본문 바로가기

벌새::Analysis

검색 도우미 : 탑가이드(TopGuide)

반응형
국내에서 제작되어 Internet Explorer 기본 검색 공급자 변경 및 추천 사이트 광고바를 생성하는 검색 도우미 탑가이드(TopGuide) 프로그램에 대해 살펴보도록 하겠습니다.

해당 프로그램은 인포탭(InfoTab), 인포와이즈(InfoWise) 검색 도우미 프로그램과 유사성이 강하므로 참고하시기 바랍니다.

해당 프로그램은 Windows 시작시 TopGuide.exe 파일을 시작 프로그램으로 등록하여 자동 실행되며, 해당 프로세스는 메모리에 상주하도록 구성되어 있습니다.

사용자가 Internet Explorer를 실행할 경우 기본 검색 공급자로 설정된 현재 설정에서 프로그램이 제공하는 [야후(info-way.kr)]로 변경하도록 유도하는 창이 생성되는 것을 확인할 수 있습니다.

추가적으로 사용자가 검색을 통한 사이트 접속시 해당 검색어와 관련된 추천 사이트를 웹 브라우저 상단에 광고바 형태로 생성하는 동작을 확인할 수 있으며, 외형상 어떤 프로그램으로 인한 동작인지 확인이 불가능합니다.

[추가 기능 관리 : 도구 모음 및 확장 프로그램]

TopGuide

 - 게시자 : nbiz Ltd.
 - CLSID : {1ED65C88-1259-484B-A9FA-6731E0D15743}
 - 파일 : C:\Program Files\TopGuide\TopGuide.dll

프로세스 정보를 살펴보면 TopGuide.exe 프로세스가 메모리에 상주하며, 사용자가 Internet Explorer를 실행할 경우 iexplore.exe 프로세스에 TopGuide.dll 파일을 BHO 방식으로 추가하여 동작하는 것을 확인할 수 있습니다.

프로그램 삭제시에는 작업 관리자에서 TopGuide.exe 프로세스 종료 및 Internet Explorer를 완전히 종료한 후, 제어판의 [TopGuide] 삭제 항목을 이용하여 삭제하실 수 있습니다.

프로그램 삭제 후에는 추가적으로 [C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\TopGuide_TG31.exe] 파일을 수동으로 삭제하시기 바랍니다.

[생성 레지스트리 등록 정보]

HKEY_CLASSES_ROOT\CLSID\{1ED65C88-1259-484B-A9FA-6731E0D15743}
HKEY_CLASSES_ROOT\Interface\{4BA72FD4-FEEC-4DEE-9504-5C13E4C9866C}
HKEY_CLASSES_ROOT\TopGuide.TopGuideCtl
HKEY_CLASSES_ROOT\TopGuide.TopGuideCtl.1
HKEY_CLASSES_ROOT\TypeLib\{7D1AFD44-BEA6-48BD-8872-21940D385C3B}
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{D94DCC35-A105-4A97-A957-FB7D54BB3612}
HKEY_CURRENT_USER\Software\TopGuide
HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{1ED65C88-1259-484B-A9FA-6731E0D15743}
HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Run
 - TopGuide = C:\Program Files\TopGuide\TopGuide.exe
HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Uninstall\TopGuide

[수정 레지스트리 등록 정보]

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes
 - DefaultScope = {사용자 지정 기본 검색 공급자 CLSID} :: 수정 전
 - DefaultScope = {D94DCC35-A105-4A97-A957-FB7D54BB3612} :: 수정 후

위와 같은 프로그램으로 인하여 인터넷 이용시 원치않는 광고 생성, 탭 브라우저 이용 방해 등의 동작이 발생하므로 제휴(스폰서) 프로그램이 포함된 프로그램을 설치하실 때에는 주의하시기 바랍니다.


728x90
반응형
  • 김병용 2010.10.19 06:38 댓글주소 수정/삭제 댓글쓰기

    좋은 글 고맙습니다. 저도 언제부터인가 탑가이드가 설치되어 있더군요. 그리고 곧 파리떼 바이러스가 따라서 제 컴퓨터로 들어온 것을 오늘 확인하였습니다. 탑가이드가 악명높은 파리떼 바이러스의 근원이었음을 이제서야 알게 되었습니다.(관련 블로그 글들: http://www.baedalnet.com/freeboard/10032967; http://kjcc2.tistory.com/807)

    • 네~ 아마 9월 하순경부터 탑가이드에서 바이러스를 뿌린 것으로 보입니다.

      감염률이 국내에서 엄청 높은걸 보니 사용자들이 이 프로그램이 많이 설치되어 있었던 모양입니다.

      광고 프로그램들 중에서 관리를 잘못하여 이런 바이러스 유포가 가끔씩 발견되므로 되도록 설치하지 않도록 주의하시기 바랍니다.^^

  • 비밀댓글입니다

    • 맞습니다.^^

      이런 프로그램은 어떻게해서라도 사용자 PC에 설치만 성공하면 수익이 발생할 수 있는 구조라서 사용자가 삭제하지 않는 이상 배포자에게 참 좋은 수익원이겠죠.

  • 레인별 2011.01.09 00:08 댓글주소 수정/삭제 댓글쓰기

    혹시 Topguide가 제어판에 없으면 PlusTab을 찾아서 제거 하시길 바랍니다. 뿌려놓고 이름 바꿔났더군요 -_-;;

  • 가을 하늘 2011.09.11 20:00 댓글주소 수정/삭제 댓글쓰기

    좋은 정보 감사 합니다.