본문 바로가기

벌새::Analysis

웹하드 광고 프로그램 : 인포박스(InfoBox)

국내 특정 웹하드 광고를 위해 제작된 것으로 추정되는 인포박스(InfoBox) 프로그램에 대해 살펴보도록 하겠습니다.

해당 프로그램은 국내 특정 웹하드 업체에서 제공되는 설치 파일을 이용하여 설치시 사용자 몰래 추가되는 파일 내부에서 발견할 수 있으며, 실제 설치로 연결이 되었는지는 확인되지 않았지만 정상적인 방식으로 설치되는 방식은 아닌 것으로 추정됩니다.

해당 프로그램의 Setup 설치 파일(MD5 : 9cd9d4d4579bfaf7c8bf5b638d5e36d6)을 통해 확인해보면 설치시 어떠한 화면 정보없이 설치가 이루어지고 있으며, 정상적인 프로그램 설치 위치가 아닌 Windows 시스템 폴더에 위치하므로 사용자가 쉽게 찾지 못하게 할 것으로 추정됩니다.

생성 파일

생성된 파일의 경우 InfoBox5.dll 파일명으로 봐서는 숫자를 통해 더 많은 파일이 존재하였을 경우가 있습니다.

프로그램의 동작 방식은 사용자가 Internet Explorer를 실행할 경우 iexplore.exe 프로세스에 InfoBox5.dll 파일을 BHO 방식으로 추가하여 동작하도록 구성되어 있으므로, 프로그램 목록에 표시되지 않으므로 사용자가 프로그램의 존재를 확인하기 어렵게 구성되어 있습니다.

InfoBox5.dll

해당 파일의 내부 정보를 살펴보면 웹하드 조이하드(JoyHard) 서비스에서 사용자가 특정 검색어를 입력시 프로그램에서 지정한 동작을 취할 것으로 보입니다.

실제 dll 파일 내부에서 지정한 정보를 확인해보면 각종 등록된 키워드를 중심으로 조이하드 파트너(Partner) 아이디로 연결이 되도록 구성되어 있는 것을 확인할 수 있으며, 확인된 아이디는 2개가 존재합니다.

해당 [adulttool] 파트너 아이디로 접속을 시도할 경우 해당 웹하드 서비스의 특정 페이지로 연결이 되며, 다양한 성인물을 통해 회원 가입을 유도하는 것을 확인할 수 있습니다.

개인적으로 웹하드 서비스를 전혀 이용하지 않아서 동작 여부를 제대로 확인할 수 없었지만, 프로그램 상으로 이해를 해보면 사용자가 해당 웹하드 서비스의 검색을 통해 프로그램에서 지정한 키워드로 검색시 해당 파트너 아이디로 등록된 광고 페이지로 이동하고 제시된 영화 목록을 보기 위해 접속을 시도할 경우 쿠키(Cookie) 파일이 파트너 아이디를 등록하여 추천인 아이디 방식으로 회원 가입시 이용될 것으로 보입니다.

또 하나의 동작 방식은 사용자가 국내 포털 사이트 등에서 검색을 시도할 경우, 그림과 같이 우측 상단에 [인포박스] 광고창을 생성하여 광고창 클릭을 통한 조이박스 웹하드 서비스로의 유도 동작을 확인할 수 있었습니다.

인포박스 광고창을 통한 연결시에는 바로 연결되는 것이 아니라 [o-k-g-o.com] 호스트(Host)를 경유하여 조이박스에 접속이 되며, 접속시 [tool] 파트너 아이디로 접속되는 것을 확인할 수 있습니다.

해당 경유 호스트는 특정 개인이 등록한 것이지만, 앞서 말한 것처럼 조이하드에서 제공하는 설치 파일 내부에 존재하는 파일에서 확인된 프로그램인 인포박스를 통해 동작하므로 실제로는 업체와 연관된 아이디로 추정됩니다.

조이하드 프로그램에 대한 분석은 링크를 참고하시기 바라며, 이렇게 설치된 인포박스는 다음의 절차에 따라 삭제를 하시기 바랍니다.

프로그램을 삭제할 때에는 반드시 Internet Explorer를 비롯한 모든 프로그램을 종료한 상태에서 제어판의 [인포박스] 삭제 항목을 이용하여 삭제하실 수 있습니다.

[생성 레지스트리 등록 정보]

HKEY_CLASSES_ROOT\AppID\InfoBox5.DLL
HKEY_CLASSES_ROOT\AppID\{4274B626-746A-4165-9FBB-B1B53698BB53}
HKEY_CLASSES_ROOT\CLSID\{4E3BCFEE-3B44-4558-9B1E-6B16098A1EDC}
HKEY_CLASSES_ROOT\Interface\{967FF89B-6AFD-4AE9-A51B-78B1F4109182}
HKEY_CLASSES_ROOT\JSideBar.MyBHO
HKEY_CLASSES_ROOT\JSideBar.MyBHO.1
HKEY_CLASSES_ROOT\TypeLib\{607EF6F4-200F-46B4-8AB3-B7364D6E9EB4}
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow
 - o-k-g-o.com
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\o-k-g-o.com
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{4E3BCFEE-3B44-4558-9B1E-6B16098A1EDC}

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
인포박스