본문 바로가기

벌새::Analysis

네이트닷컴(Nate.com) 아이콘으로 위장한 NateFinder 프로그램 주의 (2011.10.22)

국내 포털 사이트 네이트닷컴(Nate.com)에서 사용하는 아이콘 모양과 동일한 모양을 하는 "NateFinder"라는 이름의 광고 프로그램이 제휴(스폰서) 프로그램 방식으로 배포되고 있는 것을 확인하였습니다.
 

해당 프로그램은 기존의 스마트파인드(SmartFind) 프로그램과 연관성이 있으므로 참고하시기 바랍니다.

 

[생성 폴더 / 파일 등록 정보]

C:\Program Files\NateFinder
C:\Program Files\NateFinder\NateFinder.dll :: BHO 등록 파일
C:\Program Files\NateFinder\NateFinderApp.exe
C:\Program Files\NateFinder\NateFinderUnin.exe :: 프로그램 삭제 파일
C:\Program Files\NateFinder\NateFinderUpt.exe :: 시작 프로그램 등록 파일 / 메모리 상주 프로세스

 

해당 프로그램은 Windows 시작시 NateFinderUpt.exe 파일을 시작 프로그램으로 등록하여 자동 실행되며, 버전 체크 및 추가 구성 요소 업데이트를 체크한 후 메모리에 상주하도록 구성되어 있습니다.(※ 프로그램이 최초 설치 완료된 시점에서는 NateFinderUpt.exe 프로세스가 메모리에 상주하지 않으며, 시스템 재시작 시점부터 동작하도록 구성되어 있습니다.)

 

실제 시스템 시작시 현재 시점에서는 사용자 눈에는 거의 보이지 않는 "네이트파인드 구성요소 및 추가 업데이트" 창이 생성될 수 있으며, 이를 통해 추가로 등록된 프로그램이 설치될 가능성이 존재합니다.

 

생성된 파일을 살펴보면 NateFinderApp.exe 파일 아이콘이 네이트닷컴에서 공식적으로 사용하는 아이콘으로 위장하여, 사용자 입장에서는 네이트온 관련 공식 프로그램으로 오해할 수 있으리라 판단됩니다.

 

프로그램은 NateFinderUpt.exe 파일을 메모리에 상주하는 방식으로 동작하는데, 해당 프로세스를 사용자가 임의로 종료를 한 상태에서 Internet Explorer 웹 브라우저의 동작에 오류를 유발하는 부분을 확인하였습니다.

 

예를 들어 NateFinder 프로그램을 삭제하지 않고 단순히 NateFinderUpt.exe 프로세스가 종료된 상태에서 Internet Explorer 웹 브라우저를 실행할 경우 iexplore.exe 프로세스의 자식으로 NateFinderUpt.exe 프로세스가 자동으로 추가됩니다.

 

이로 인하여 Internet Explorer 웹 브라우저는 제대로 실행되지 않고 얼어버리는 현상만 반복적으로 발생되는 문제를 확인할 수 있었습니다.

 

실제 NateFinderUpt.exe 프로세스는 시스템 시작시 시작 프로그램으로 자동 실행되는 과정이나 메모리에 상주하여 특정 조건에서 추가적인 업데이트 또는 프로그램 다운로드 기능이 존재하는 것으로 추정되지만 테스트 시점에서는 다운로드가 이루어지지는 않고 있습니다.

[추가 기능 관리 : 도구 모음 및 확장 프로그램]

이름 : NateFinder
게시자 : IPO Communications
CLSID : {7E40607D-590E-44C4-BCC1-5ED3DCD665B1}
파일 : C:\Program Files\NateFinder\NateFinder.dll

 

또한 Internet Explorer 웹 브라우저를 실행할 경우 iexplore.exe 프로세스에 NateFinder.dll 파일을 BHO 방식으로 추가하여 인터넷 검색시 광고 등의 동작이 발생할 가능성이 있습니다.

그러므로 광고 동작 중지를 위해서는 Internet Explorer 웹 브라우저에서 제공하는 추가 기능 관리에 등록된 "NateFinder" 항목을 선택하여 [사용 안 함]으로 변경하시기 바랍니다.

 

프로그램 삭제시에는 Windows 작업 관리자에서 NateFinderUpt.exe 프로세스를 수동으로 종료하시고 Internet Explorer 웹 브라우저를 종료한 상태에서 제어판의 [NateFinder] 삭제 항목을 이용하여 삭제하시기 바랍니다.

