 정보]
C:\WINDOWS\system32\system1024.dll (nProtect : Trojan-Clicker/W32.Agent.95744.H)
C:\WINDOWS\system32\system1024.dll (nProtect : Trojan-Clicker/W32.Agent.95744.H)
실제 프로그램을 설치 완료한 상태에서 생성 파일 중 일부를 국내 보안제품에서 악성코드로 진단하고 있는 것을 확인할 수 있습니다.
설치가 완료된 후 해당 프로그램의 프로세스 동작은 acesp.exe 부모 프로세스에서 eyec.exe 프로세스를 불러오는데 테스트 환경에서는 해당 프로세스를 불러오는 과정에서 Microsoft Visual C++ Runtime Library 에러를 반복적으로 출력하고 있는 것을 확인할 수 있었습니다.
해당 프로그램의 모든 프로세스를 종료한 상태에서도 Internet Explorer를 동작시 해당 프로그램이 BHO 방식으로 동작하는 과정에서 또 다시 해당 프로세스를 불러오지 못하여 에러가 지속적으로 반복되어 사실상 컴퓨터 사용을 방해하는 것으로 보여집니다.
이는 사용자 컴퓨터에 VB 관련 파일이 존재하지 않아서 생기는 현상으로 추정됩니다.
그로 인하여 실제 프로그램이 Internet Explorer 상에서 사이드바의 동작 형태를 확인할 수 없었습니다.
파일 구성 중 acesp.exe 파일의 내부에서는 과거 해당 업체에서 서비스하던 악성코드 치료 프로그램의 업데이트 체크 관련 부분이 여전히 존재하고 있는 것을 확인할 수 있었습니다. 현재 해당 치료 프로그램은 서비스가 종료된 제품으로 추정됩니다.
[BHO 등록 정보]
HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{02168E94-951F-4975-BA58-AA2AFD2F8D48}
- eh Class = C:\WINDOWS\system32\winech.dll
※ HKEY_CLASSES_ROOT\CLSID\{02168E94-951F-4975-BA58-AA2AFD2F8D48}
HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{02168E94-951F-4975-BA58-AA2AFD2F8D48}
- eh Class = C:\WINDOWS\system32\winech.dll
※ HKEY_CLASSES_ROOT\CLSID\{02168E94-951F-4975-BA58-AA2AFD2F8D48}
프로그램의 삭제는 제어판의 [web solution eyecuve] 삭제 항목을 통해 삭제를 지원하고 있습니다. 하지만 해외 유명 보안제품과 국내 보안제품의 진단을 고려한다면 보안제품을 통한 추가적인 검사를 하시길 바랍니다.
이유는 실제 제어판을 통한 삭제 후에도 윈도우 시스템 폴더 내에 존재하는 nProtect 진단 파일 system1024.dll 파일과 삭제 관련 파일 uneye.exe 파일이 삭제되지 않기 때문입니다.
[생성 레지스트리 등록 정보]
HKEY_CLASSES_ROOT\CLSID\{02168E94-951F-4975-BA58-AA2AFD2F8D48}
HKEY_CLASSES_ROOT\CLSID\{2930E756-3FC9-4227-994B-4DD2147031B6}
HKEY_CLASSES_ROOT\CLSID\{610BCC4F-6076-4FEC-B7C1-D4B36D50D8CC}
HKEY_CLASSES_ROOT\E_h.eh
HKEY_CLASSES_ROOT\E_h.eh.1
HKEY_CLASSES_ROOT\EyeCuveBand.ECuveBand
HKEY_CLASSES_ROOT\EyeCuveBand.ECuveBand.1
HKEY_CLASSES_ROOT\EyeCuveBand.UIECuve
HKEY_CLASSES_ROOT\EyeCuveBand.UIECuve.1
HKEY_CLASSES_ROOT\Interface\{48D46BE6-E160-4ADC-9FD5-470B4251E5DE}
HKEY_CLASSES_ROOT\Interface\{60E99017-64F9-4352-90B0-598391FCBDBC}
HKEY_CLASSES_ROOT\Interface\{EC6C4031-683B-4BE5-88C1-6876E01DED5F}
HKEY_CLASSES_ROOT\TypeLib\{8409CE58-97B4-4CB7-B4F0-EDD11D92A69A}
HKEY_CLASSES_ROOT\TypeLib\{E9131D0D-5FA0-47F9-9EAA-45D6AC970AFC}
HKEY_CURRENT_USER\Software\eye
HKEY_LOCAL_MACHINE\software\Classes\CLSID\{02168E94-951F-4975-BA58-AA2AFD2F8D48}
HKEY_LOCAL_MACHINE\software\Classes\CLSID\{2930E756-3FC9-4227-994B-4DD2147031B6}
HKEY_LOCAL_MACHINE\software\Classes\CLSID\{610BCC4F-6076-4FEC-B7C1-D4B36D50D8CC}
HKEY_LOCAL_MACHINE\software\Classes\E_h.eh
HKEY_LOCAL_MACHINE\software\Classes\E_h.eh.1
HKEY_LOCAL_MACHINE\software\Classes\EyeCuveBand.ECuveBand
HKEY_LOCAL_MACHINE\software\Classes\EyeCuveBand.ECuveBand.1
HKEY_LOCAL_MACHINE\software\Classes\EyeCuveBand.UIECuve
HKEY_LOCAL_MACHINE\software\Classes\EyeCuveBand.UIECuve.1
HKEY_LOCAL_MACHINE\software\Classes\Interface\{48D46BE6-E160-4ADC-9FD5-470B4251E5DE}
HKEY_LOCAL_MACHINE\software\Classes\Interface\{60E99017-64F9-4352-90B0-598391FCBDBC}
HKEY_LOCAL_MACHINE\software\Classes\Interface\{EC6C4031-683B-4BE5-88C1-6876E01DED5F}
