본문 바로가기

벌새::Analysis

검색 도우미 : ABrowser

반응형
국내에서 제작된 검색 도우미 ABrowser 프로그램에 대해 살펴보도록 하겠습니다.

해당 프로그램의 설치 파일(MD5 : 9d7ea28498c20d2d4ce0fec1a8d8bd74)에 대하여 안철수연구소(AhnLab) V3 보안 제품에서는 Win-Downloader/WiseBar.984762 진단명으로 진단되고 있으므로 참고하시기 바랍니다.


[생성 파일 진단 정보]

C:\Program Files\ABrowser\ABrowser.exe (AhnLab V3 : Adware/Win32.BHO)
C:\Documents and Settings\(사용자 계정)\Local Settings\Temporary Internet Files\Content.IE5\(Random 8자리 숫자+영문)\ABrowserUpdate1002[1].exe (AhnLab V3 : Backdoor/Win32.Agent)

해당 프로그램은 Windows 시작시 ABrowser.exe 파일을 시작 프로그램으로 등록하여 자동 실행되며, 해당 파일은 메모리에 상주하여 동작하도록 구성되어 있습니다.

프로그램이 설치된 환경에서 사용자가 Internet Explorer를 통해 특정 검색을 할 경우 사이드바 생성 및 검색 결과를 탭(Tab) 방식이 아닌 새 창 열기 방식으로 접근하도록 구성하고 있습니다.


ABrowserHelper Class (게시자를 알 수 없음)
 - CLSID : {760923F5-91E5-415E-86F4-D731B330E53C}
 - C:\Program Files\ABrowser\ABrowser.dll

ABrowser (게시자를 알 수 없음)
 - CLSID : {BEE52C27-0FB5-446A-A79D-E4C83D02659A}
 - C:\Program Files\ABrowser\ABrowser.dll

Internet Explorer에서 제공하는 추가 기능 관리에는 2개의 컨트롤 항목을 등록하여 웹 브라우저 상에서 동작하도록 구성되어 있는 것을 확인할 수 있습니다.


프로세스 정보를 살펴보면 사용자가 Internet Explorer 실행할 경우 iexplore.exe 프로세스에 ABrowser.dll 파일을 BHO 방식으로 등록하여 동작하는 것을 확인할 수 있습니다.


[관련 URL 정보]

h**p://search.a*****.com/install.php?version=1.0.0.1&id=A_P_SB_windowspack002_5&mac=(사용자 Mac Address)
h**p://search.a*****.com/Update/A_P_SB_windowspack002_5/ABrowser.ini
h**p://search.a*****.com/Update/A_P_SB_windowspack002_5/ABrowserUpdate1002.exe
h**p://search.a*****.com/update.php?version=1.0.0.2&id=A_P_SB_windowspack002_5&mac=(사용자 Mac Address)&oldversion=1.0.0.1
h**p://search.a*****.com/uninstall.php?version=1.0.0.2&id=AB02&mac=(사용자 Mac Address)
h**p://search.a*****.com/uninstall.php?version=&id=&mac=(사용자 Mac Address)

프로그램 삭제시에는 먼저 Internet Explorer를 비롯한 모든 프로그램의 종료 및 작업 관리자에서 메모리에 상주하는 ABrowser.exe 프로세스를 수동으로 종료하시기 바랍니다.

그 후에 제어판의 [ABrowser 제거] 항목을 이용하여 프로그램을 삭제하실 수 있습니다.

프로그램 삭제 후에는 추가적으로 다음의 폴더, 파일, 레지스트리 항목을 수동으로 삭제하시기 바랍니다.

[수동 삭제 폴더 및 파일]

C:\Program Files\ABrowser
C:\Documents and Settings\(사용자 계정)\Local Settings\Temporary Internet Files\Content.IE5\(Random 8자리 숫자+영문)\ABrowserUpdate1002[1].exe

[생성 레지스트리 등록 정보]

HKEY_CLASSES_ROOT\CLSID\{760923F5-91E5-415e-86F4-D731B330E53C}
HKEY_CLASSES_ROOT\CLSID\{BEE52C27-0FB5-446a-A79D-E4C83D02659A}
HKEY_CLASSES_ROOT\Interface\{30D4FC02-409C-4831-88C6-73E5E02BC270}
HKEY_CLASSES_ROOT\Interface\{5B979B74-EF42-4576-B12D-E5CCD6B7285A}
HKEY_CLASSES_ROOT\SideBar.SideBarBand
HKEY_CLASSES_ROOT\SideBar.SideBarBand.1
HKEY_CLASSES_ROOT\SideBar.SideBarHelper
HKEY_CLASSES_ROOT\SideBar.SideBarHelper.1
HKEY_CLASSES_ROOT\TypeLib\{C0A39FCF-D40F-437F-8647-6F091FE90E02}
HKEY_CURRENT_USER\Software\ABrowser
HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{760923F5-91E5-415e-86F4-D731B330E53C}
HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Run
 - ABrowser = C:\Program Files\ABrowser\ABrowser.exe
HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Uninstall\ABrowser

일반적으로 웹 브라우저와 연동하여 동작하는 사이드바와 같은 광고 프로그램은 정상적인 인터넷 사용 방해, 오류 및 보안 제품의 진단에 포함될 수 있으므로 서비스 업체를 잘 확인하여 이용하시기 바랍니다.
728x90
반응형
  • 지나가던 시민 2011.03.06 20:39 댓글주소 수정/삭제 댓글쓰기

    V3로 치료하는데 치료실패뜨네요 ㄷㄷ

    • 해당 악성 프로그램을 치료하실 때에는 반드시 Internet Explorer 웹 브라우저를 모두 종료한 상태에서 치료를 하시는 것이 치료 성공률이 높아집니다.