728x90
반응형
국내에서 제작된 검색 도우미 ABrowser 프로그램에 대해 살펴보도록 하겠습니다.
해당 프로그램의 설치 파일(MD5 : 9d7ea28498c20d2d4ce0fec1a8d8bd74)에 대하여 안철수연구소(AhnLab) V3 보안 제품에서는 Win-Downloader/WiseBar.984762 진단명으로 진단되고 있으므로 참고하시기 바랍니다.
해당 프로그램은 Windows 시작시 ABrowser.exe 파일을 시작 프로그램으로 등록하여 자동 실행되며, 해당 파일은 메모리에 상주하여 동작하도록 구성되어 있습니다.
프로그램이 설치된 환경에서 사용자가 Internet Explorer를 통해 특정 검색을 할 경우 사이드바 생성 및 검색 결과를 탭(Tab) 방식이 아닌 새 창 열기 방식으로 접근하도록 구성하고 있습니다.
Internet Explorer에서 제공하는 추가 기능 관리에는 2개의 컨트롤 항목을 등록하여 웹 브라우저 상에서 동작하도록 구성되어 있는 것을 확인할 수 있습니다.
프로세스 정보를 살펴보면 사용자가 Internet Explorer 실행할 경우 iexplore.exe 프로세스에 ABrowser.dll 파일을 BHO 방식으로 등록하여 동작하는 것을 확인할 수 있습니다.
프로그램 삭제시에는 먼저 Internet Explorer를 비롯한 모든 프로그램의 종료 및 작업 관리자에서 메모리에 상주하는 ABrowser.exe 프로세스를 수동으로 종료하시기 바랍니다.
그 후에 제어판의 [ABrowser 제거] 항목을 이용하여 프로그램을 삭제하실 수 있습니다.
프로그램 삭제 후에는 추가적으로 다음의 폴더, 파일, 레지스트리 항목을 수동으로 삭제하시기 바랍니다.
일반적으로 웹 브라우저와 연동하여 동작하는 사이드바와 같은 광고 프로그램은 정상적인 인터넷 사용 방해, 오류 및 보안 제품의 진단에 포함될 수 있으므로 서비스 업체를 잘 확인하여 이용하시기 바랍니다.
해당 프로그램의 설치 파일(MD5 : 9d7ea28498c20d2d4ce0fec1a8d8bd74)에 대하여 안철수연구소(AhnLab) V3 보안 제품에서는 Win-Downloader/WiseBar.984762 진단명으로 진단되고 있으므로 참고하시기 바랍니다.
[생성 파일 진단 정보]
C:\Program Files\ABrowser\ABrowser.exe (AhnLab V3 : Adware/Win32.BHO)
C:\Documents and Settings\(사용자 계정)\Local Settings\Temporary Internet Files\Content.IE5\(Random 8자리 숫자+영문)\ABrowserUpdate1002[1].exe (AhnLab V3 : Backdoor/Win32.Agent)
C:\Program Files\ABrowser\ABrowser.exe (AhnLab V3 : Adware/Win32.BHO)
C:\Documents and Settings\(사용자 계정)\Local Settings\Temporary Internet Files\Content.IE5\(Random 8자리 숫자+영문)\ABrowserUpdate1002[1].exe (AhnLab V3 : Backdoor/Win32.Agent)
해당 프로그램은 Windows 시작시 ABrowser.exe 파일을 시작 프로그램으로 등록하여 자동 실행되며, 해당 파일은 메모리에 상주하여 동작하도록 구성되어 있습니다.
프로그램이 설치된 환경에서 사용자가 Internet Explorer를 통해 특정 검색을 할 경우 사이드바 생성 및 검색 결과를 탭(Tab) 방식이 아닌 새 창 열기 방식으로 접근하도록 구성하고 있습니다.
ABrowserHelper Class (게시자를 알 수 없음)
- CLSID : {760923F5-91E5-415E-86F4-D731B330E53C}
- C:\Program Files\ABrowser\ABrowser.dll
ABrowser (게시자를 알 수 없음)
- CLSID : {BEE52C27-0FB5-446A-A79D-E4C83D02659A}
- C:\Program Files\ABrowser\ABrowser.dll
- CLSID : {760923F5-91E5-415E-86F4-D731B330E53C}
- C:\Program Files\ABrowser\ABrowser.dll
ABrowser (게시자를 알 수 없음)
- CLSID : {BEE52C27-0FB5-446A-A79D-E4C83D02659A}
- C:\Program Files\ABrowser\ABrowser.dll
Internet Explorer에서 제공하는 추가 기능 관리에는 2개의 컨트롤 항목을 등록하여 웹 브라우저 상에서 동작하도록 구성되어 있는 것을 확인할 수 있습니다.
프로세스 정보를 살펴보면 사용자가 Internet Explorer 실행할 경우 iexplore.exe 프로세스에 ABrowser.dll 파일을 BHO 방식으로 등록하여 동작하는 것을 확인할 수 있습니다.
