반응형
국내에서 제작되어 인터넷 검색시 웹 브라우저 상단에 광고 툴바를 생성하는 검색 도우미 어바웃탑바(abouttopbar) 프로그램에 대해 살펴보도록 하겠습니다.
해당 프로그램은 Windows 시작시 aboutagent.exe 파일을 시작 프로그램으로 등록하여 자동 실행되며, 실행된 파일은 업데이트 체크 등 외부 서버와 연결을 시도합니다.
프로그램의 기본적인 동작 방식은 사용자가 인터넷 검색시 Internet Explorer 웹 브라우저 상단에 그림과 같은 검색어 관련 광고 툴바를 생성하는 동작을 확인할 수 있습니다.
프로세스 정보를 살펴보면 Windows 시작과 함께 aboutagent.exe 프로세스가 메모리에 상주하며, 사용자가 Internet Explorer를 실행할 경우 iexplore.exe 프로세스에 abouttopbar.dll 파일을 BHO 방식으로 추가하여 동작하는 것을 확인할 수 있습니다.
프로그램 삭제시에는 작업 관리자에서 aboutagent.exe 프로세스 수동 종료 및 모든 Internet Explorer를 종료한 상태에서 제어판의 [abouttopbar] 삭제 항목을 이용하여 삭제하실 수 있습니다.
일반적으로 인터넷 검색시 생성되는 광고 프로그램은 메모리 상주형, BHO 등록형으로 크게 나눌 수 있으며, 어떤 프로그램으로 동작하는지 여부는 프로세스 정보와 추가 기능 관리에 등록된 확장 프로그램 목록에서 찾아서 제거할 수 있으므로 참고하시기 바랍니다.
[생성 폴더 / 파일 등록 정보]
C:\Program Files\abouttopbar\aboutagent.exe :: 시작 프로그램 등록 파일 / 메모리 상주 프로세스
C:\Program Files\abouttopbar\abouttopbar.dll :: BHO 등록 파일
C:\Program Files\abouttopbar\uninstall.exe :: 프로그램 삭제 파일
C:\Documents and Settings\(사용자 계정)\abouttopbar_query_list.txt
C:\Program Files\abouttopbar\aboutagent.exe :: 시작 프로그램 등록 파일 / 메모리 상주 프로세스
C:\Program Files\abouttopbar\abouttopbar.dll :: BHO 등록 파일
C:\Program Files\abouttopbar\uninstall.exe :: 프로그램 삭제 파일
C:\Documents and Settings\(사용자 계정)\abouttopbar_query_list.txt
해당 프로그램은 Windows 시작시 aboutagent.exe 파일을 시작 프로그램으로 등록하여 자동 실행되며, 실행된 파일은 업데이트 체크 등 외부 서버와 연결을 시도합니다.
프로그램의 기본적인 동작 방식은 사용자가 인터넷 검색시 Internet Explorer 웹 브라우저 상단에 그림과 같은 검색어 관련 광고 툴바를 생성하는 동작을 확인할 수 있습니다.
[추가 기능 관리 : 도구 모음 및 확장 프로그램]
abouttopbar Class
- 게시자 : Syncwin IMS Corp.
- CLSID : {E9F5DCAC-30D5-445F-8380-6FC2B696D7DF}
- 파일 : C:\Program Files\abouttopbar\abouttopbar.dll
abouttopbar Class
- 게시자 : Syncwin IMS Corp.
- CLSID : {E9F5DCAC-30D5-445F-8380-6FC2B696D7DF}
- 파일 : C:\Program Files\abouttopbar\abouttopbar.dll
프로세스 정보를 살펴보면 Windows 시작과 함께 aboutagent.exe 프로세스가 메모리에 상주하며, 사용자가 Internet Explorer를 실행할 경우 iexplore.exe 프로세스에 abouttopbar.dll 파일을 BHO 방식으로 추가하여 동작하는 것을 확인할 수 있습니다.
프로그램 삭제시에는 작업 관리자에서 aboutagent.exe 프로세스 수동 종료 및 모든 Internet Explorer를 종료한 상태에서 제어판의 [abouttopbar] 삭제 항목을 이용하여 삭제하실 수 있습니다.
[생성 레지스트리 등록 정보]
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- aboutagent = C:\Program Files\abouttopbar\aboutagent.exe
HKEY_CURRENT_USER\Software\abouttopbar
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\abouttopbar.DLL
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\{D881E98A-8319-4570-BF0B-16750E137C03}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E9F5DCAC-30D5-445F-8380-6FC2B696D7DF}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{3D276020-991D-47E0-8D74-319D0F77D2A1}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{39FC766F-30B1-4640-8E34-2C06FA196E26}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\abouttopbar.abouttopbar
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\abouttopbar.abouttopbar.1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E9F5DCAC-30D5-445F-8380-6FC2B696D7DF}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\abouttopbar
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- aboutagent = C:\Program Files\abouttopbar\aboutagent.exe
HKEY_CURRENT_USER\Software\abouttopbar
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\abouttopbar.DLL
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\{D881E98A-8319-4570-BF0B-16750E137C03}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E9F5DCAC-30D5-445F-8380-6FC2B696D7DF}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{3D276020-991D-47E0-8D74-319D0F77D2A1}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{39FC766F-30B1-4640-8E34-2C06FA196E26}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\abouttopbar.abouttopbar
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\abouttopbar.abouttopbar.1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E9F5DCAC-30D5-445F-8380-6FC2B696D7DF}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\abouttopbar
일반적으로 인터넷 검색시 생성되는 광고 프로그램은 메모리 상주형, BHO 등록형으로 크게 나눌 수 있으며, 어떤 프로그램으로 동작하는지 여부는 프로세스 정보와 추가 기능 관리에 등록된 확장 프로그램 목록에서 찾아서 제거할 수 있으므로 참고하시기 바랍니다.
728x90
반응형