반응형
국내에서 제작된 상업적 목적의 광고 프로그램으로 포털 사이트 검색시 광고 생성 및 포털 광고보다 최상위에 위치하도록 제작된 SupporterLink - Windows Search Client 프로그램에 대해 살펴보도록 하겠습니다.
해당 프로그램은 설치시 SupporterLink로 표기를 하고 있으며, 설치 파일(MD5 : 7cfdfd5005e4dd8e761a4fe6b9d565d8)에 대하여 BitDefender 보안 제품에서는 Trojan.Generic.KD.20871 (VirusTotal : 9/43) 진단명으로 진단되고 있습니다.
해당 프로그램은 [C:\WINDOWS\SupporterLink] 폴더에 프로그램을 생성하고 있으며, 추가적으로 Windows 폴더 내부에 삭제를 지원하지 않는 애드웨어(Adware)를 설치하고 있습니다.
Windows 시작시 SupporterLinkUp.exe / WindowSpUd.exe 2개의 파일을 시작 프로그램으로 등록하여 파일 버전 체크 등의 동작을 하도록 구성되어 있습니다.
프로그램이 설치된 환경에서 Internet Explorer 팝업 차단 설정에 국내 포털 사이트 검색시 팝업창 차단을 허용하도록 목록에 추가하는 동작을 확인할 수 있습니다.
해당 프로그램은 크게 2가지 동작을 하도록 제작된 것으로 추정되며, 다음과 같은 동작을 확인할 수 있습니다.
1. 포털 사이트 검색시 광고 생성
예를 들어, 다음(Daum) 검색시 그림과 같이 둥근 모양의 특정 광고가 생성되며 해당 광고는 포털 사이트에서 제공하는 것이 아닌 해당 프로그램으로 인해 생성되는 것으로 일반인은 포털 사이트 광고로 오해할 수 있습니다.
특히 해당 광고는 닫기 버튼이 존재하지 않아서 검색시 사용자의 정상적인 인터넷 사용에 방해가 되고 있습니다.
2. 포털 사이트 제공 스폰서 링크보다 최상위에 광고 생성
현재 다음(Daum) 사이트에서는 검색시 스폰서 링크, 프리미엄 링크 순으로 광고를 배치하고 있는 것을 확인할 수 있습니다.
하지만 해당 프로그램이 설치된 환경에서는 Daum 광고(스폰서 링크)는 하단으로 내려가고 프로그램에서 생성하는 서포터 링크가 최상위에 위치하는 것을 확인할 수 있습니다.
특히 해당 링크는 Daum에서 제공하지 않는다는 표시도 하지 않는 문제도 확인할 수 있습니다.
해당 광고 링크는 특정 광고 서버를 경유하여 광고 코드를 포함하여 상업적 수익을 유발하고 있는 것으로 추정됩니다.
프로세스 정보를 살펴보면 사용자가 Internet Explorer를 실행할 경우 iexplore.exe 프로세스에 SPAnalysis.dll 파일을 BHO 방식으로 추가하여 동작하도록 구성되어 있습니다.
프로그램 삭제시에는 반드시 Internet Explorer를 종료한 상태에서 제어판의 [Windows Search Client] 삭제 항목을 이용하여 삭제하실 수 있습니다.
프로그램 삭제 후에는 추가적으로 다음의 폴더, 파일, 레지스트리 항목을 수동으로 삭제하시기 바랍니다.
해당 프로그램은 설치시 알려진 프로그램 이름과는 다른 이름으로 삭제 항목을 생성하는 점, 프로그램 설치 파일을 Windows 폴더에 생성하는 점, 광고 생성 및 링크 생성 동작이 포털 사이트에서 제공하는 것으로 오해할 수 있다는 점, 사용자 몰래 추가적인 악성 파일 생성 등이 확인되므로 사용자의 주의가 요구됩니다.
해당 프로그램은 설치시 SupporterLink로 표기를 하고 있으며, 설치 파일(MD5 : 7cfdfd5005e4dd8e761a4fe6b9d565d8)에 대하여 BitDefender 보안 제품에서는 Trojan.Generic.KD.20871 (VirusTotal : 9/43) 진단명으로 진단되고 있습니다.
