반응형
국내에서 제작된 검색 도우미 관련 프로그램 인홀드바(Inholdbar) 제품에 대해 살펴보도록 하겠습니다.
제작사에서 제공하는 설치 파일의 경우 국내 보안업체 하우리(Hauri)에서 애드웨어(Adware)로 진단하고 있는 것을 확인할 수 있었습니다.
해당 프로그램의 기본적인 동작 방식은 윈도우 시작시 시작 프로그램으로 등록된 Inholdbar.exe 파일이 실행되면서 사용자 계정의 임시 폴더에 위치한 InholdbarUpdate.exe 파일을 통하여 업데이트 정보를 확인하는 것으로 보입니다.
사용자가 Internet Explorer를 동작할 경우 그림과 같이 BHO 방식으로 iexplore.exe 프로세스에 Inholdbar.dll 모듈이 삽입되어 사용자가 검색하는 정보를 통해 추천 사이트를 제시하는 방식을 가지고 있습니다.
프로그램에서는 기본적으로 삭제를 위해 제어판의 [Inholdbar] 삭제 항목을 제공하고 있습니다. 하지만 프로그램 삭제를 정상적으로 지원한다고 악성코드가 아닐 수는 없습니다.
해당 프로그램을 수동으로 삭제하실 때에는 프로그램의 성격상 Internet Explorer를 완전히 종료한 상태에서 해당 프로그램의 프로세스를 수동으로 종료한 후 삭제를 하시기 바랍니다.
참고로 해당 프로그램은 근래 국내에서 유포되는 악성코드에 감염된 경우 사용자의 동의없이 설치되는 방식으로 배포가 되고 있는 것으로 추정되므로 주의하시기 바랍니다.
[설치 파일 진단 정보 - MD5 : 6f714a12b5c951d9561b80f2fab1783d]
제작사에서 제공하는 설치 파일의 경우 국내 보안업체 하우리(Hauri)에서 애드웨어(Adware)로 진단하고 있는 것을 확인할 수 있었습니다.
생성 폴더, 파일 정보
[생성 파일 진단 정보]
C:\Program Files\Inholdbar\Inholdbar.dll (ViRobot : Adware.IHBar.155648)
C:\Program Files\Inholdbar\Inholdbar.exe (ViRobot : Adware.IHBar.327680)
%Temp%\InholdbarUpdate.exe (ViRobot : Adware.IHBar.210944)
C:\Program Files\Inholdbar\Inholdbar.dll (ViRobot : Adware.IHBar.155648)
C:\Program Files\Inholdbar\Inholdbar.exe (ViRobot : Adware.IHBar.327680)
%Temp%\InholdbarUpdate.exe (ViRobot : Adware.IHBar.210944)
해당 프로그램의 기본적인 동작 방식은 윈도우 시작시 시작 프로그램으로 등록된 Inholdbar.exe 파일이 실행되면서 사용자 계정의 임시 폴더에 위치한 InholdbarUpdate.exe 파일을 통하여 업데이트 정보를 확인하는 것으로 보입니다.
Internet Explorer 동작시 프로세스 정보
사용자가 Internet Explorer를 동작할 경우 그림과 같이 BHO 방식으로 iexplore.exe 프로세스에 Inholdbar.dll 모듈이 삽입되어 사용자가 검색하는 정보를 통해 추천 사이트를 제시하는 방식을 가지고 있습니다.
프로그램에서는 기본적으로 삭제를 위해 제어판의 [Inholdbar] 삭제 항목을 제공하고 있습니다. 하지만 프로그램 삭제를 정상적으로 지원한다고 악성코드가 아닐 수는 없습니다.
해당 프로그램을 수동으로 삭제하실 때에는 프로그램의 성격상 Internet Explorer를 완전히 종료한 상태에서 해당 프로그램의 프로세스를 수동으로 종료한 후 삭제를 하시기 바랍니다.
