울지않는벌새 : Security, Movie & Society

검색 도우미 : Win Search forhantiat6 + winsearchshop 1.00

벌새::Analysis
국내에서 제작되어 인터넷 검색시 광고창을 생성하는 검색 도우미 Win Search forhantiat6 + winsearchshop 1.00 프로그램에 대해 살펴보도록 하겠습니다.

해당 프로그램은 Win Search for 시리즈와 유사성이 강하므로 참고하시기 바랍니다.


[생성 폴더 / 파일 등록 정보]

C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\hantiat6
C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\hantiat6\hantiat6.dll :: BHO 등록 파일
C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\hantiat6\hantiat6.exe :: 시작 프로그램 등록 파일
C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\hantiat6\keyword.txt
C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\hantiat6\uninstall.exe :: Win Search forhantiat6 프로그램 삭제 파일
C:\Program Files\winsearchshop
C:\Program Files\winsearchshop\icleserviced.dll :: BHO 등록 파일
C:\Program Files\winsearchshop\icleservicedhp.exe
C:\Program Files\winsearchshop\Uninstall.exe :: winsearchshop 1.00 프로그램 삭제 파일
C:\Program Files\winsearchshop\Uninstall.ini
C:\WINDOWS\system32\badevsvc.exe :: 서비스 등록 파일
C:\WINDOWS\system32\icleserviceinst.exe :: 자가 삭제
C:\WINDOWS\system32\INETKO.DLL
C:\WINDOWS\system32\MSINET.OCX
C:\WINDOWS\system32\sircheckfile.dat
C:\WINDOWS\system32\VB6KO.DLL
[생성 파일 진단 정보]

C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\hantiat6\hantiat6.exe
 - MD5 : ad968dc5517379f65c62d015061b91f3
 - AhnLab V3 : Malware/Win32.Generic (VirusTotal : 6/43)

C:\Program Files\winsearchshop\icleserviced.dll
 - MD5 : 6a84580bccc817c8ab3a724067bc4664
 - AhnLab V3 : Downloader/Win32.Genome (VirusTotal : 2/43)


해당 프로그램은 [C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\hantiat6] 폴더에 Win Search forhantiat6 프로그램을 설치하며, 추가적으로 [C:\Program Files\winsearchshop] 폴더에 winsearchshop 1.00 프로그램을 설치하고 있습니다.

GET /hantiat6/data/update.txt HTTP/1.1
Content-Type: text/html
Host: pops.go-diva.co.kr
Accept: text/html, */*
User-Agent: Mozilla/3.0 (compatible; Indy Library)


Windows 시작시 hantiat6.exe 파일을 시작 프로그램으로 등록하여 자동 실행되어 추가적인 업데이트 정보를 체크하도록 구성되어 있습니다.

또한 [C:\WINDOWS\system32\badevsvc.exe] 파일을 통해 BlueDevSvc(Bluetooth Apple Device Service)라는 이름으로 서비스 등록을 하여, 마치 Apple사의 파일로 사람들의 눈을 속이고 있는 것을 확인할 수 있습니다.

GET /ews/ads HTTP/1.1
Host:
www.partrevonline.net
Accept: text/html, */*
Accept-Encoding: identity
User-Agent: Mozilla/5.0 (Windows)


해당 파일은 시스템 시작시마다 자동으로 실행되어 국내 특정 광고와 관련된 서버에 접속을 시도한 후 스스로 서비스를 중지하는 동작을 취하고 있습니다.

프로그램이 설치된 환경에서 사용자가 인터넷 검색시 광고창을 생성하는 동작을 확인할 수 있습니다.

해당 광고 생성시 접속 로그를 확인해보면 검색 키워드 감시를 통해 특정 서버에 등록된 광고를 참조하여 광고창을 생성하는 것을 확인할 수 있습니다.

[추가 기능 관리 : 도구 모음 및 확장 프로그램]

icleserviceprg.icleserviced

 - 게시자 : XP PLUS
 - CLSID : {8D2B6841-00E9-4A55-BC5D-C75BFA4AFEDA}
 - 파일 : C:\Program Files\winsearchshop\icleserviced.dll

O
 - CLSID : {F9662E52-E299-4954-8960-1DF6F834FF95}
 - 파일 : C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\hantiat6\hantiat6.dll


해당 광고 행위를 중지하기 위해서는 Internet Explorer 웹 브라우저의 추가 기능 관리에 등록된 icleserviceprg.icleserviced, O 2개의 항목을 선택하여 [사용 안 함]으로 변경하시기 바랍니다.

프로세스 정보를 확인해보면 사용자가 Internet Explorer 웹 브라우저를 실행할 경우 iexplore.exe 프로세스에 hantiat6.dll, icleserviced.dll 2개의 파일을 BHO 방식으로 추가하여 동작하는 것을 확인할 수 있습니다.

프로그램 삭제시에는 Internet Explorer 웹 브라우저를 종료한 상태에서 제어판의 [Win Search forhantiat6], [winsearchshop 1.00] 2개의 삭제 항목을 이용하여 삭제하시기 바랍니다.

프로그램 삭제 후에는 추가적으로 다음의 폴더, 파일, 레지스트리 항목을 참고하여 수동으로 삭제하시기 바랍니다.

  • C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\hantiat6
  • C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\hantiat6\keyword.txt
  • C:\Program Files\winsearchshop
  • C:\Program Files\winsearchshop\icleserviced.dll
  • C:\WINDOWS\system32\badevsvc.exe
[생성 레지스트리 등록 정보]

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\GoodtransSet
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - hantiat6 = C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\hantiat6\hantiat6.exe
HKEY_CURRENT_USER\Software\hantiat6pp
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8D2B6841-00E9-4A55-BC5D-C75BFA4AFEDA}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F9662E52-E299-4954-8960-1DF6F834FF95}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{4C8929CD-A4E4-47F6-9598-6BDC75FF05D3}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{62B1A545-ACB4-4B4E-B4D0-22D97151440F}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\hantiat6.P
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\icleserviceprg.icleserviced
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\hantiat6
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{8D2B6841-00E9-4A55-BC5D-C75BFA4AFEDA}

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{F9662E52-E299-4954-8960-1DF6F834FF95}

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
hantiat6

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
winsearchshop 1.00

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\BlueDevSvc
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BlueDevSvc


해당 프로그램은 프로그램 목록에 제시되지 않는 문제로 사용자가 설치 여부를 인지하기 어려우며, 프로그램 설치시 사용자 몰래 서비스 등록 및 추가적인 프로그램이 설치되는 문제가 존재합니다.

특히 프로그램 삭제 후에도 BlueDevSvc(Bluetooth Apple Device Service) 서비스가 제거되지 않으며, 이로인하여 차후 사용자 몰래 시스템 시작시 추가적인 프로그램 설치 행위가 발생할 수 있으리라 판단됩니다.