728x90
반응형
국내에서 제작된 검색 도우미 Windows Search Helper Adtrigger 프로그램에 대해 살펴보도록 하겠습니다.
해당 프로그램의 설치 파일(MD5 : 8bddc3428d999c4d5744c384b15d6041)에 대하여 안철수연구소(AhnLab) V3 보안 제품에서는 Downloader/Win32.Adload (VirusTotal : 9/41) 진단명으로 진단하고 있으므로 참고하시기 바랍니다.
해당 프로그램은 일반적인 프로그램의 설치 위치와는 다르게 [C:\Documents and Settings\(사용자 계정)\Application Data\Adtrigger] 폴더에 프로그램을 설치하고 있으며, 프로그램 목록에도 제시되지 않는 문제로 사용자가 프로그램 설치 폴더 확인이 매우 어렵습니다.
Windows 시작시 Adtrigger.exe 파일을 시작 프로그램으로 등록하여 자동 실행되며, 실행된 파일은 업데이트 정보를 체크하고 자동으로 종료하도록 구성되어 있습니다.
이런 동작은 사용자가 Internet Explorer 실행시 자동으로 ADTV.exe 파일이 자동으로 실행되면서 특정 서버와 연결하여 키워드 관련 정보를 다운로드하면서 동작하는 것으로 추정됩니다.
현재 해당 프로그램의 경우 대출 관련 광고가 대부분을 차지하므로 자신의 컴퓨터에서 대출 관련 팝업 광고가 출력된다면 확인을 해보시기 바랍니다.
해당 프로그램의 설치 파일(MD5 : 8bddc3428d999c4d5744c384b15d6041)에 대하여 안철수연구소(AhnLab) V3 보안 제품에서는 Downloader/Win32.Adload (VirusTotal : 9/41) 진단명으로 진단하고 있으므로 참고하시기 바랍니다.
[생성 파일 진단 정보]
C:\Documents and Settings\(사용자 계정)\Application Data\Adtrigger.exe (AhnLab V3 : Win-Trojan/Downloader.567296.B)
C:\Documents and Settings\(사용자 계정)\Application Data\Adtrigger.exe (AhnLab V3 : Win-Trojan/Downloader.567296.B)
해당 프로그램은 일반적인 프로그램의 설치 위치와는 다르게 [C:\Documents and Settings\(사용자 계정)\Application Data\Adtrigger] 폴더에 프로그램을 설치하고 있으며, 프로그램 목록에도 제시되지 않는 문제로 사용자가 프로그램 설치 폴더 확인이 매우 어렵습니다.
Windows 시작시 Adtrigger.exe 파일을 시작 프로그램으로 등록하여 자동 실행되며, 실행된 파일은 업데이트 정보를 체크하고 자동으로 종료하도록 구성되어 있습니다.
[Adtrigger.exe 네트워크 연결 정보]
GET /update.php HTTP/1.1
Content-Type: text/html
Host: update.adtrigger.net
Accept: text/html, */*
User-Agent: Mozilla/3.0 (compatible; Indy Library)
GET /update.php HTTP/1.1
Content-Type: text/html
Host: update.adtrigger.net
Accept: text/html, */*
User-Agent: Mozilla/3.0 (compatible; Indy Library)
이런 동작은 사용자가 Internet Explorer 실행시 자동으로 ADTV.exe 파일이 자동으로 실행되면서 특정 서버와 연결하여 키워드 관련 정보를 다운로드하면서 동작하는 것으로 추정됩니다.
[ADTV.exe 네트워크 연결 정보]
GET /keyword_version.php HTTP/1.1
Content-Type: text/html
Host: update.adtrigger.net
Accept: text/html, */*
User-Agent: Mozilla/3.0 (compatible; Indy Library)
GET /keyword_version.php HTTP/1.1
Content-Type: text/html
Host: update.adtrigger.net
Accept: text/html, */*
User-Agent: Mozilla/3.0 (compatible; Indy Library)
[생성 레지스트리 등록 정보]
HKEY_CLASSES_ROOT\CLSID\{F0993EF5-49FA-4055-A38B-5C044D7AA785}
HKEY_CURRENT_USER\Software\Adtrigger
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- Adtrigger = C:\Documents and Settings\(사용자 계정)\Application Data\Adtrigger\Adtrigger.exe
HKEY_CURRENT_USER\Software\noAdtrigger
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\Adtrigger
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{F0993EF5-49FA-4055-A38B-5C044D7AA785}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Adtrigger
HKEY_CLASSES_ROOT\CLSID\{F0993EF5-49FA-4055-A38B-5C044D7AA785}
HKEY_CURRENT_USER\Software\Adtrigger
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- Adtrigger = C:\Documents and Settings\(사용자 계정)\Application Data\Adtrigger\Adtrigger.exe
HKEY_CURRENT_USER\Software\noAdtrigger
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\Adtrigger
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{F0993EF5-49FA-4055-A38B-5C044D7AA785}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Adtrigger
현재 해당 프로그램의 경우 대출 관련 광고가 대부분을 차지하므로 자신의 컴퓨터에서 대출 관련 팝업 광고가 출력된다면 확인을 해보시기 바랍니다.
728x90
반응형