본문 바로가기

벌새::Analysis

검색 도우미 : HPLineGudie

국내에서 제작된 검색 도우미 HPLineGudie 프로그램에 대해 살펴보도록 하겠습니다.

해당 프로그램의 설치 파일(MD5 : 167ba46a8dbe461e538e2969fce826af)에 대하여 하우리 바이로봇(Hauri ViRobot) 보안제품에서는 Trojan.Win32.Downloader.96768.AV 진단명으로 진단을 하고 있습니다.

생성 폴더, 파일 정보


[생성 파일 진단 정보]

C:\Program Files\hplineguide\Uninstall.exe (ViRobot : Trojan.Win32.Agent.116736.M)
C:\Program Files\kvnc\kvnc.dll (Sophos : Mal/BHO-J)
%Temp%\ch.exe (ViRobot : Trojan.Win32.Downloader.557056.I)

해당 프로그램은 설치시 사용자에게 어떠한 화면 정보도 제공하지 않고 설치가 되고 있으며, 프로그램 설치시 임시 폴더에 ch.exe 파일을 통해 사용자 몰래 kvnc 프로그램을 추가로 설치하는 것을 확인할 수 있습니다.

이러한 부분은 이전에 살펴본 HanLineGuide 프로그램과 동일하므로 kvnc 프로그램 관련 다운로드 정보는 여기에서는 생략하겠습니다.

프로그램이 설치된 환경에서 사용자가 Internet Explorer를 실행하여 특정 사이트에서 검색을 시도할 경우, 사용자 키워드를 감시하여 그림과 같이 웹 브라우저 하단에 추천 사이트 광고창을 생성하여 금전적 이득을 취하고 있습니다.

특히 해당 광고 출력 화면에서는 어떤 프로그램으로 인한 부분인지 정보를 제공하지 않으므로 사용자는 프로그램 삭제시 어려움이 예상됩니다.

세부적으로 살펴보면 사용자가 Internet Explorer를 실행시 iexplore.exe 프로세스에 hplineguide.dll / kvnc.dll 2개의 파일을 BHO 방식으로 추가하여 사용자가 검색어를 입력시 해당 프로그램에서 제공하는 광고 정보를 생성하도록 구성되어 있습니다.

hplineguide.dll

해당 파일 내부를 살펴보면 프로그램에 등록된 사이트에서 검색 키워드를 프로그램에서 제공하는 광고와 매치되는 부분이 발생시 광고창을 생성하여 사용자가 해당 광고를 통해 접근하여 회원 가입, 물품 구매시 프로그램 제작자에게 금전적 이득이 발생할 것으로 보입니다.

프로그램 삭제시에는 반드시 Internet Explorer를 비롯한 모든 프로그램을 종료한 상태에서 제어판의 [hplineguide] 삭제 항목을 이용하여 삭제하실 수 있습니다.

하지만 추가적으로 설치된 [kvnc uninstall] 삭제 항목은 실제 삭제를 시도할 경우 삭제가 완료되었다는 메시지는 나오지만 전혀 삭제가 되지 않는 현상이 발생하므로 수동으로 삭제를 하셔야 합니다.

[HPLineGuide : 생성 레지스트리 등록 정보]

HKEY_CLASSES_ROOT\AppID\hplineguide.DLL
HKEY_CLASSES_ROOT\AppID\{2B7F0C19-7B19-40EF-AECA-934E85F943EA}
HKEY_CLASSES_ROOT\CLSID\{24E215C3-30F9-4B30-A30B-2E4A68C85BFA}
HKEY_CLASSES_ROOT\hplineguide.hplineguide
HKEY_CLASSES_ROOT\hplineguide.hplineguide.1
HKEY_CLASSES_ROOT\Interface\{ADE7C251-33AC-4927-9767-0E6873C8A56E}
HKEY_CLASSES_ROOT\TypeLib\{233F5293-F1F9-4237-8E03-A6A3ADF47BA6}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{24E215C3-30F9-4B30-A30B-2E4A68C85BFA}

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
hplineguide


[kvnc : 생성 레지스트리 등록 정보]

HKEY_CLASSES_ROOT\CLSID\{19AA4A41-8064-47E9-945B-4FA918C993FE}
HKEY_CLASSES_ROOT\kvnc.cnoycn1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{19aa4a41-8064-47e9-945b-4fa918c993fe}

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
kvnc uninstall