본문 바로가기

벌새::Analysis

검색 도우미 : WallTab

반응형
국내에서 제작되어 인터넷 검색시 팝업창를 통한 광고 사이트를 생성하는 검색 도우미 WallTab 프로그램에 대해 살펴보도록 하겠습니다.

해당 프로그램은 기존의 사이드탭(SideTab) 계열 프로그램이므로 참고하시기 바랍니다.


[생성 폴더 / 파일 등록 정보]

C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\WallTab_WT65.exe
C:\Program Files\WallTab
C:\Program Files\WallTab\1
C:\Program Files\WallTab\hoo.x
C:\Program Files\WallTab\Uninstall.exe :: 프로그램 삭제 파일
C:\Program Files\WallTab\WallTab.dll :: BHO 등록 파일
C:\Program Files\WallTab\WallTab.exe :: 시작 프로그램 등록 파일 / 메모리 상주 프로세스
[생성 파일 진단 정보]

C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\WallTab_WT65.exe
 - MD5 : 90b5916f246b2ca6b4175ea2ceef449e
 - AhnLab V3 : Adware/Win32.SideTab (VirusTotal : 15/43)


해당 프로그램은 Windows 시작시 WallTab.exe 파일을 시작 프로그램으로 등록하여 자동 실행되며, 실행된 파일은 업데이트 체크를 통해 메모리에 상주하도록 구성되어 있습니다.

프로그램이 설치된 상태에서 사용자가 인터넷 검색어를 입력할 경우 자동으로 팝업창을 통한 광고 사이트가 생성되거나, 검색을 통한 특정 사이트 접속시 팝업창이 생성되는 등 정상적인 인터넷 사용을 심하게 방해하고 있습니다.

광고 생성과 관련된 접속 경로를 확인해보면 사용자가 포털 사이트 검색시 입력되는 키워드를 특정 서버에서 체크하여 관련된 광고 사이트를 노출하는 것을 확인할 수 있습니다.

[추가 기능 관리 : 도구 모음 및 확장 프로그램]

WallTab

 - 게시자 : nbiz Ltd.
 - CLSID : {AE48C704-8876-4EB2-9227-6CA5382694C5}
 - 파일 : C:\Program Files\WallTab\WallTab.dll


해당 광고 행위를 중지하기 위해서는 Internet Explorer 웹 브라우저의 추가 기능 관리에 등록된 WallTab 항목을 선택하여 [사용 안 함]으로 변경하시기 바랍니다.

프로세스 정보를 확인해보면 시스템 시작시 자동으로 실행되는 WallTab.exe 프로세스가 메모리에 상주하며, 사용자가 Internet Explorer 웹 브라우저를 실행할 경우 iexplore.exe 프로세스에 WallTab.dll 파일을 BHO 방식으로 추가하여 동작하는 것을 확인할 수 있습니다.

프로그램 삭제시에는 Windows 작업 관리자에서 WallTab.exe 프로세스를 수동으로 종료하시고 모든 Internet Explorer 웹 브라우저를 종료한 상태에서, 제어판의 [WallTab] 삭제 항목을 이용하여 삭제하실 수 있습니다.

프로그램 삭제 후에는 추가적으로 [C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\WallTab_WT65.exe] 파일을 수동으로 삭제하시기 바랍니다.


[생성 레지스트리 등록 정보]

HKEY_CURRENT_USER\Software\WallTab
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{AE48C704-8876-4EB2-9227-6CA5382694C5}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{AB887D33-A7EB-4280-ACD1-739791408D80}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{D5768B08-4B8B-49AD-AEC7-52FB589115ED}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\WallTab.InSideBand
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\WallTab.InSideBand.1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{AE48C704-8876-4EB2-9227-6CA5382694C5}

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - WallTab = C:\Program Files\WallTab\WallTab.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
WallTab


해당 프로그램은 프로그램 목록에 제시되지 않는 문제로 설치 여부를 확인하기 어려우며, 인터넷 검색시마다 팝업창 광고가 생성되어 정상적인 인터넷 사용에 문제가 있으므로 주의하시기 바랍니다.

반응형