울지않는벌새 : Security, Movie & Society

검색 도우미 : NewBack Auction Mall

벌새::Analysis
국내에서 제작된 검색 도우미 NewBack Auction Mall 프로그램에 대해 살펴보도록 하겠습니다.

해당 프로그램의 설치 파일(MD5 : e9f03e81f5e6fdb042ae4ab769fc889f)에 대하여 안철수연구소(AhnLab) V3 보안 제품에서는 Trojan/Win32.BHO (VirusTotal : 20/41) 진단명으로 진단하고 있으므로 참고하시기 바랍니다.

[관련 URL 정보]

h**p://end***.com/linechk/overlap/overlap_auc_side.chk
h**p://www.new****.net/count/insert.php?pid=newback&kind=1
h**p://www.new****.net/auction/newback/update.php
h**p://www.new****.net/count/insert.php?pid=newback&kind=4
h**p://www.new****.net/count/insert.php?pid=newback&kind=3


[생성 파일 진단 정보]

C:\Program Files\NewBack App\NewBackUpdate.exe (nProtect : Trojan.Generic.3648700)

해당 프로그램은 프로그램 폴더 내에 [NewBack App] 폴더에 파일을 생성하고 있으며, Windows 시작시 NewBackUpdate.exe 파일을 시작 프로그램으로 등록하여 프로그램 업데이트 정보를 체크하도록 구성되어 있습니다.

[NewBackUpdate.exe 파일 네트워크 연결 정보]

GET /auction/newback/update.php HTTP/1.1
User-Agent: NewBack
Host: www.newback.net
Cache-Control: no-cache


프로그램의 기본적인 동작 방식은 사용자가 Internet Explorer를 통해 특정 검색을 시도할 경우 좌측 사이드바에 Auction 오픈쇼핑 관련 상품 광고가 생성되는 것을 확인할 수 있습니다.

사용자가 해당 사이드바 상단에 표기된 [NewBack Auction Mall] 문구를 통해 프로그램 설치 여부를 확인할 수 있습니다.


참고로 해당 광고는 링크프라이스(LinkPrice) 광고 코드가 포함되어 있는 것을 확인할 수 있습니다.


Internet Explorer에서 제공하는 추가 기능 관리에서 [NewBackObj Class, GuideObj Class] 항목이 추가되어 있는 것을 확인할 수 있습니다.


프로세스 정보를 살펴보면 Internet Explorer가 실행될 경우 iexplore.exe 프로세스에 NewBack.dll 파일을 BHO 방식으로 추가하여 동작하는 것을 확인할 수 있습니다.


프로그램 삭제시에는 반드시 Internet Explorer를 비롯한 모든 프로그램을 종료한 상태에서 제어판의 [NewBack Auction Mall] 삭제 항목을 이용하여 삭제하실 수 있습니다.

프로그램 삭제 후에는 추가적으로 [C:\Documents and Settings\(사용자 계정)\Application Data\NewBack] 폴더를 수동으로 삭제하시기 바랍니다.

해당 프로그램의 경우 설치된 환경에서 프로그램 목록에 제시되지 않는 문제로 인하여 사용자는 웹 브라우저에서 동작하는 광고창으로는 프로그램 삭제를 위한 정보 확인이 어려운 점이 있습니다.