[관련 URL 정보]
h**p://114.***.244.***/splink/his/inshis.php?p1=bXNfaWQ9MTMmbWFjPTAwNDAyYjIxYjI3Mg==
h**p://114.***.244.***/splink/update/version.php?ms_id=13&m_install=0&version=1.0.1
h**p://114.***.244.***/splink/update/download/SupporterLinkUp.exe
h**p://114.***.244.***/splink/update/download/WindowSpUd.exe
h**p://114.***.244.***/splink/update/download/RankSupporter.dll
h**p://114.***.244.***/sppattern/update/version.php?m_install=0&version=1.0.1
h**p://114.***.244.***/sppattern/update/download/WindowRLSP.exe
h**p://114.***.246.***/pattern/relation/infosp.php
h**p://114.***.244.***/splink/his/inshis.php?p1=bXNfaWQ9MTMmbWFjPTAwNDAyYjIxYjI3Mg==
h**p://114.***.244.***/splink/update/version.php?ms_id=13&m_install=0&version=1.0.1
h**p://114.***.244.***/splink/update/download/SupporterLinkUp.exe
h**p://114.***.244.***/splink/update/download/WindowSpUd.exe
h**p://114.***.244.***/splink/update/download/RankSupporter.dll
h**p://114.***.244.***/sppattern/update/version.php?m_install=0&version=1.0.1
h**p://114.***.244.***/sppattern/update/download/WindowRLSP.exe
h**p://114.***.246.***/pattern/relation/infosp.php
[생성 파일 진단 정보]
C:\WINDOWS\SupporterLink\SPAnalysis.dll (MD5 : b9c93daee8ac55007eea53500d778490)
- BitDefender : Trojan.Generic.KD.20871 (VirusTotal : 12/42)
C:\WINDOWS\WindowSpUd.exe (MD5 : c7c32dfb55ba4d584106234c1d67660e)
- AhnLab V3 : Win-Adware/WindowSp.237568 (VirusTotal : 7/43)
C:\WINDOWS\SupporterLink\SPAnalysis.dll (MD5 : b9c93daee8ac55007eea53500d778490)
- BitDefender : Trojan.Generic.KD.20871 (VirusTotal : 12/42)
C:\WINDOWS\WindowSpUd.exe (MD5 : c7c32dfb55ba4d584106234c1d67660e)
- AhnLab V3 : Win-Adware/WindowSp.237568 (VirusTotal : 7/43)
해당 프로그램은 [C:\WINDOWS\SupporterLink] 폴더에 프로그램을 생성하고 있으며, 추가적으로 Windows 폴더 내부에 삭제를 지원하지 않는 애드웨어(Adware)를 설치하고 있습니다.
Windows 시작시 SupporterLinkUp.exe / WindowSpUd.exe 2개의 파일을 시작 프로그램으로 등록하여 파일 버전 체크 등의 동작을 하도록 구성되어 있습니다.
프로그램이 설치된 환경에서 Internet Explorer 팝업 차단 설정에 국내 포털 사이트 검색시 팝업창 차단을 허용하도록 목록에 추가하는 동작을 확인할 수 있습니다.
해당 프로그램은 크게 2가지 동작을 하도록 제작된 것으로 추정되며, 다음과 같은 동작을 확인할 수 있습니다.
1. 포털 사이트 검색시 광고 생성
예를 들어, 다음(Daum) 검색시 그림과 같이 둥근 모양의 특정 광고가 생성되며 해당 광고는 포털 사이트에서 제공하는 것이 아닌 해당 프로그램으로 인해 생성되는 것으로 일반인은 포털 사이트 광고로 오해할 수 있습니다.
특히 해당 광고는 닫기 버튼이 존재하지 않아서 검색시 사용자의 정상적인 인터넷 사용에 방해가 되고 있습니다.
2. 포털 사이트 제공 스폰서 링크보다 최상위에 광고 생성
현재 다음(Daum) 사이트에서는 검색시 스폰서 링크, 프리미엄 링크 순으로 광고를 배치하고 있는 것을 확인할 수 있습니다.
하지만 해당 프로그램이 설치된 환경에서는 Daum 광고(스폰서 링크)는 하단으로 내려가고 프로그램에서 생성하는 서포터 링크가 최상위에 위치하는 것을 확인할 수 있습니다.
특히 해당 링크는 Daum에서 제공하지 않는다는 표시도 하지 않는 문제도 확인할 수 있습니다.
해당 광고 링크는 특정 광고 서버를 경유하여 광고 코드를 포함하여 상업적 수익을 유발하고 있는 것으로 추정됩니다.
[추가 기능 관리 : 도구 모음 및 확장 프로그램]
SupporterRank.
