본문 바로가기

벌새::Analysis

검색 도우미 : Yahoo Helper 2.0 - Yahoo Helper4

국내에서 제작되어 악성코드를 통해 사용자 몰래 설치가 이루어지는 것으로 확인이 되는 검색 도우미 Yahoo Helper 2.0 - Yahoo Helper4 프로그램에 대해 살펴보도록 하겠습니다.
 

해당 프로그램은 Win-Adware/Cn8cls.236544 (AhnLab V3) 진단명으로 진단되는 악성코드를 통해 설치가 이루어지고 있으며, 설치를 위하여 다운로드되는 Yahoo Helper 2.0 설치 파일(MD5 : b3259f610dddce33bc6d5ce1c6b58b8c)에 대하여 AVG 보안 제품에서는 Generic18.AQWX (VirusTotal : 5/42) 진단명으로 진단되고 있습니다.
 

설치된 Yahoo Helper 2.0 프로그램은 기존에 살펴본 Yahoo Helper의 변종으로 추정되므로 참고하시기 바랍니다.

 

[관련 URL 정보]

h**p://www.g****.co.kr/count/count.php?tp=1&pt=infor75v4&ctm=(사용자 Mac Address)
h**p://www.g****.co.kr/count/count.php?tp=3&pt=infor75v4&ctm=(사용자 Mac Address)

해당 프로그램은 [Yahoo Helper4] 폴더에 파일을 생성하고 있으며, Windows 시작시 yahooh4up.exe 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.

 

[yaooh4up.exe 네트워크 연결 정보]

GET /yahooh/program/inf/infor75v4.htm HTTP/1.1
Host: www.gfind.co.kr
Accept: text/html, */*
Accept-Encoding: identity
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)

프로그램의 기본적인 동작 방식은 예를 들어 사용자가 검색 공급자에서 네이버(Naver)를 선택하고 특정 검색어를 입력할 경우 자동으로 야후(Yahoo) 검색 결과를 제시하는 후킹(Hooking)이 이루어지고 있는 것을 확인할 수 있습니다.

해당 프로그램은 시스템 시작시 자동 실행된 후, yahooh4.exe 프로세스를 생성하여 메모리에 상주하도록 구성되어 있습니다.

프로그램 삭제시에는 작업 관리자에서 yahooh4.exe 프로세스를 수동으로 종료한 후, 제어판의 [Yahoo Helper4] 삭제 항목을 이용하여 삭제하실 수 있습니다.


[생성 레지스트리 등록 정보]

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - Yahoo Helper4 = C:\Program Files\Yahoo Helper4\yahooh4up.exe
HKEY_CURRENT_USER\Software\Yahoo Helper4
HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Uninstall\Yahoo Helper4

 

해당 프로그램은 사용자 동의없이 설치되는 점, 웹 브라우저 설정을 임의로 변경하여 사용자가 입력하는 키워드를 가로채는 부분이 존재하므로 정상적인 인터넷 사용을 방해한다고 할 수 있습니다.