검색 도우미 : Windows Search Helper Adtrigger 울지않는벌새 : Security, Movie & Society

국내에서 제작된 검색 도우미 Windows Search Helper Adtrigger 프로그램에 대해 살펴보도록 하겠습니다.

프로그램 설치시 제공되는 이용약관에서는 라보니 멀티미디어 패키지(Robbni Pack) 프로그램으로 소개되어 있지만, 실제 설치된 프로그램에서는 전혀 다른 이름으로 설치가 되므로 프로그램 확인이 어렵지 않나 생각됩니다.

해당 프로그램의 설치 파일(MD5 : 8bddc3428d999c4d5744c384b15d6041)에 대하여 안철수연구소(AhnLab) V3 보안 제품에서는 Downloader/Win32.Adload (VirusTotal : 9/41) 진단명으로 진단하고 있으므로 참고하시기 바랍니다.

[생성 파일 진단 정보]

C:\Documents and Settings\(사용자 계정)\Application Data\Adtrigger.exe (AhnLab V3 : Win-Trojan/Downloader.567296.B)

해당 프로그램은 일반적인 프로그램의 설치 위치와는 다르게 [C:\Documents and Settings\(사용자 계정)\Application Data\Adtrigger] 폴더에 프로그램을 설치하고 있으며, 프로그램 목록에도 제시되지 않는 문제로 사용자가 프로그램 설치 폴더 확인이 매우 어렵습니다.

Windows 시작시 Adtrigger.exe 파일을 시작 프로그램으로 등록하여 자동 실행되며, 실행된 파일은 업데이트 정보를 체크하고 자동으로 종료하도록 구성되어 있습니다.

[Adtrigger.exe 네트워크 연결 정보]

GET /update.php HTTP/1.1
Content-Type: text/html
Host: update.adtrigger.net
Accept: text/html, */*
User-Agent: Mozilla/3.0 (compatible; Indy Library)

프로그램이 설치된 환경에서의 기본적인 동작은 사용자가 Internet Explorer를 통해 특정 검색을 시도할 경우 웹 브라우저 상단에 노란바를 통해 추천 사이트 정보를 제공하고 있습니다.

또한 추가적으로 시스템 트레이 상단에 좌측 그림과 같은 [애드트리거] 대출 관련 광고 팝업창을 생성하는 동작을 확인할 수 있습니다.

이런 동작은 사용자가 Internet Explorer 실행시 자동으로 ADTV.exe 파일이 자동으로 실행되면서 특정 서버와 연결하여 키워드 관련 정보를 다운로드하면서 동작하는 것으로 추정됩니다.

[ADTV.exe 네트워크 연결 정보]

GET /keyword_version.php HTTP/1.1
Content-Type: text/html
Host: update.adtrigger.net
Accept: text/html, */*
User-Agent: Mozilla/3.0 (compatible; Indy Library)

프로세스 정보를 살펴보면 Internet Explorer를 실행할 경우 iexplore.exe 프로세스에 Adtrigger.dll 파일을 BHO 방식으로 추가하여 동작하는 것을 확인할 수 있습니다.

해당 프로그램을 삭제하실 때에는 반드시 작업 관리자에서 ADTV.exe 프로세스를 수동으로 종료하시기 바라며, Internet Explorer를 비롯한 모든 프로그램을 종료한 상태에서 제어판의 [Windows Search Helper Adtrigger] 삭제 항목을 이용하여 삭제하시기 바랍니다.

[생성 레지스트리 등록 정보]

HKEY_CLASSES_ROOT\CLSID\{F0993EF5-49FA-4055-A38B-5C044D7AA785}
HKEY_CURRENT_USER\Software\Adtrigger
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- Adtrigger = C:\Documents and Settings\(사용자 계정)\Application Data\Adtrigger\Adtrigger.exe
HKEY_CURRENT_USER\Software\noAdtrigger
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\Adtrigger
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{F0993EF5-49FA-4055-A38B-5C044D7AA785}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Adtrigger

현재 해당 프로그램의 경우 대출 관련 광고가 대부분을 차지하므로 자신의 컴퓨터에서 대출 관련 팝업 광고가 출력된다면 확인을 해보시기 바랍니다.

'벌새::Analysis' 카테고리의 다른 글

검색 도우미 : 인뷰어 서치(InViewer Search) (0)	2010.05.23
온디스크(OnDisk) 포인트핵의 정체 (16)	2010.05.21
검색 도우미 : Windows Search Helper Adtrigger (2)	2010.05.20
트위터(Twitter) 스팸 : Get More Twitter Followers 주의 (2010.5.19) (5)	2010.05.19
검색 도우미 : 인포탭(InfoTab) (10)	2010.05.17
검색 도우미 : 서치팟(SearchPot) (1)	2010.05.17

Adtrigger, Adtrigger.dll, Adtrigger.exe, ADTV.exe, ahnlab, BHO, Downloader/Win32.Adload, Internet Explorer, Robbni Pack, V3, Win-Trojan/Downloader.567296.B, Windows Search Helper Adtrigger, 검색 도우미, 광고, 대출, 라보니 멀티미디어 패키지, 안철수연구소, 애드트리거, 웹 브라우저, 이용약관, 추천 사이트, 키워드, 팝업창

트랙백 0개, 댓글 2개가 달렸습니다

댓글을 달아 주세요

바이러스가있는데..
2010.07.03 20:57
오늘 알약으로 바이러스검사를 하니까
adtrigger에서 백도어바이러스와 트로이목마 바이러스가 나왔습니다..
그래서 삭제하려고하는데 삭제했을때 어떤변화가 생기나요???

그리고.. 오늘 유토렌트란것을 다운받아서 감염된거같기도하네요..;;;

암튼.. adtrigger가 삭제되면 어떻게되는지 설명부탁드립니다.
- 울지않는 벌새
  신고" class="updated" datetime="2010.07.03 21:00 신고">2010.07.03 21:00 신고
  안녕하세요.
  
  이 프로그램은 게시물을 읽어보시면 어떤 동작을 하는지 나옵니다. 한글이니 읽어보시기 바랍니다.
  
  삭제 후에는 사용자가 인터넷을 사용하던 중에 생성되는 광고가 사라집니다.
  
  그리고 uTorrent의 정식 프로그램은 이런 프로그램을 설치하지 않습니다.
  
  아마 사용자가 국내 이상한 자료실 같은 곳에서 유토렌트 프로그램을 다운로드하는 과정에서 한글을 제대로 읽지 않아서 이런 프로그램을 설치한 것으로 추정됩니다.
  
  프로그램을 다운로드할 때에는 프로그램 제작사 사이트나 유명 공개 자료실을 이용하시기 바랍니다. 이상한데서 받지 마세요.
  
  그리고 프로그램 설치시에는 한글을 좀 읽으면서 설치하시기 바랍니다.

'벌새::Analysis' 카테고리의 다른 글

댓글을 달아 주세요

티스토리툴바