본문 바로가기

벌새::Analysis

검색 도우미 : 플러스탭(PlusTab)

국내에서 제작되어 Internet Explorer 기본 검색 공급자 변경 시도 및 검색어 관련 광고바를 생성하는 검색 도우미 플러스탭(PlusTab) 프로그램에 대해 살펴보도록 하겠습니다.

해당 프로그램은 기존에 살펴본 위의 프로그램들과 유사성이 강하므로 참고하시기 바랍니다.

[추가 생성 파일 정보]

C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\PlusTab_PT31.exe

해당 프로그램은 Windows 시작시 PlusTab.exe 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.

프로그램이 설치된 환경에서 사용자가 Internet Explorer를 실행시 기본 검색 공급자를 프로그램에서 지정한 [야후 (info-way.kr)]로 변경할지를 묻는 창이 생성되는 것을 확인할 수 있습니다.

만약 사용자가 플러스탭(PlusTab)에서 제공하는 기본 검색 공급자로 변경한 경우 야후(Yahoo)를 기본값으로 검색이 이루어지도록 구성되어 있습니다.

실제 검색을 시도할 경우 info-way.kr 도메인을 경우하여 야후 검색 결과가 생성되며 이를 통해 등록된 프로그램 배포자에게 수익이 발생할 것으로 추정됩니다.

또한 추가적으로 사용자가 인터넷 검색을 통한 사이트 접근시 웹 브라우저 상단에 해당 검색어 관련 정보 광고바가 생성되는 것을 확인할 수 있습니다.

해당 광고는 특정 광고 코드를 포함하여 일정 조건이 만족될 경우 프로그램 배포자에게 수익이 발생할 것으로 추정됩니다.

[추가 기능 관리 : 도구 모음 및 확장 프로그램]

PlusTabCtl Class
 - 게시자 : nbiz Ltd.
 - CLSID : {4D367733-AFF9-4943-9757-D37DAD8F33EB}
 - 파일 : C:\Program Files\PlusTab\PlusTab.dll

프로세스 정보를 살펴보면 PlusTab.exe 프로세스는 메모리에 상주하며, 사용자가 Internet Explorer를 실행할 경우 iexplore.exe 프로세스에 PlusTab.dll 파일을 BHO 방식으로 추가하여 동작하는 것을 확인할 수 있습니다.

프로그램 삭제시에는 작업 관리자에서 PlusTab.exe 프로세스를 수동으로 종료한 후, 열려진 모든 Internet Explorer를 종료한 상태에서 제어판의 [PlusTab] 삭제 항목을 이용하여 삭제하실 수 있습니다.

프로그램 삭제 후에는 추가적으로 [C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\PlusTab_PT31.exe] 파일을 수동으로 삭제하시기 바랍니다.

[생성 레지스트리 등록 정보]

HKEY_CLASSES_ROOT\AppID\PlusTab.DLL
HKEY_CLASSES_ROOT\AppID\{F31C050C-48AF-4026-8DC7-57E72044DA2E}
HKEY_CLASSES_ROOT\CLSID\{4D367733-AFF9-4943-9757-D37DAD8F33EB}
HKEY_CLASSES_ROOT\Interface\{61D82F4D-F0D5-4B2E-BAAA-D338EF90C8E7}
HKEY_CLASSES_ROOT\PlusTab.PlusTabCtl
HKEY_CLASSES_ROOT\PlusTab.PlusTabCtl.1
HKEY_CLASSES_ROOT\TypeLib\{6B68F6D2-4BA9-4E20-85FD-8CABE815C751}
HKEY_CURRENT_USER\software\Microsoft\Internet Explorer\SearchScopes\{D94DCC35-A105-4A97-A957-FB7D54BB3612}
HKEY_CURRENT_USER\software\PlusTab
HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{4D367733-AFF9-4943-9757-D37DAD8F33EB}

HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Run
 - PlusTab = C:\Program Files\PlusTab\PlusTab.exe
HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Uninstall\
PlusTab