HKEY_LOCAL_MACHINE\software\Classes\TypeLib\{8409CE58-97B4-4CB7-B4F0-EDD11D92A69A}
HKEY_LOCAL_MACHINE\software\Classes\TypeLib\{E9131D0D-5FA0-47F9-9EAA-45D6AC970AFC}
HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{02168E94-951F-4975-BA58-AA2AFD2F8D48}
HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Run
- eye = C:\Program Files\EyeCuve\eyeinit.exe
HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Uninstall\eye
HKEY_CLASSES_ROOT\CLSID\{02168E94-951F-4975-BA58-AA2AFD2F8D48}
HKEY_CLASSES_ROOT\CLSID\{2930E756-3FC9-4227-994B-4DD2147031B6}
HKEY_CLASSES_ROOT\CLSID\{610BCC4F-6076-4FEC-B7C1-D4B36D50D8CC}
HKEY_CLASSES_ROOT\E_h.eh
HKEY_CLASSES_ROOT\E_h.eh.1
HKEY_CLASSES_ROOT\EyeCuveBand.ECuveBand
HKEY_CLASSES_ROOT\EyeCuveBand.ECuveBand.1
HKEY_CLASSES_ROOT\EyeCuveBand.UIECuve
HKEY_CLASSES_ROOT\EyeCuveBand.UIECuve.1
HKEY_CLASSES_ROOT\Interface\{48D46BE6-E160-4ADC-9FD5-470B4251E5DE}
HKEY_CLASSES_ROOT\Interface\{60E99017-64F9-4352-90B0-598391FCBDBC}
HKEY_CLASSES_ROOT\Interface\{EC6C4031-683B-4BE5-88C1-6876E01DED5F}
HKEY_CLASSES_ROOT\TypeLib\{8409CE58-97B4-4CB7-B4F0-EDD11D92A69A}
HKEY_CLASSES_ROOT\TypeLib\{E9131D0D-5FA0-47F9-9EAA-45D6AC970AFC}
HKEY_CURRENT_USER\Software\eye
HKEY_LOCAL_MACHINE\software\Classes\CLSID\{02168E94-951F-4975-BA58-AA2AFD2F8D48}
HKEY_LOCAL_MACHINE\software\Classes\CLSID\{2930E756-3FC9-4227-994B-4DD2147031B6}
HKEY_LOCAL_MACHINE\software\Classes\CLSID\{610BCC4F-6076-4FEC-B7C1-D4B36D50D8CC}
HKEY_LOCAL_MACHINE\software\Classes\E_h.eh
HKEY_LOCAL_MACHINE\software\Classes\E_h.eh.1
HKEY_LOCAL_MACHINE\software\Classes\EyeCuveBand.ECuveBand
HKEY_LOCAL_MACHINE\software\Classes\EyeCuveBand.ECuveBand.1
HKEY_LOCAL_MACHINE\software\Classes\EyeCuveBand.UIECuve
HKEY_LOCAL_MACHINE\software\Classes\EyeCuveBand.UIECuve.1
HKEY_LOCAL_MACHINE\software\Classes\Interface\{48D46BE6-E160-4ADC-9FD5-470B4251E5DE}
HKEY_LOCAL_MACHINE\software\Classes\Interface\{60E99017-64F9-4352-90B0-598391FCBDBC}
HKEY_LOCAL_MACHINE\software\Classes\Interface\{EC6C4031-683B-4BE5-88C1-6876E01DED5F}
HKEY_LOCAL_MACHINE\software\Classes\TypeLib\{8409CE58-97B4-4CB7-B4F0-EDD11D92A69A}
HKEY_LOCAL_MACHINE\software\Classes\TypeLib\{E9131D0D-5FA0-47F9-9EAA-45D6AC970AFC}
HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{02168E94-951F-4975-BA58-AA2AFD2F8D48}
HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Run
- eye = C:\Program Files\EyeCuve\eyeinit.exe
HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Uninstall\eye
[관련글 보기]
2009/05/26 - [벌새::Analysis] - 국내 악성코드 치료 프로그램 - 바이러스코리아 (VirusKorea)
2009/06/08 - [벌새::Analysis] - 국내 악성코드 치료 프로그램 : 뉴백신 (New Vaccine)
2009/06/26 - [벌새::Analysis] - 국내 악성코드 치료 프로그램 : 홈 크린 시스템 (Home Clean System)
2009/07/28 - [벌새::Analysis] - 검색 도우미 : 윈도우즈 헬퍼 (Windows Helper)
2009/06/15 - [벌새::Computer & IT] - 지워지지 않는 프로그램 삭제 기본 원리
2009/05/26 - [벌새::Analysis] - 국내 악성코드 치료 프로그램 - 바이러스코리아 (VirusKorea)
2009/06/08 - [벌새::Analysis] - 국내 악성코드 치료 프로그램 : 뉴백신 (New Vaccine)
2009/06/26 - [벌새::Analysis] - 국내 악성코드 치료 프로그램 : 홈 크린 시스템 (Home Clean System)
2009/07/28 - [벌새::Analysis] - 검색 도우미 : 윈도우즈 헬퍼 (Windows Helper)
2009/06/15 - [벌새::Computer & IT] - 지워지지 않는 프로그램 삭제 기본 원리
728x90
반응형