- 게시자 : Windows SupporterLink
- CLSID : {70927A78-9E7D-4FAE-9BD9-5EDA3A21E58D}
- 파일 : C:\WINDOWS\SupporterLink\SPAnalysis.dll
RankSupporter.
- 게시자 : TODO: <회사 이름>
- CLSID : {796140BA-B7C8-4AB2-844B-1A2CE38E2A73}
- 파일 : C:\WINDOWS\SupporterLink\RankSupporter.dll
SupporterRank.
- 게시자 : Windows SupporterLink
- CLSID : {70927A78-9E7D-4FAE-9BD9-5EDA3A21E58D}
- 파일 : C:\WINDOWS\SupporterLink\SPAnalysis.dll
RankSupporter.
- 게시자 : TODO: <회사 이름>
- CLSID : {796140BA-B7C8-4AB2-844B-1A2CE38E2A73}
- 파일 : C:\WINDOWS\SupporterLink\RankSupporter.dll
프로세스 정보를 살펴보면 사용자가 Internet Explorer를 실행할 경우 iexplore.exe 프로세스에 SPAnalysis.dll 파일을 BHO 방식으로 추가하여 동작하도록 구성되어 있습니다.
프로그램 삭제시에는 반드시 Internet Explorer를 종료한 상태에서 제어판의 [Windows Search Client] 삭제 항목을 이용하여 삭제하실 수 있습니다.
프로그램 삭제 후에는 추가적으로 다음의 폴더, 파일, 레지스트리 항목을 수동으로 삭제하시기 바랍니다.
C:\WINDOWS\SupporterLink
C:\WINDOWS\WindowRLSP.exe
C:\WINDOWS\windowspcfg.ini
C:\WINDOWS\WindowSpUd.exe
[생성 레지스트리 등록 정보]
HKEY_CLASSES_ROOT\CLSID\{70927A78-9E7D-4FAE-9BD9-5EDA3A21E58D}
HKEY_CLASSES_ROOT\Interface\{A2CAB36D-4CCF-469D-9432-C87934E994AB}
HKEY_CLASSES_ROOT\SPAnalysis.AnalysisMain
HKEY_CLASSES_ROOT\SPAnalysis.AnalysisMain.1
HKEY_CLASSES_ROOT\TypeLib\{0F4198F5-C4DA-4DF5-8CCF-F15F3CD2FF6F}
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow
- kr.search.yahoo.com
- search.daum.net
- search.nate.com
- search.naver.com
- search.paran.com
HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{70927A78-9E7D-4FAE-9BD9-5EDA3A21E58D}
HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Run
- SupporterLink = C:\WINDOWS\SupporterLink\SupporterLinkUp.exe
- WindowSpUd = C:\WINDOWS\WindowSpUd.exe
HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Uninstall\SupporterLink_is1
HKEY_LOCAL_MACHINE\software\SupporterLink
C:\WINDOWS\WindowRLSP.exe
C:\WINDOWS\windowspcfg.ini
C:\WINDOWS\WindowSpUd.exe
[생성 레지스트리 등록 정보]
HKEY_CLASSES_ROOT\CLSID\{70927A78-9E7D-4FAE-9BD9-5EDA3A21E58D}
HKEY_CLASSES_ROOT\Interface\{A2CAB36D-4CCF-469D-9432-C87934E994AB}
HKEY_CLASSES_ROOT\SPAnalysis.AnalysisMain
HKEY_CLASSES_ROOT\SPAnalysis.AnalysisMain.1
HKEY_CLASSES_ROOT\TypeLib\{0F4198F5-C4DA-4DF5-8CCF-F15F3CD2FF6F}
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow
- kr.search.yahoo.com
- search.daum.net
- search.nate.com
- search.naver.com
- search.paran.com
HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{70927A78-9E7D-4FAE-9BD9-5EDA3A21E58D}
HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Run
- SupporterLink = C:\WINDOWS\SupporterLink\SupporterLinkUp.exe
- WindowSpUd = C:\WINDOWS\WindowSpUd.exe
HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Uninstall\SupporterLink_is1
HKEY_LOCAL_MACHINE\software\SupporterLink
해당 프로그램은 설치시 알려진 프로그램 이름과는 다른 이름으로 삭제 항목을 생성하는 점, 프로그램 설치 파일을 Windows 폴더에 생성하는 점, 광고 생성 및 링크 생성 동작이 포털 사이트에서 제공하는 것으로 오해할 수 있다는 점, 사용자 몰래 추가적인 악성 파일 생성 등이 확인되므로 사용자의 주의가 요구됩니다.
728x90
반응형