본문 바로가기

벌새::Analysis

검색 도우미 : TopLineGuide

반응형
국내에서 제작되어 제휴(스폰서) 프로그램 방식 등으로 설치가 되는 것으로 추정되는 검색 도우미 TopLineGuide 프로그램에 대해 살펴보도록 하겠습니다.

프로그램은 설치시 라인가이드(MD 5 : cbfa9306bec4476a0bdcf66a0930167c) 라는 명칭으로 소개되고 있는 것으로 추정되므로 참고하시기 바랍니다.

[생성 파일 진단 정보]

C:\Program Files\TopLineGuide\lineguide.zip (AhnLab V3 : Win32/Induc)
C:\Program Files\TopLineGuide\toplineguide.dll (AhnLab V3 : Win32/Induc)
C:\WINDOWS\WinlinegupApp.exe (AhnLab V3 : Downloader/Win32.KorAdware)

해당 프로그램이 초기 설치된 환경에서는 일부 생성 파일에 대하여 Win32/Induc 바이러스에 감염된 파일이 존재하며, 사용자 몰래 WinlinegupApp.exe(MD5 : fb72573aa843d4434f49958b5064e31e) 파일을 설치하는 것을 확인할 수 있습니다.

 

[WinlinegupApp.exe 네트워크 연결 정보]

h**p://www.line-*****.com/update/WinUpAppUpList.php
 - h**p://www.*****.com/update/bwscnes.exe


WinlinegupApp.exe 파일을 분석해보면 특정 외부 서버에서 bwscnes.exe(MD5 : 09a34b70f1386453605779340abbe0ad) 파일을 다운로드하는 기능을 포함하고 있으며, 다운로드된 파일에 대하여 하우리 바이로봇(Hauri ViRobot) 보안 제품에서는 Trojan.Win32.S.Scar.210432.A (VirusTotal : 29/40) 진단명으로 진단을 하고 있습니다.

TopLineGuide 프로그램 초기 설치 후 변경된 생성 파일 정보

TopLineGuide 프로그램은 Windows 시작시 update.exe 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있으며, 실행 과정에서 다음과 같은 동작을 추가로 확인할 수 있습니다.

해당 도표를 해석해보면 시작 프로그램으로 등록된 update.exe 파일은 특정 서버에서 update_lineguide.zip 파일을 추가적으로 다운로드를 하며, 해당 압축 파일 내부에 존재하는 update_install.exe 파일이 실행되어 기존에 설치된 lineguide.zip 파일 업데이트 체크 및 또 다른 특정 서버로부터 install_ks3.exe (현재 다운로드 불가) 파일을 다운로드 시도를 하는 동작을 확인할 수 있습니다.

이런 일련의 과정 속에서 좌측 그림과 같은 [Update Install Program] 메시지 창을 통하여 [Read Timeout] 메시지를 출력할 수 있습니다.

이는 업데이트 과정에서 일부 파일이 정상적으로 다운로드가 이루어지지 않는 등의 문제로 인한 것으로 추정됩니다.

update.exe 파일로 인해 추가로 생성된 update_install.exe 파일은 메모리에 상주하여 다음과 같은 네트워크 연결을 시도하는 것을 확인할 수 있으며, 해당 프로세스는 사용자가 수동으로 종료하지 않는 이상 계속적으로 메모리에 존재하므로 참고하시기 바랍니다.

아마 update_install.exe 파일이 최종적으로 다운로드할 예정이었던 install_ks3.exe 파일은 보안 제품에서 악성코드로 진단함에 따라 더 이상 다운로드가 이루어지지 않을 것으로 보이지만, 여전히 특정 서버와 연결되는 이런 동작은 보안상 좋지 못합니다.

TopLineGuide 프로그램의 기본적인 동작 방식은 사용자가 Internet Explorer를 통해 특정 검색을 시도할 경우 [금일 추천 사이트]라는 이름으로 웹 브라우저 상단에 광고바를 생성하는 동작을 하는 것을 확인할 수 있습니다.

해당 광고바를 통해서 사용자는 어떤 프로그램으로 인한 문제인지 확인할 방법이 없으며, 추가 기능 관리에서도 다음과 같은 정보만을 제시하고 있습니다.

도구 모음 및 확장 프로그램에 등록된 해당 컨트롤은 게시자를 알 수 없는 {4084E006-1E5A-4DA0-A619-22B823014129} 이름으로 등록되어 있으며, 해당 항목은 TopLineGuide.dll 파일이 등록한 값입니다.

프로세스 정보를 살펴보면 Internet Explorer 동작시 iexplore.exe 프로세스에 [C:\PROGRA~1\TOPLIN~1\TOPLIN~1.DLL (TopLineGuide.dll)] 파일을 BHO 방식으로 등록하여, 사용자의 키워드 감시를 통해 추천 사이트 관련 광고를 생성하는 것으로 보입니다.

프로그램 삭제시에는 작업 관리자에서 update_install.exe 프로세스를 수동으로 종료하시기 바라며, Internet Explorer를 비롯한 모든 프로그램을 종료한 상태에서 제어판의 [TopLineGuide] 삭제 항목을 이용하여 삭제하실 수 있습니다.

프로그램 삭제 후에는 추가적으로 다음의 폴더와 파일을 수동으로 삭제하시기 바랍니다.

C:\Program Files\TopLineGuide
C:\Program Files\TopLineGuide\uninstall.exe
C:\WINDOWS\WinlinegupApp.exe

 

[생성 레지스트리 등록 정보]

HKEY_CLASSES_ROOT\CLSID\{4084E006-1E5A-4DA0-A619-22B823014129}
HKEY_CURRENT_USER\Software\TopLineGuide
HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{4084E006-1E5A-4DA0-A619-22B823014129}
HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Run
 - TopLineGuide = C:\Program Files\TopLineGuide\update.exe
HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Uninstall\TopLineGuide


일부 평범해 보이는 광고 프로그램 중에는 사용자 몰래 추가적인 프로그램을 설치하는 동작이 있을 수 있으며, 이로 인하여 자신도 모르는 이상한 프로그램이 설치되는 경험을 할 수 있으므로 알려진 유명 프로그램이 아닌 경우에는 설치 전에 해당 프로그램에 대한 최소한의 정보를 확인하는 습관을 가지시기 바랍니다.

728x90
반응형