본문 바로가기

벌새::Analysis

제휴(스폰서) 프로그램 : iBoxInfo

반응형
국내에서 제작되어 사용자 PC에 설치된 경우 Internet Explorer 실행 과정에서 광고 등의 정보가 노출될 것으로 추정되는 iBoxInfo 프로그램에 대해 살펴보도록 하겠습니다.

[생성 파일 등록 정보]

C:\Program Files\iboxinfo\iboxinfo.dll :: BHO 등록 파일
C:\Program Files\iboxinfo\iboxinfo.exe
C:\Program Files\iboxinfo\iboxinfoun.exe :: 프로그램 삭제 파일
C:\WINDOWS\system32\iboxsetup.exe :: iBoxInfo 설치 파일
C:\WINDOWS\system32\inetko.dll
C:\WINDOWS\system32\MSINET.OCX
C:\WINDOWS\system32\msvbvm60.dll
C:\WINDOWS\system32\VB6KO.DLL

해당 프로그램의 동작은 사용자가 Internet Explorer를 실행할 경우 iboxinfo.exe 프로세스가 실행되어 다음과 같은 업데이트 체크를 수행하도록 구성되어 있습니다.

h**p://124.***.127.***/count/counter_newratio.php?pid=iboxinfo&kind=2
h**p://124.***.127.***:8089/iboxinfo/update.html
h**p://124.***.127.***:8089/iboxinfo/check.html


프로세스 정보를 살펴보면 iboxinfo.exe 프로세스는 Internet Explorer 실행시 1회 업데이트 체크를 수행한 후 자동 종료되며, iexplore.exe 프로세스에는 iboxinfo.dll 파일이 BHO 방식으로 추가되는 것을 확인할 수 있습니다.

iboxinfo.dll


해당 iboxinfo.dll 파일을 확인해보면 특정 광고(realclick)와 연결되는 부분과 추가적으로 winmsinfo.exe(테스트 당시에는 다운로드 차단 상태) 파일 다운로드가 이루어질 수 있는 부분을 발견할 수 있습니다.


[추가 기능 관리 : 도구 모음 및 확장 프로그램]

iboxinfoma.iboxinfo
 - 게시자 : XP PLUS
 - CLSID : {50DE159D-D3FD-4861-9AFA-B7978326272E}
 - 파일 : C:\Program Files\iboxinfo\iboxinfo.dll


프로그램 삭제시에는 반드시 모든 Internet Explorer를 종료한 상태에서 제어판의 [iboxinfo] 삭제 항목을 이용하여 삭제하실 수 있습니다.

참고로 해당 프로그램 삭제 후에는 [C:\WINDOWS\system32\iboxsetup.exe] 파일을 수동으로 삭제하시기 바라며, Windows 시스템 폴더(%systemroot%\system32)에 생성되거나 기존에 존재하던 정상적인 inetko.dll, MSINET.OCX, msvbvm60.dll, VB6KO.DLL 파일은 사용자 PC 환경에 따라 삭제시 문제가 발생할 수 있으므로 삭제하지 않도록 하시기 바랍니다.

[생성 레지스트리 등록 정보]

HKEY_CLASSES_ROOT\CLSID\{50DE159D-D3FD-4861-9AFA-B7978326272E}
HKEY_CLASSES_ROOT\iboxinfoma.iboxinfo
HKEY_CLASSES_ROOT\Interface\{256450E7-E535-41C9-A33C-E46D48C934C7}
HKEY_CLASSES_ROOT\TypeLib\{39DF8939-1732-456B-A9ED-F0966F092B02}
HKEY_LOCAL_MACHINE\SOFTWARE\iboxinfo
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{50DE159D-D3FD-4861-9AFA-B7978326272E}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\iboxinfo

해당 프로그램의 외형적인 동작은 확인되지 않았지만, 인터넷을 사용하는 과정에서 원치 않는 광고 등이 생성되거나 쇼핑몰 이용시 타인에게 금전적 수익을 유발할 수 있으므로 사용자의 신중한 선택이 요구됩니다.
728x90
반응형
  • 익명 2010.11.29 21:08 댓글주소 수정/삭제 댓글쓰기

    비밀댓글입니다

    • 유입경로에 알툴바가 찍혔다는 건가요?

      제 기억으로는 아주 가끔씩 알툴바쪽을 경유한 유입이 있더군요.

      아마 알툴바에서 제공하는 검색을 통해 접근하는가 봅니다.

      습격까지야~^^

  • 알 수 없는 사용자 2010.11.29 21:23 댓글주소 수정/삭제 댓글쓰기

    엄청 빠른 댓글이다.
    네 유입링크로 이렇게 왔습니다.
    http://rainskyzero.tistory.com/718
    제 블로그 포스팅이 대부분 영어와 숫자인데
    저게 걸려올줄이야 상상도 못했습니다만
    유입이 되네요.

  • 잘 보고 갑니다.
    행복한 시간 되세요.^^