국내 소프트웨어를 설치하는 과정에서 다양한 제휴(스폰서) 프로그램이 설치될 수 있으므로 프로그램 설치 단계에서 꼼꼼하게 살피는 습관을 가지시기 바랍니다.
  • Nooriro™ 2010.10.31 00:03 댓글주소 수정/삭제 댓글쓰기

    야후(info-way.kr)이 웃기네요ㅎㅎ

  • 버섯두리 2010.11.03 23:27 댓글주소 수정/삭제 댓글쓰기

    지웠는데 또깔리네요...해결방법 없을까요?

    • 해당 프로그램은 단독으로 설치가 되는 것이 아니라 어떤 특정 악성(또는 정상적인) 프로그램이 설치를 유도하는 것으로 추정됩니다.

      아마 사용자 컴퓨터에 이런 악성 프로그램이 존재할 것으로 보이므로, 사용하시는 보안 제품을 통해 시스템 정밀 검사를 하여 문제의 프로그램을 추가적으로 제거하시기 바랍니다.

      부팅시마다 삭제한 프로그램이 재설치된다면 분명히 시작 프로그램에 등록되어 있을 가능성이 가장 크므로 시작 프로그램 등록 항목을 확인하시기 바라며, 사용자 컴퓨터에 설치된 국내 광고 프로그램 등 이상한 프로그램은 모두 제거를 하시면서 점검을 해보시기 바랍니다.

  • 하나 더! 2011.02.09 21:26 댓글주소 수정/삭제 댓글쓰기

    안녕하세요?
    저같은 경우는 C:\WINDOWS\system32에 PlusTab__PT06.exe이란게 있네요;;
    참고해주시기 바래요;;
    글구 C:\Documents and Settings\(사용자 계정)\Local Settings\Temp에도 같은 이름에 있는 파일이 있더군요;;

    • 안녕하세요.

      말씀하시는 파일의 위치를 보면 아마 어떤 프로그램을 통해 플러스탭을 설치하기 위해 플러스탭 설치 파일을 시스템 폴더에 다운로드한 후 설치하는 과정에서 설치 파일이 계속적으로 존재하는 것으로 추정됩니다.^^

      즉, 그 파일은 플러스탭 설치 파일이라고 보시면 됩니다.

    • 하나 더! 2011.02.09 21:28 댓글주소 수정/삭제

      네 감사합니다;;

  • 하나 더! 2011.02.09 21:28 댓글주소 수정/삭제 댓글쓰기

    그리고 system32폴더에 Plustab.dll도 존재합니다;;

    • 그런 경우에는 제가 테스트하는 설치 파일과는 다르게 설치 폴더를 시스템 폴더로 잡고 설치가 되는 악질로 추정됩니다.

      보통 시스템 폴더에는 워낙 많은 파일과 중요 파일이 있어서 찾기 어렵다는 점을 이용할 수 있겠죠.ㅠㅠ

  • 지나가는 이 2011.03.24 02:18 댓글주소 수정/삭제 댓글쓰기

    많은 도움이 되었습니다^^
    감사합니다!

  • 감사합니다!! 2011.03.27 12:51 댓글주소 수정/삭제 댓글쓰기

    감사합니다!!
    많은 도움되었습니다.

  • 전 그게 필요해요!! 2011.04.17 11:48 댓글주소 수정/삭제 댓글쓰기

    벌새님 전 플러스탭이 꼭 필요한데요..
    컴퓨터고장나서 고쳤더니 없어졌어요
    이게 없으면 할수 있던걸 못하게되요
    그래서 꼭 있어야하는데 플러스탭
    어디서 설치하는지좀 가르쳐주세요.. ㅜ 간절합니다

  • 리군 2011.05.13 10:10 댓글주소 수정/삭제 댓글쓰기

    플러스탭,사이드탭,탭가이드 악질프로그램이군요.

    감사합니다.