본문 바로가기

벌새::Analysis

검색 도우미 : 사이드그린(SideGreen)

728x90
반응형
● 1차 작성 : 2009년 12월 21일
● 2차 작성 : 2010년 6월 8일 - 분석 내용 추가

국내에서 제작된 검색 도우미 사이드그린(SideGreen) 프로그램에 대해 살펴보도록 하겠습니다.
 

해당 프로그램은 이전에 살펴본 웹하드 서비스의 제휴(스폰서) 프로그램 등의 다양한 설치 경로를 가지고 있는 것으로 보입니다.

 

[관련 URL 정보]

h**p://file.side*****.com/distribution/sidegreen_06_5.exe
h**p://search.side*****.com/elist.ini
h**p://search.side*****.com/install.asp?version=1.0.0.2&id=A_P_SB_green06_5&mac=(사용자 Mac Address)
h**p://search.side*****.com/update/A_P_SB_green06_5/SideGreen.ini
h**p://search.side*****.com/update/A_P_SB_green06_5/SGU_SG07.exe
h**p://search.side*****.com/uninstall.asp?version=1.0.0.2&id=A_P_SB_green06_5&mac=(사용자 Mac Address)

해당 프로그램은 Windows 시작시 SideGreen.exe 파일을 시작 프로그램으로 등록하여 자동 실행되며, 해당 파일이 메모리에 상주하면서 자식 프로세스로 [(사용자 계정)\Local Settings\Temp] 폴더에 위치한 SGU_SG07.exe 파일과 함께 상주하도록 구성되어 있습니다.

[SideGreen.exe 프로세스 네트워크 연결 정보]

GET /elist.ini HTTP/1.1
If-Modified-Since: Fri, 16 Apr 2010 05:28:14 GMT
If-None-Match: "0ab579c25ddca1:663"
User-Agent: session
Host: search.sidegreen.com

GET /update/A_P_SB_green06_5/SideGreen.ini HTTP/1.1
User-Agent: Session
Host: search.sidegreen.com
Cache-Control: no-cache

GET /update/A_P_SB_green06_5/SGU_SG07.exe HTTP/1.1
If-Modified-Since: Mon, 08 Mar 2010 09:08:18 GMT
If-None-Match: "0ed6de49ebeca1:78d"
User-Agent: session
Host: search.sidegreen.com

프로그램의 기본 동작 원리는 Internet Explorer를 통하여 특정 검색 사이트의 검색 결과를 클릭하였을 경우, 탭(Tab) 브라우저 방식이 아닌 새 창 방식으로 사이트를 열며 웹 브라우저 좌측에 추천 사이트 등을 표시하는 사이드바를 생성하는 것을 확인할 수 있습니다.

참고로 사용자는 해당 사이드바 하단의 [SIDEGREEN] 명칭을 통해 프로그램을 구분할 수 있습니다.

해당 사이드바에서 제공하는 추천 사이트 링크는 그림과 같은 광고 코드가 추가되어 있는 것을 확인할 수 있습니다.

사용자는 Internet Explorer에서 제공하는 추가 기능 관리에서 [nbiz Ltd.] 게시자로 등록된 [SGHelperCtl Class, 사이드그린] 항목을 통해 추가적으로 확인할 수 있습니다.

프로세스 정보를 살펴보면 메모리에 상주하는 SideGreen.exe  프로세스의 자식 프로세스로 SGU_SG07.exe 프로세스가 상주하며, 사용자가 Internet Explorer를 실행하였을 경우 iexplore.exe 프로세스에 SGHelper.dll 파일을 BHO 방식으로 추가하여 동작하는 것을 확인할 수 있습니다.

추가적으로 사용자가 웹 브라우저를 사용한 후 닫을 경우에 사용자 몰래 다음과 같은 동작을 확인할 수 있습니다.

[SGU_SG07.exe 네트워크 연결 정보]

h**p://search.side*****.com/update//SideGreen.ini
h**p://search.side*****.com/update/SGU1006.exe


해당 내용은 메모리에 상주하던 SGU_SG07.exe 프로세스가 웹 브라우저 종료시 특정 서버에 연결하여 프로그램 업데이트 정보를 체크하며 SGU1006.exe (MD5 : d4c195518b8e7046334c9ec1dfe64132) 파일을 다운로드하는 동작을 확인할 수 있었습니다.

해당 파일은 [C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\SGU1006.exe] 경로에 위치하게 되며, 안철수연구소(AhnLab) V3 보안 제품에서는 Malware/Win32.Generic 진단명으로 사전 진단을 하는 것을 확인할 수 있습니다.

프로그램 삭제시에는 작업 관리자에서 SideGreen.exe / SGU_SG07.exe 2개의 프로세스를 수동으로 종료하시기 바라며, 반드시 Internet Explorer를 종료한 상태에서 제어판의 [SideGreen] 삭제 항목을 이용하여 삭제하실 수 있습니다.

프로그램 삭제 후에는 추가적으로 다음의 폴더와 파일을 수동으로 삭제하시기 바랍니다.

C:\Program Files\SideGreen
C:\Program Files\SideGreen\SideGreen.dll
C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\SGU1006.exe
C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\SGU_SG07.exe
C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\sidegreen_06_5.exe

 

[생성 레지스트리 등록 정보]

HKEY_CLASSES_ROOT\CLSID\{70D3BE02-1283-4DDC-B0AD-87D46C027314}
HKEY_CLASSES_ROOT\CLSID\{883FE5C4-2997-4C0E-ACCF-3019EE76E091}
HKEY_CLASSES_ROOT\Interface\{6666811B-475A-467C-8670-2C1FED05E291}
HKEY_CLASSES_ROOT\Interface\{8CE3EC48-E7E1-4C6F-AC10-4D3F29443623}
HKEY_CLASSES_ROOT\SGHelper.SGHelperCtl
HKEY_CLASSES_ROOT\SGHelper.SGHelperCtl.1
HKEY_CLASSES_ROOT\SideGreen.SGBand
HKEY_CLASSES_ROOT\SideGreen.SGBand.1
HKEY_CLASSES_ROOT\TypeLib\{3D6A3D77-32E5-47CC-8C2E-A179648EE26E}
HKEY_CLASSES_ROOT\TypeLib\{D63B3AE2-A7C4-41C0-9DCB-9693F2113105}
HKEY_CURRENT_USER\Software\SideGreen
HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{70D3BE02-1283-4DDC-B0AD-87D46C027314}
HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Run
 - SideGreen = C:\Program Files\SideGreen\SideGreen.exe
HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Uninstall\SideGreen


해당 프로그램이 설치된 환경에서는 프로그램 목록에 제시되지 않는 문제로 인하여 웹 브라우저 상에서 동작하는 사이드바를 통해 일반 사용자들이 쉽게 확인하기 어려운 점이 있습니다.

그러므로 인터넷 상에서 국내에서 제공하는 프로그램을 설치하실 때에는 제휴(스폰서) 프로그램으로 추가되는 항목을 잘 살펴서 설치하시기 바랍니다.

728x90
반응형