 

[생성 레지스트리 등록 정보]

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5895407-F787-4DA4-9921-EB5FA80A526E}
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\ProtocolExecute\ntefnd
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7E40607D-590E-44C4-BCC1-5ED3DCD665B1}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ntefnd
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{7E40607D-590E-44C4-BCC1-5ED3DCD665B1}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - NateFinder = C:\Program Files\NateFinder\NateFinderUpt.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\NateFinder

 

해당 프로그램은 프로그램 목록에 제시되지 않는 문제로 설치 여부를 확인하기 어려우며, 프로그램 이름과 파일 아이콘이 네이트닷컴(Nate.com)에서 제공하는 프로그램으로 사용자를 속이고 있다는 점에서 문제가 될 것으로 보입니다.

현재 프로그램 설치로 인한 광고 동작이나 추가적인 다운로드는 확인되지 않고 있지만, Internet Explorer 웹 브라우저의 오류 발생이나 차후 원치 않는 추가 업데이트 창으로 인해 고생할 수 있으므로 주의하시기 바랍니다.

  • natefinder 가 설치되어 있어서 님 말씀대로 삭제했는데요

    감사해요~

    근데 하나 여쭤봐두 될까요

    삭제는 해서 폴더도 없는데 작업관리자 프로세스엔 컴터 켤때마다 자꾸 생기네요....

    이거 완전히 삭제할 수 있는 방법 없을까요? ㅠㅠㅠ

  • 저두요ㅜㅜ 2011.10.31 11:47 댓글주소 수정/삭제 댓글쓰기

    저도 동생이 모르고 설치했는지 설치가 되있어서
    제어판에서 삭제를했는데 c드라이브-프로그램파일 에는 폴더가 그대로 있고
    삭제하려했더니 권한이 없다고 삭제도 안되고 ㅜㅜㅜ
    이것때문에 즐겨찾기에 그 많은 쇼핑몰 홈페이지가 추가되있었나보네요...
    광고관련된 프로그램인것같은데;
    저도 완전히 삭제할수 있는 방법좀 알려주세요 ㅜㅜ

    • Windows 작업 관리자에서 NateFinderUpt.exe 프로세스를 찾아 종료후, IE 웹 브라우저를 반드시 종료한 상태에서 폴더를 삭제해 보시기 바랍니다.

      그 후에 나머지 생성 레지스트리 정보를 확인하시면서 레지스트리 편집기에서 해당 값들을 모두 삭제하시기 바랍니다.

  • 질문 2012.01.11 12:39 댓글주소 수정/삭제 댓글쓰기

    제가컴퓨터를껏다키고 인터넷을들어갔을때 저런영어가떠서계속,취소<이2게중한게를골라서해야대는데 취소를눌르면 네이버창이바로켜지는데 검색하면 또 저영어뜨고계속,취소눌르는게떠서 처음에인터넷키자마자 계속이란걸눌르면 인터넷이흰화면에서멈춰서
    그인터넷을작업관리자로끈후다시키면되긴돼는데안뜨게할라고사용안함을햇는데안뜰까요?...또 로컬디스크c-프로그램파일에잇는NateFinder이폴더를아예삭제를해버려두댈까요?...저희누나가네이트를자주하고그러는데지장업슬까요?....스피드잇게답변좀.ㅜㅜ

    • 해당 광고 프로그램은 네이트(Nate)와는 아무런 관계가 없이 이름만 비슷하게 만든 것입니다.

      그러므로 해당 프로그램이 설치되어 있다면 반드시 삭제를 하시고 인터넷을 이용하시기 바랍니다.

  • 마마두 2012.02.07 02:24 댓글주소 수정/삭제 댓글쓰기

    감사합니다. 갑자기 이게 깔려서 인터넷 하는데 고생했었는데 레지스트리 찾아서 삭제하고 보니 괜찮아 졌네요. 좋은 자료 감사드립니다.

  • ekdks021 2012.02.16 17:58 댓글주소 수정/삭제 댓글쓰기

    첨에 인터넷에 들어갔을때 natefinder가 자꾸뜨면서 인터넷이안들어가지더라고요 그래서 프로그램추가제거에서 삭제했는데 이번엔 아무것도안뜨고 인터넷이 안들어가지네요 작업관ㄹㅣ자 프로세스에도natefinder이없는데
    이거환장할지경입니다ㅠ 아 C드라이브 프로그램파일에는 natefinder이있던데 하나는 절대 삭제가안됩니다 도와주세요~!!!

