본문 바로가기

벌새::Analysis

웹하드 광고 프로그램 : IE input htmlspb uninstall

728x90
반응형
국내에서 제작되어 네이버(Naver) 검색시 검색 결과창에 웹하드 광고 배너를 생성하는 출처를 알 수 없는 IE input htmlspb uninstall 프로그램에 대해 살펴보도록 하겠습니다.

해당 프로그램의 설치 파일(SHA1 : 28f4a0a068ff57c4d61b03a334d349f0c052d9db)에 대하여 BitDefender 엔진에서는 Gen:Trojan.Heur.DP.pGW@ayLqhxgG (VirusTotal : 11/42) 진단명으로 진단되고 있으므로 참고하시기 바랍니다.

[생성 파일 등록 정보]

C:\WINDOWS\system32\spb.dll :: BHO 등록 파일
C:\WINDOWS\system32\uninstall_spb.exe :: 프로그램 삭제 파일

해당 프로그램은 시스템 폴더(%windir%\system32)에 파일을 생성하고 있으며, Internet Explorer 실행시 동작하는 방식으로 구성되어 있습니다.


실제 동작 방식을 살펴보면 네이버 검색시 검색 결과창 우측에 TV, 영화 관련 배너 광고를 생성하는 것을 확인할 수 있습니다.

해당 배너 광고 하단에는 [본 배너는 본사이트와 무관합니다.]라고 표기되어 있지만, 사용자가 해당 배너를 생성하는 프로그램을 찾는게 어렵다는 점과 유명 포털 사이트 검색시 무조건 생성되어 금전적 수익을 유발시킨다는 점은 문제가 있다고 생각됩니다.


해당 배너 광고를 생성하는 동작을 유발하는 spb.dll 파일을 확인해보면 특정 국내 도메인에서 해당 광고 배너를 불러오는 것을 확인할 수 있습니다.


해당 광고를 클릭할 경우 국내 특정 웹하드 사이트로 연결되는 과정에서 광고 코드가 추가되어 등록되는 것을 확인할 수 있으며, 조건이 만족될 경우 프로그램 배포자에게 금전적 수익이 발생할 것으로 추정됩니다.


[추가 기능 관리 : 도구 모음 및 확장 프로그램]

spb
 - 게시자 : 알 수 없음
 - CLSID : {E5DFE968-752D-4118-AE93-287B8C7EDFF3}
 - 파일 : C:\WINDOWS\system32\spb.dll


프로세스 정보를 살펴보면 사용자가 Internet Explorer를 실행할 경우 iexplore.exe 프로세스에 spb.dll 파일을 BHO 방식으로 추가하여 동작하는 것을 확인할 수 있습니다.


프로그램 삭제시에는 모든 Internet Explorer를 종료한 상태에서 제어판의 [IE input htmlspb uninstall] 삭제 항목을 이용하여 삭제하실 수 있습니다.

하지만 프로그램 삭제 후 시스템 환경에 따라 제어판의 해당 삭제 항목이 제거되지 않는 문제가 발생할 수 있는 것으로 보이므로, 사용자는 추가적으로 생성된 레지스트리 항목을 모두 확인하여 제거해 주시기 바랍니다.

[생성 레지스트리 등록 정보]

HKEY_CLASSES_ROOT\CLSID\{E5DFE968-752D-4118-AE93-287B8C7EDFF3}
HKEY_CLASSES_ROOT\spb.spb
HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\spb
HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E5DFE968-752D-4118-AE93-287B8C7EDFF3}
HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Uninstall\spb

해당 프로그램과 같이 출처를 알 수 없는 광고 프로그램으로 인한 정상적인 인터넷 이용에 방해가 되거나, 프로그램 설치 위치가 시스템 폴더 내부이거나, 삭제 항목이 매우 이상한 이름으로 구성되어 있어서 프로그램 삭제에 방해가 되는 경우가 있는 프로그램은 주의가 요구됩니다.
728x90
반응형