본문 바로가기

벌새::Analysis

검색 도우미 : 114KTi - ingrid114

반응형
● 원본 작성 : 2010년 8월 13일
● 1차 수정 : 2011년 7월 2일

국내에서 제작되어 인터넷 검색시 포털 사이트 검색 상단을 덮어씌우는 방식의 광고를 생성하는 검색 도우미 114KTi - ingrid114 프로그램에 대해 살펴보도록 하겠습니다.

해당 프로그램의 설치 파일(MD5 : 32d26725d5bf6bceb5e4a80342fef136)에 대하여 알약(ALYac) 2.0 보안 제품에서는 Backdoor.Generic.448608 (VirusTotal : 23/42) 진단명으로 진단되고 있으므로 참고하시기 바랍니다.

[생성 폴더 / 파일 등록 정보]

C:\Program Files\ingrid114
C:\Program Files\ingrid114\ingrid114.exe :: 시작 프로그램 등록 파일 / 메모리 상주 프로세스
C:\Program Files\ingrid114\ingrid114un.exe :: 프로그램 삭제 파일
C:\Program Files\ingrid114\ingrid114up.exe
C:\Program Files\ingrid114\ktifloat.dll
C:\Program Files\ingrid114\ktifloatno.dll :: BHO 등록 파일
C:\WINDOWS\system32\114ktisetup.exe
C:\WINDOWS\system32\114ktiup.exe
C:\WINDOWS\system32\inetko.dll
C:\WINDOWS\system32\MSINET.OCX
C:\WINDOWS\system32\VB6KO.DLL

[생성 파일 진단 정보]

C:\Program Files\ingrid114\ingrid114un.exe
 - MD5 : 08edef5cc5538519f9dfa6622812e63b
 - AhnLab V3 : Malware/Win32.Generic (VirusTotal : 24/41)

C:\WINDOWS\system32\114ktiup.exe
 - MD5 : 3976cda8b0c02acdb21a99a5e2294f2a
 - AhnLab V3 : Trojan/Win32.Bancos (VirusTotal : 33/42)

※ AhnLab V3 보안 제품을 사용하시는 사용자의 경우 해당 프로그램의 삭제 파일 진단으로 인하여 프로그램 삭제가 제어판을 통해 이루어지지 않으므로 프로그램 삭제시에는 수동으로 삭제를 하시기 바랍니다.

해당 프로그램은 [C:\Program Files\ingrid114] 폴더에 파일을 생성하고 있으며, Windows 시작시 ingrid114.exe 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.

해당 프로그램이 설치된 환경에서 사용자가 다음(Daum), 네이버(Naver) 등의 유명 사이트에서 검색을 시도할 경우 해당 검색어와 연관된 광고를 그림과 같이 정상적인 검색 결과 상단에 덮어쓰기 방식으로 구성하여 정상적인 인터넷 사용에 방해가 될 수 있습니다.

특히 해당 광고를 생성하는 프로그램 명칭을 표기하지 않는 관계로 사용자가 프로그램 삭제에 어려움을 겪을 수 있습니다.

[추가 기능 관리 : 도구 모음 및 확장 프로그램]

winktifloatno.ktifloatno
 - 게시자 : 114KTI
 - CLSID : {559EED31-820D-46ED-8B90-5C779039F94A}
 - 파일 : C:\Program Files\ingrid114\ktifloatno.dll

해당 광고 동작의 중지를 위해서는 Internet Explorer 웹 브라우저의 추가 기능 관리에 등록된 winktifloatno.ktifloatno 항목을 선택하여 [사용 안 함]으로 변경하시기 바랍니다.

프로세스 정보를 살펴보면 ingrid114.exe 프로세스가 메모리에 상주하고 있으며, 사용자가 Internet Explorer 웹 브라우저를 실행할 경우 iexplore.exe 프로세스에 ktifloatno.dll 파일을 BHO 방식으로 등록하여 동작하는 것을 확인할 수 있습니다.

프로그램 삭제시에는 작업 관리자에서 ingrid114.exe 프로세스를 수동으로 종료한 후, 실행 중인 Internet Explorer 웹 브라우저를 모두 종료한 상태에서 제어판의 [114KTI] 삭제 항목을 이용하여 삭제하실 수 있습니다.