    • 내용으로는 정확한 증상을 알 수 없지만, 해당 프로그램 삭제를 위해서는 우선 IE 웹 브라우저의 추가 기능 관리에 등록된 NateFinder 항목을 찾아 사용 안 함으로 변경하시기 바랍니다.

      그리고 IE 웹 브라우저를 모두 종료하시고 작업 관리자에서 NateFinderUpt.exe 프로세스가 있으면 종료하세요.

      그 후 수동으로라도 폴더를 삭제해 보시기 바랍니다.

      이렇게도 안된다면 안전모드에서 시도해 보시기 바랍니다.

  • ekdls021 2012.02.17 14:14 댓글주소 수정/삭제 댓글쓰기

    죄송하지만 IE프로세스를끝내려면어케하나요

  • ekdls021 2012.02.17 15:04 댓글주소 수정/삭제 댓글쓰기

    귀찮게해서 정말죄송합니다ㅠㅠ
    프로세스에 네이트파인드가없네요 다삭제한거같은데인터넷이자꾸어네요ㅠㅠ 혹시 포멧하면 괜차나지나요?

  • 열받아서 2012.02.22 08:56 댓글주소 수정/삭제 댓글쓰기

    최소한의 회사의 양심마저 버린 개같은 회사의 개같은 프로그램이네요~
    전 혼자 찾아서 지웠는데 이 엿같은 프로그램이 뭔지 찾아보다가 들어와서 보게되었습니다. 설치 취소는 아예 없고 설치 안하려면 일일이 체크해야 하고 스크롤바마저 감춰서 동의사항도 못보게 하고..

    엿같은 회사 확 구속 시켜야 한다고 봅니다~

    • 말씀하신 것처럼 설치 방식이 사용자 동의는 얻는 것처럼 만들어져 있지만, 사실상 사용자 눈을 최대한 속이려고 깊숙하게 자신을 숨기죠.

  • 흐흐흐 2012.02.22 13:43 댓글주소 수정/삭제 댓글쓰기

    정말 악성프로그램이네요
    근데 저는 제어판에도 NateFinder 가 없구요
    C:\Program Files\NateFinder 폴더안에도
    NateFinderUnin.exe 파일이 없습니다.

    딱 3개파일만 있네요
    NateFinder,NateFinderApp, NateFinderUpt 만 존재합니다.
    삭제할 방법이 없네요 어떻게 해야 할까요?

    • 아마 배포자가 삭제를 못하고 삭제 기능을 제거하고 뿌리나 봅니다.

      이런 경우에는 작업 관리자에서 NateFinderUpt.exe 프로세스 종료 및 IE 웹 브라우저를 종료한 상태에서 생성 폴더, 파일, 레지스트리 정보를 수동으로 찾아서 삭제하시기 바랍니다.

  • 스톱 2012.06.06 17:34 댓글주소 수정/삭제 댓글쓰기

    이글루스에 광고하는것들이 프로그램을 소개하는척하면서 바이러스 프로그램을 심어두었더군요.
    저는 그것을 알고있었는데 실수로 실행버튼을 누르는 바람에...
    덕분에 좋은정보를 알고갑니다.

  • kimD 2012.07.31 21:49 댓글주소 수정/삭제 댓글쓰기

    제어판에서 삭제까지 완료했는데요. 탐색기 실행할때 마다 "natefinder를 실행하시겠습니까?" 이런 알림창이 뜨더라구요. 그래서 프로그램파일로 가서 폴더를 삭제했는데요. 4개 중에 3개는 지워졌는데, natefinder.dll 이라는 파일은 어디서 사용하고 있다며 계속 지워지지 않네요 ㅠㅠ 혹시나 해서 재부팅 이후 다시 시도해봤는데도 안되네요 ㅠㅠ

    • natefinder.dll 파일이 아마 윈도우 탐색기(explorer.exe) 프로세스에 추가되어 동작하는 것으로 보입니다.

      이런 경우에는 natefinder.dll 파일의 확장자명을 변경(예 : natefinder.dll-malware)하시고 시스템 재부팅 이후 삭제를 해보시기 바랍니다.