[관련 URL 정보]
h**p://search.a*****.com/install.php?version=1.0.0.1&id=A_P_SB_windowspack002_5&mac=(사용자 Mac Address)
h**p://search.a*****.com/Update/A_P_SB_windowspack002_5/ABrowser.ini
h**p://search.a*****.com/Update/A_P_SB_windowspack002_5/ABrowserUpdate1002.exe
h**p://search.a*****.com/update.php?version=1.0.0.2&id=A_P_SB_windowspack002_5&mac=(사용자 Mac Address)&oldversion=1.0.0.1
h**p://search.a*****.com/uninstall.php?version=1.0.0.2&id=AB02&mac=(사용자 Mac Address)
h**p://search.a*****.com/uninstall.php?version=&id=&mac=(사용자 Mac Address)
h**p://search.a*****.com/install.php?version=1.0.0.1&id=A_P_SB_windowspack002_5&mac=(사용자 Mac Address)
h**p://search.a*****.com/Update/A_P_SB_windowspack002_5/ABrowser.ini
h**p://search.a*****.com/Update/A_P_SB_windowspack002_5/ABrowserUpdate1002.exe
h**p://search.a*****.com/update.php?version=1.0.0.2&id=A_P_SB_windowspack002_5&mac=(사용자 Mac Address)&oldversion=1.0.0.1
h**p://search.a*****.com/uninstall.php?version=1.0.0.2&id=AB02&mac=(사용자 Mac Address)
h**p://search.a*****.com/uninstall.php?version=&id=&mac=(사용자 Mac Address)
프로그램 삭제시에는 먼저 Internet Explorer를 비롯한 모든 프로그램의 종료 및 작업 관리자에서 메모리에 상주하는 ABrowser.exe 프로세스를 수동으로 종료하시기 바랍니다.
그 후에 제어판의 [ABrowser 제거] 항목을 이용하여 프로그램을 삭제하실 수 있습니다.
프로그램 삭제 후에는 추가적으로 다음의 폴더, 파일, 레지스트리 항목을 수동으로 삭제하시기 바랍니다.
[수동 삭제 폴더 및 파일]
C:\Program Files\ABrowser
C:\Documents and Settings\(사용자 계정)\Local Settings\Temporary Internet Files\Content.IE5\(Random 8자리 숫자+영문)\ABrowserUpdate1002[1].exe
[생성 레지스트리 등록 정보]
HKEY_CLASSES_ROOT\CLSID\{760923F5-91E5-415e-86F4-D731B330E53C}
HKEY_CLASSES_ROOT\CLSID\{BEE52C27-0FB5-446a-A79D-E4C83D02659A}
HKEY_CLASSES_ROOT\Interface\{30D4FC02-409C-4831-88C6-73E5E02BC270}
HKEY_CLASSES_ROOT\Interface\{5B979B74-EF42-4576-B12D-E5CCD6B7285A}
HKEY_CLASSES_ROOT\SideBar.SideBarBand
HKEY_CLASSES_ROOT\SideBar.SideBarBand.1
HKEY_CLASSES_ROOT\SideBar.SideBarHelper
HKEY_CLASSES_ROOT\SideBar.SideBarHelper.1
HKEY_CLASSES_ROOT\TypeLib\{C0A39FCF-D40F-437F-8647-6F091FE90E02}
HKEY_CURRENT_USER\Software\ABrowser
HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{760923F5-91E5-415e-86F4-D731B330E53C}
HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Run
- ABrowser = C:\Program Files\ABrowser\ABrowser.exe
HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Uninstall\ABrowser
C:\Program Files\ABrowser
C:\Documents and Settings\(사용자 계정)\Local Settings\Temporary Internet Files\Content.IE5\(Random 8자리 숫자+영문)\ABrowserUpdate1002[1].exe
[생성 레지스트리 등록 정보]
HKEY_CLASSES_ROOT\CLSID\{760923F5-91E5-415e-86F4-D731B330E53C}
HKEY_CLASSES_ROOT\CLSID\{BEE52C27-0FB5-446a-A79D-E4C83D02659A}
HKEY_CLASSES_ROOT\Interface\{30D4FC02-409C-4831-88C6-73E5E02BC270}
HKEY_CLASSES_ROOT\Interface\{5B979B74-EF42-4576-B12D-E5CCD6B7285A}
HKEY_CLASSES_ROOT\SideBar.SideBarBand
HKEY_CLASSES_ROOT\SideBar.SideBarBand.1
HKEY_CLASSES_ROOT\SideBar.SideBarHelper
HKEY_CLASSES_ROOT\SideBar.SideBarHelper.1
HKEY_CLASSES_ROOT\TypeLib\{C0A39FCF-D40F-437F-8647-6F091FE90E02}
HKEY_CURRENT_USER\Software\ABrowser
HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{760923F5-91E5-415e-86F4-D731B330E53C}
HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Run
- ABrowser = C:\Program Files\ABrowser\ABrowser.exe
HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Uninstall\ABrowser
일반적으로 웹 브라우저와 연동하여 동작하는 사이드바와 같은 광고 프로그램은 정상적인 인터넷 사용 방해, 오류 및 보안 제품의 진단에 포함될 수 있으므로 서비스 업체를 잘 확인하여 이용하시기 바랍니다.
728x90
반응형