울지않는벌새 : Security, Movie & Society

검색 도우미 : internethelper ver 2.13

벌새::Analysis
국내 악성 ActiveX 설치 방식을 이용하여 배포가 이루어지고 있으며, 설치시 특정 인터넷 쇼핑몰 접속시 사용자 몰래 광고 코드가 포함되는 검색 도우미 internethelper ver 2.13 프로그램에 대해 살펴보도록 하겠습니다.

해당 프로그램의 설치 파일(MD5 : 5eb9a1202b360bda32e5b2ff635e6ebf)에 대하여 Kaspersky 보안 제품에서는 Trojan-Downloader.Win32.Genome.cuui (VirusTotal : 3/43) 진단명으로 진단되고 있으므로 참고하시기 바랍니다.

[생성 폴더 / 파일 등록 정보]

C:\Program Files\InernetHelper
C:\Program Files\InernetHelper\internethelper.exe :: 시작 프로그램 등록 파일 / 메모리 상주 프로세스

해당 프로그램은 [C:\Program Files\InernetHelper] 폴더에 파일을 생성하며, Windows 시작시 internethelper.exe 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.

실행된 internethelper.exe 파일은 네이버(Naver) 사이트로 쿼리(Query)를 요청하여 인터넷 연결 여부를 체크하며, 프로그램 버전 체크 등을 통해 메모리에 상주하도록 구성되어 있습니다. 

internethelper.exe 파일의 기본적인 동작은 국내 인터넷 쇼핑몰(G마켓, 옥션(Auction), 11번가)에 접속시 자동으로 광고 코드가 추가되는 것을 확인할 수 있습니다.

실제 테스트를 해보면 Internet Explorer 웹 브라우저 주소 표시줄에 해당 사이트 이름을 입력할 경우 자동으로 사이트가 연결되도록 구성되어 있습니다.

이 과정에서 광고 코드가 포함되어 특정 조건을 만족시킬 경우 프로그램 배포자에게 금전적 수익이 발생할 것으로 추정됩니다.

프로그램 삭제를 위해서는 Windows 작업 관리자에서 internethelper.exe 프로세스를 수동으로 종료하시기 바랍니다.

프로그램 삭제는 제어판의 [internethelper ver 2.13] 삭제 항목을 이용하여 삭제하실 수 있습니다.

프로그램 삭제 후에는 추가적으로 [C:\Program Files\InernetHelper] 폴더를 수동으로 삭제하시기 바랍니다.

[생성 레지스트리 등록 정보]

HKEY_LOCAL_MACHINE\SOFTWARE\InternetHelper
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - internethelper.exe = C:\Program Files\InernetHelper\internethelper.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\internethelper.exe

해당 프로그램은 프로그램 목록에 제시되지 않는 문제로 설치 여부를 확인하기 어려우며, 프로그램 자체가 어떤 프로그램 기능인지 쉽게 확인하기 어려우므로 주의하시기 바랍니다.