728x90
반응형
국내에서 제작된 검색 도우미 NewBack Auction Mall 프로그램에 대해 살펴보도록 하겠습니다.
해당 프로그램의 설치 파일(MD5 : e9f03e81f5e6fdb042ae4ab769fc889f)에 대하여 안철수연구소(AhnLab) V3 보안 제품에서는 Trojan/Win32.BHO (VirusTotal : 20/41) 진단명으로 진단하고 있으므로 참고하시기 바랍니다.
해당 프로그램은 프로그램 폴더 내에 [NewBack App] 폴더에 파일을 생성하고 있으며, Windows 시작시 NewBackUpdate.exe 파일을 시작 프로그램으로 등록하여 프로그램 업데이트 정보를 체크하도록 구성되어 있습니다.
프로그램의 기본적인 동작 방식은 사용자가 Internet Explorer를 통해 특정 검색을 시도할 경우 좌측 사이드바에 Auction 오픈쇼핑 관련 상품 광고가 생성되는 것을 확인할 수 있습니다.
사용자가 해당 사이드바 상단에 표기된 [NewBack Auction Mall] 문구를 통해 프로그램 설치 여부를 확인할 수 있습니다.
참고로 해당 광고는 링크프라이스(LinkPrice) 광고 코드가 포함되어 있는 것을 확인할 수 있습니다.
Internet Explorer에서 제공하는 추가 기능 관리에서 [NewBackObj Class, GuideObj Class] 항목이 추가되어 있는 것을 확인할 수 있습니다.
프로세스 정보를 살펴보면 Internet Explorer가 실행될 경우 iexplore.exe 프로세스에 NewBack.dll 파일을 BHO 방식으로 추가하여 동작하는 것을 확인할 수 있습니다.
프로그램 삭제시에는 반드시 Internet Explorer를 비롯한 모든 프로그램을 종료한 상태에서 제어판의 [NewBack Auction Mall] 삭제 항목을 이용하여 삭제하실 수 있습니다.
프로그램 삭제 후에는 추가적으로 [C:\Documents and Settings\(사용자 계정)\Application Data\NewBack] 폴더를 수동으로 삭제하시기 바랍니다.
해당 프로그램의 경우 설치된 환경에서 프로그램 목록에 제시되지 않는 문제로 인하여 사용자는 웹 브라우저에서 동작하는 광고창으로는 프로그램 삭제를 위한 정보 확인이 어려운 점이 있습니다.
해당 프로그램의 설치 파일(MD5 : e9f03e81f5e6fdb042ae4ab769fc889f)에 대하여 안철수연구소(AhnLab) V3 보안 제품에서는 Trojan/Win32.BHO (VirusTotal : 20/41) 진단명으로 진단하고 있으므로 참고하시기 바랍니다.
[관련 URL 정보]
h**p://end***.com/linechk/overlap/overlap_auc_side.chk
h**p://www.new****.net/count/insert.php?pid=newback&kind=1
h**p://www.new****.net/auction/newback/update.php
h**p://www.new****.net/count/insert.php?pid=newback&kind=4
h**p://www.new****.net/count/insert.php?pid=newback&kind=3
h**p://end***.com/linechk/overlap/overlap_auc_side.chk
h**p://www.new****.net/count/insert.php?pid=newback&kind=1
h**p://www.new****.net/auction/newback/update.php
h**p://www.new****.net/count/insert.php?pid=newback&kind=4
h**p://www.new****.net/count/insert.php?pid=newback&kind=3
[생성 파일 진단 정보]
C:\Program Files\NewBack App\NewBackUpdate.exe (nProtect : Trojan.Generic.3648700)
C:\Program Files\NewBack App\NewBackUpdate.exe (nProtect : Trojan.Generic.3648700)
해당 프로그램은 프로그램 폴더 내에 [NewBack App] 폴더에 파일을 생성하고 있으며, Windows 시작시 NewBackUpdate.exe 파일을 시작 프로그램으로 등록하여 프로그램 업데이트 정보를 체크하도록 구성되어 있습니다.
[NewBackUpdate.exe 파일 네트워크 연결 정보]
GET /auction/newback/update.php HTTP/1.1
User-Agent: NewBack
Host: www.newback.net
Cache-Control: no-cache
GET /auction/newback/update.php HTTP/1.1
User-Agent: NewBack
Host: www.newback.net
Cache-Control: no-cache
프로그램의 기본적인 동작 방식은 사용자가 Internet Explorer를 통해 특정 검색을 시도할 경우 좌측 사이드바에 Auction 오픈쇼핑 관련 상품 광고가 생성되는 것을 확인할 수 있습니다.
사용자가 해당 사이드바 상단에 표기된 [NewBack Auction Mall] 문구를 통해 프로그램 설치 여부를 확인할 수 있습니다.
참고로 해당 광고는 링크프라이스(LinkPrice) 광고 코드가 포함되어 있는 것을 확인할 수 있습니다.
Internet Explorer에서 제공하는 추가 기능 관리에서 [NewBackObj Class, GuideObj Class] 항목이 추가되어 있는 것을 확인할 수 있습니다.
프로세스 정보를 살펴보면 Internet Explorer가 실행될 경우 iexplore.exe 프로세스에 NewBack.dll 파일을 BHO 방식으로 추가하여 동작하는 것을 확인할 수 있습니다.
프로그램 삭제시에는 반드시 Internet Explorer를 비롯한 모든 프로그램을 종료한 상태에서 제어판의 [NewBack Auction Mall] 삭제 항목을 이용하여 삭제하실 수 있습니다.
프로그램 삭제 후에는 추가적으로 [C:\Documents and Settings\(사용자 계정)\Application Data\NewBack] 폴더를 수동으로 삭제하시기 바랍니다.
해당 프로그램의 경우 설치된 환경에서 프로그램 목록에 제시되지 않는 문제로 인하여 사용자는 웹 브라우저에서 동작하는 광고창으로는 프로그램 삭제를 위한 정보 확인이 어려운 점이 있습니다.
728x90
반응형