[생성 레지스트리 등록 정보]
HKEY_CLASSES_ROOT\AppID\Inholdbar.DLL
HKEY_CLASSES_ROOT\AppID\{879F5ECC-1581-435D-B452-ED96E6A0DAA2}
HKEY_CLASSES_ROOT\CLSID\{BBB5DC65-CF97-402D-AB31-EAFE844D23E5}
HKEY_CLASSES_ROOT\Inholdbar.InholdbarCtl
HKEY_CLASSES_ROOT\Inholdbar.InholdbarCtl.1
HKEY_CLASSES_ROOT\Interface\{9F54F600-AE82-47BF-8164-14A5B32109E3}
HKEY_CLASSES_ROOT\TypeLib\{B133BBFA-5040-4E10-B05B-C4946091186B}
HKEY_CURRENT_USER\software\Inholdbar
HKEY_LOCAL_MACHINE\software\Classes\AppID\Inholdbar.DLL
HKEY_LOCAL_MACHINE\software\Classes\AppID\{879F5ECC-1581-435D-B452-ED96E6A0DAA2}
HKEY_LOCAL_MACHINE\software\Classes\CLSID\{BBB5DC65-CF97-402D-AB31-EAFE844D23E5}
HKEY_LOCAL_MACHINE\software\Classes\Inholdbar.InholdbarCtl
HKEY_LOCAL_MACHINE\software\Classes\Inholdbar.InholdbarCtl.1
HKEY_LOCAL_MACHINE\software\Classes\Interface\{9F54F600-AE82-47BF-8164-14A5B32109E3}
HKEY_LOCAL_MACHINE\software\Classes\TypeLib\{B133BBFA-5040-4E10-B05B-C4946091186B}
HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{BBB5DC65-CF97-402D-AB31-EAFE844D23E5}
HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Run
- Inholdbar = C:\Program Files\Inholdbar\Inholdbar.exe
HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Uninstall\Inholdbar
HKEY_CLASSES_ROOT\AppID\Inholdbar.DLL
HKEY_CLASSES_ROOT\AppID\{879F5ECC-1581-435D-B452-ED96E6A0DAA2}
HKEY_CLASSES_ROOT\CLSID\{BBB5DC65-CF97-402D-AB31-EAFE844D23E5}
HKEY_CLASSES_ROOT\Inholdbar.InholdbarCtl
HKEY_CLASSES_ROOT\Inholdbar.InholdbarCtl.1
HKEY_CLASSES_ROOT\Interface\{9F54F600-AE82-47BF-8164-14A5B32109E3}
HKEY_CLASSES_ROOT\TypeLib\{B133BBFA-5040-4E10-B05B-C4946091186B}
HKEY_CURRENT_USER\software\Inholdbar
HKEY_LOCAL_MACHINE\software\Classes\AppID\Inholdbar.DLL
HKEY_LOCAL_MACHINE\software\Classes\AppID\{879F5ECC-1581-435D-B452-ED96E6A0DAA2}
HKEY_LOCAL_MACHINE\software\Classes\CLSID\{BBB5DC65-CF97-402D-AB31-EAFE844D23E5}
HKEY_LOCAL_MACHINE\software\Classes\Inholdbar.InholdbarCtl
HKEY_LOCAL_MACHINE\software\Classes\Inholdbar.InholdbarCtl.1
HKEY_LOCAL_MACHINE\software\Classes\Interface\{9F54F600-AE82-47BF-8164-14A5B32109E3}
HKEY_LOCAL_MACHINE\software\Classes\TypeLib\{B133BBFA-5040-4E10-B05B-C4946091186B}
HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{BBB5DC65-CF97-402D-AB31-EAFE844D23E5}
HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Run
- Inholdbar = C:\Program Files\Inholdbar\Inholdbar.exe
HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Uninstall\Inholdbar
참고로 해당 프로그램은 근래 국내에서 유포되는 악성코드에 감염된 경우 사용자의 동의없이 설치되는 방식으로 배포가 되고 있는 것으로 추정되므로 주의하시기 바랍니다.
728x90
반응형