프로그램 삭제 후에는 추가적으로 다음의 폴더와 파일을 수동으로 삭제하시기 바랍니다.
  • C:\Program Files\ingrid114
  • C:\Program Files\ingrid114\ingrid114un.exe
  • C:\Program Files\ingrid114\ktifloatno.dll
  • C:\WINDOWS\system32\114ktisetup.exe
  • C:\WINDOWS\system32\114ktiup.exe
[생성 레지스트리 등록 정보]

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{559EED31-820D-46ED-8B90-5C779039F94A}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8BF4656A-BB39-4EFA-B472-3C5E9968FFA0}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{05B1C85F-7195-4669-8CBD-BE6789E3C651}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{419CA536-EFFA-4FDF-A136-7335EE64FDBA}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{4C48A2DA-20C3-42EE-A9A0-C690D5CD83AE}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{D8B1E2E1-DC0A-4464-A6B3-FE2D5501D359}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\winktifloat.ktifloat
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\winktifloatno.ktifloatno
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{559EED31-820D-46ED-8B90-5C779039F94A}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - ingrid.exe =
 - IngridFloating = C:\Program Files\ingrid114\ingrid114.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ingrid114
HKEY_LOCAL_MACHINE\SOFTWARE\ingrid114 

프로그램 삭제 후에도 깨끗한 삭제를 원하시는 분들은 [C:\Documents and Settings\(사용자 계정)\Local Settings\Temp] 폴더 내부의 7zS(Random 숫자).tmp 폴더 2개를 찾아서 수동으로 삭제하시기 바랍니다.

해당 프로그램은 프로그램 목록에 제시되지 않는 점과 광고를 통해 어떤 프로그램의 동작인지 확인하기 어렵다는 점에서 주의하시기 바랍니다.


728x90
반응형
  • DDD 2010.11.18 18:55 댓글주소 수정/삭제 댓글쓰기

    ktifloat.dll을 삭제하려고 보니까 삭제할수 없다면서 엑세스가 거부되었다고 떠요.
    디스크가 꽉 찼는지 아니면 파일이 현재 사용중이거나 확인해보라 하는데 컨+알+딜 눌러봐도 ingrid114는 삭제된거 같고요. program files에서 ktifloat만 삭제하면 될거같은데 삭제가 안되네요.. 도와주세요

    • 해당 파일은 Internet Explorer와 연동이 되어 있습니다.

      그러므로 삭제시에는 IE 웹 브라우저를 모두 종료한 상태에서 삭제를 시도해 보시기 바랍니다.

  • ibm 2011.07.02 13:16 댓글주소 수정/삭제 댓글쓰기

    kitifloatno.dll을 삭제하려고 했는데 위에분과 똑같이 삭제할수 없다며 엑세스가 거부되었다고 뜹니다. 인터넷도 다끄고 작업관리창에서 ingrid114가 실행되지 않은걸 확인해고 여러번 해봣는데 안되네요 도와주세요

  • 헉 어렵네요 하지만 따라해보면 되겠죠머 좋은글 잘보고가요~ ^^

  • tex2100 2011.07.02 20:27 댓글주소 수정/삭제 댓글쓰기

    또 이런 악성코드가 있군요.
    http://image.threadic.com/images/e10a8db7e95289baae2312143f04e7fe3d48c411.PNG

    http://image.threadic.com/images/e569d40b53601b4b8f8d456b7b47deb01c150c57.PNG

    http://image.threadic.com/images/0c9377bd461a7a41dda7b64b47aec60a35767f14.PNG

    http://image.threadic.com/images/5ef418ee34d1a7f3afb167f696ef239d99dacbc6.PNG

    http://image.threadic.com/images/461eda360037f513ead70250bb8376d3c9e7b09c.PNG

    웹하드 관련으로 넘어 온 걸로 보입니다. Microlab도 보이는 걸 보아...

    • http://hummingbird.tistory.com/3057

      http://rightsecurity.blogspot.com/2011/03/everytoolbar.html

      http://hummingbird.tistory.com/2343

      대부분은 제가 확인하였던 프로그램 같습니다.^^

      게임한판은 한 번 살펴보도록 하겠습니다. 감사합니다.

    • tex2100 2011.07.02 22:08 댓글주소 수정/삭제

      Microlab 쪽은 저도 알고 있습니다. 이 악성코드가 설치되는 와중에 마이크로랩의 것이 설치되었다고 생각됩니다.

  • tex2100 2011.07.03 01:43 댓글주소 수정/삭제 댓글쓰기

    제가 또 새로운 셈플을 입수했습니다. NS 솔루션 쪽은 이미 잘 알려져 있을 걸로 생각됩니다. 그러나 http://mokamo321.springnote.com/ 을 통해 유포되고 있는 것은 다릅니다. 물론 이 것도 똑같은 것을 악성코드만 제조해서 변조하는 겁니다.

    http://image.threadic.com/images/9dd489472ccebf27dfa82b6e3002fca0acff5f17.PNG

    스크린샷은 여기입니다.

    • 사진이 깨진 것 같습니다.^^

      스프링노트를 통해 저런 유포는 예전부터 많이 봤습니다.

      혹시 다른 방식인지 확인해 보겠습니다. 감사합니다.

  • 별의별걸 다 만드는구만;

    제 컴퓨터엔 다행히 없네요.