국내에서 제작된 검색 도우미 Yahoo Helper 프로그램에 대해 살펴보도록 하겠습니다.
해당 프로그램의 설치 파일(MD5 : 20ef12fd1e62adf20f79fbdddc36aae2)은 마치 야후(Yahoo) 업체에서 제작한 정상적인 프로그램처럼 보이도록 구성하였으며, 설치 과정에서 프로그램에 대한 이용약관 등의 정보를 제공하지 않고 설치가 이루어지고 있습니다.
참고로 nProtect보안제품에서 Trojan-Downloader/W32.Agent.595737 진단명으로 진단을 하고 있는 것을 확인할 수 있습니다. 생성 폴더, 파일 정보해당 프로그램은 윈도우 시작시 yahoohup.exe 파일을 시작 프로그램으로 등록하여 업데이트 관련 정보를 체크하도록 구성되어 있습니다. yahoohup.exe 파일은 yahooh.exe 파일을 로딩하며 자신은 스스로 종료를 하며, yahooh.exe 프로세스는 메모리에 상주하여 사용자 Internet Explorer를 이용시 동작하도록 구성되어 있습니다.
해당 프로그램의 기본 동작을 살펴보기에 앞서서 정상적인 환경에서 야후 메인 페이지에 접속하여 검색창에 [옥션] 검색어를 입력하여 나온 결과를 확인해 보도록 하겠습니다. 검색 결과창의 주소 표시줄에서는 [kr.search.yahoo.com]으로 시작하는 URL 정보를 포함하고 있으며, 검색 결과 우측에는 [네티즌 추천 검색어]와 [추천 트랜드 검색] 정보를 제공하는 것을 확인할 수 있습니다. 하지만 Yahoo Helper 프로그램이 설치된 환경에서 사용자가 Internet Explorer 주소 표시줄에 [옥션]이라고 입력시 무조건 야후 사이트 검색 결과를 보여주도록 구성되어 있습니다.
해당 검색 결과는 야후 사이트에서 제공하는 정상적인 정보를 하단으로 배치하고 프로그램 배포자가 구성한 콘텐츠를 상단에 배치하여 사용자들이 해당 링크로 접근하도록 구성하고 있습니다.
해당 콘텐츠 정보에는 모두 특정 온라인 광고 코드가 포함되어 있으며, 해당 링크로 접근하여 회원 가입, 물품 구매 행위시 프로그램 배포자에게 수익을 배분하도록 되어 있으리라 추정됩니다.
우측 사이드에도 야후에서 제공하는 정보를 하단에 배치하고 [샵박스] 광고를 추가하여 수익을 창출하고 있습니다.
일반적으로 유명 검색 사이트에서 제공하는 경우에는 사용자들이 상단 배치 광고를 잘 이용한다는 점을 노려 검색 결과를 프로그램을 통해 변조하는 방식으로 사용자를 기만하는 것으로 보이므로 해당 프로그램이 설치되어 있는 분들은 반드시 삭제하시기 바랍니다. 프로그램 삭제시에는 반드시 작업 관리자에서 yahooh.exe 프로세스를 수동으로 종료한 상태로 제어판의 [Yahoo Helper] 삭제 항목을 이용하여 삭제하실 수 있습니다.
