본문 바로가기

벌새::Analysis

검색 도우미 : gSearch / InfoG - joeunclass

국내에서 제작되어 인터넷 검색을 도와주는 툴바(Toolbar)로 소개된 gSearch / InfoG - joeunclass 악성 프로그램에 대해 살펴보도록 하겠습니다.

해당 프로그램의 설치 파일(MD5 : 81891d578cc0e75828602fa50bc06775)에 대하여 안철수연구소(AhnLab) V3 보안 제품에서는 Trojan/Win32.Agent (VirusTotal : 14/43) 진단명으로 진단되므로 참고하시기 바랍니다.

해당 프로그램은 이전에 살펴본 proobjecttwo와 유사성이 강한 변종으로 추정되므로 참고하시기 바랍니다.

[생성 폴더 / 파일 등록 정보]

C:\Program Files\joeunclass\joeunclass.dll :: BHO 등록 파일
C:\Program Files\joeunclass\joeunclass.exe :: 시작 프로그램 등록 파일
C:\Program Files\joeunclass\joeunclassun.exe :: 프로그램 삭제 파일
C:\WINDOWS\system32\inetko.dll
C:\WINDOWS\system32\joeunsetup.exe
C:\WINDOWS\system32\MSINET.OCX
C:\WINDOWS\system32\msvbvm60.dll
C:\WINDOWS\system32\VB6KO.DLL

[생성 파일 진단 정보]

C:\Program Files\joeunclass\joeunclass.exe (MD5 : 6679d42675197b1bbb9c3a476f342daa)
 - AhnLab V3 : Downloader/Win32.VB (VirusTotal : 4/43)

C:\WINDOWS\system32\joeunsetup.exe (MD5 : 1ce3afb830a5ffcd1bf4c55d4c9932d8)
 - Kaspersky : Trojan-Downloader.Win32.VB.aeym (VirusTotal : 8/42)

해당 프로그램은 [C:\Program Files\joeunclass] 폴더에 파일을 생성하며, Windows 시작시 joeunclass.exe 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.

자동 실행되는 joeunclass.exe 파일은 특정 서버에서 파일 버전 체크 및 사용자 PC의 Mac Address를 기반으로 배포자 아이디 등이 포함된 체크가 이루어지는 것으로 보아, 프로그램 배포자의 의도에 따라 Windows 시작시 또는 인터넷을 이용하는 과정에서 추가적인 다운로드가 있을 수 있습니다.


[추가 기능 관리 : 도구 모음 및 확장 프로그램]

joeunclassprg.joeunclass
 - 게시자 : XP PLUS
 - CLSID : {4B627187-9719-4F6B-B675-86FD7CF66757}
 - 파일 : C:\Program Files\joeunclass\joeunclass.dll


프로그램이 설치된 환경에서 사용자가 Internet Explorer를 실행할 경우 iexplore.exe 프로세스에 joeunclass.dll 파일을 BHO 방식으로 추가하여 동작하는 것을 확인할 수 있습니다.

참고로 이런 경우 인터넷 검색시 광고 생성 등 다양한 동작이 유발될 수 있으며, 테스트에서는 확인된 동작이 없습니다.


해당 프로그램은 프로그램 삭제를 위해 제어판의 [Gsearch] 삭제 항목이 존재하지만, 실제 생성된 파일 중 일부를 삭제하지 않는 것을 확인하였습니다.

제어판을 통한 프로그램 삭제 후 추가적으로 수동 삭제를 해야하는 폴더(파일)은 다음과 같습니다.
  • C:\Program Files\joeunclass
  • C:\Program Files\joeunclass\joeunclass.dll
  • C:\Program Files\joeunclass\joeunclassun.exe
참고로 프로그램의 수동 삭제를 위해서는 반드시 Internet Explorer를 모두 종료한 상태에서 생성 폴더(파일), 레지스트리 항목을 삭제하시기 바랍니다.

[생성 레지스트리 등록 정보]

HKEY_CLASSES_ROOT\CLSID\{4B627187-9719-4F6B-B675-86FD7CF66757}
HKEY_CLASSES_ROOT\Interface\{1AB433E1-E256-45DA-B60D-3412EEDCCD1A}
HKEY_CLASSES_ROOT\joeunclassprg.joeunclass
HKEY_CLASSES_ROOT\TypeLib\{64764306-9512-47DF-AD32-A61D8619F77A}
HKEY_LOCAL_MACHINE\SOFTWARE\joeunclass
HKEY_LOCAL_MACHINE\SOFTWARE\microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{4B627187-9719-4F6B-B675-86FD7CF66757}

HKEY_LOCAL_MACHINE\SOFTWARE\microsoft\Windows\CurrentVersion\Run
 - joeunclass = C:\Program Files\joeunclass\joeunclass.exe
HKEY_LOCAL_MACHINE\SOFTWARE\microsoft\Windows\CurrentVersion\Uninstall\
joeunclass


해당 프로그램은 설치 폴더명과 제어판 삭제명이 서로 달라 삭제를 방해하는 유형을 가지고 있으며, 실제 프로그램 삭제 후에도 BHO로 등록된 항목이 제거되지 않는 등의 문제가 있으므로 주의하시기 바랍니다.