본문 바로가기

벌새::Analysis

검색 도우미 : 플러스라인(PlusLine) - PlusLineGo + MicroOn

728x90
반응형
국내에서 제작되어 인터넷 검색시 웹 브라우저 상단에 광고 툴바(Toolbar) 및 광고창을 생성하는 검색 도우미 "플러스라인(PlusLine) - PlusLineGo + MicroOn" 프로그램에 대해 살펴보도록 하겠습니다.

해당 프로그램의 설치 파일(MD5 : d140bf966cf0c1c2257e3568611f0da2)에 대하여 안철수연구소(AhnLab) V3 보안 제품에서는 PUP/Win32.PlusLine (VirusTotal : 23/43) 진단명을 통해 유해 가능 프로그램으로 진단하고 있으므로 참고하시기 바랍니다.

해당 프로그램은 기존의 플러스라인(PlusLine) 프로그램의 변형된 버전이므로 참고하시기 바랍니다.


[생성 폴더 / 파일 등록 정보]

C:\Documents and Settings\(사용자 계정)\Application Data\PlusLineGO
C:\Documents and Settings\All Users\시작 메뉴\프로그램\MicroOn.lnk
C:\Program Files\MicroOn
C:\Program Files\MicroOn\MicroOn_se.exe :: 서비스 등록 파일
C:\Program Files\MicroOn\MicroOn_updater.exe
C:\Program Files\MicroOn\MicroOn.dat
C:\Program Files\MicroOn\MicroOn.exe
C:\Program Files\PlusLineGO
C:\Program Files\PlusLineGO\ADPopupPL.dll :: BHO 등록 파일
C:\Program Files\PlusLineGO\category.dat
C:\Program Files\PlusLineGO\domainmatch.dat
C:\Program Files\PlusLineGO\except.dat
C:\Program Files\PlusLineGO\mainsite.dat
C:\Program Files\PlusLineGO\plsghelp.exe :: 메모리 상주 프로세스
C:\Program Files\PlusLineGO\PLUninstallGO.exe :: PlusLineGo 프로그램 삭제 파일
C:\Program Files\PlusLineGO\PlusLineGO.dll :: BHO 등록 파일
C:\Program Files\PlusLineGO\PlusLineUpdateGO.exe :: 시작 프로그램 등록 파일
C:\Program Files\PlusLineGO\sotab.dll :: BHO 등록 파일
C:\WINDOWS\MicroOn_uninstaller.exe :: MicroOn 프로그램 삭제 파일

[생성 파일 진단 정보]

C:\Program Files\MicroOn\MicroOn_se.exe
 - MD5 : 157bc0e567f368d0d4dc85ee3dbad242
 - AhnLab V3 : Win-PUP/Helper.PlusLine.55840 (VirusTotal : 16/43)

C:\Program Files\MicroOn\MicroOn_updater.exe
 - MD5 : fea51a5ec7cf996164d321e1376c9831
 - AhnLab V3 : Win-PUP/Helper.PlusLine.61464 (VirusTotal : 23/43)

C:\Program Files\MicroOn\MicroOn.exe
 - MD5 : f74b2931677b4f6ae1a68d8d562b9640
 - AhnLab V3 : Win-PUP/Helper.PlusLine.180768 (VirusTotal : 23/43)

C:\Program Files\PlusLineGO\PLUninstallGO.exe
 - MD5 : 0ac5141a71ac8437ea5e7aa7735c1619
 - AhnLab V3 : Win-PUP/Helper.PlusLine.242264 (VirusTotal : 3/43)

C:\Program Files\PlusLineGO\sotab.dll
 - MD5 : ec9596d69d3fb4977f3134c02bd3f806
 - AhnLab V3 : Win-PUP/Helper.SearchOpenTab.139264 (VirusTotal : 2/43)

C:\WINDOWS\MicroOn_uninstaller.exe
 - MD5 : 559e44616560017f52820911721fdc31
 - AhnLab V3 : Win-PUP/Helper.PlusLine.114016 (VirusTotal : 20/43)

※ Win-PUP 진단명은 유해 가능 프로그램에 대한 진단으로 악의적인 목적으로 제작되지 않았지만, 사용자에게 피해(불편)를 줄 수 있는 파일(프로그램)을 의미합니다.

해당 프로그램은 [C:\Program Files\MicroOn] 폴더에 MicroOn 프로그램을 설치하며, [C:\Program Files\PlusLineGO] 폴더에 PlusLine 프로그램을 설치합니다.

Windows 시작시 MicroOn_se.exe 파일을 "MicroOn Update Service(MicroOn Support Service)"라는 이름의 서비스로 등록하여 MicroOn 프로그램 버전 체크를 하도록 구성되어 있으며, 추가적으로 PlusLineUpdateGO.exe 파일을 시작 프로그램으로 등록하여 PlusLine 프로그램 업데이트 체크 동작을 합니다.

참고로 서비스로 등록된 "MicroOn Update Service(MicroOn Support Service)" 서비스는 버전 체크 후 서비스 중지 상태를 유지합니다.

프로그램이 설치된 환경에서 인터넷 검색시 웹 브라우저 상단에 관련 검색어와 연관된 G마켓, 옥션, 11번가 바로가기와 관련 추천 검색어 광고가 생성되는 동작을 확인할 수 있습니다.

또한 웹 브라우저 주소 표시줄에 특정 인터넷 쇼핑몰을 입력할 경우 자동으로 해당 사이트로 연결되는 동작을 확인할 수 있습니다.

[추가 기능 관리 : 도구 모음 및 확장 프로그램]

이름 : AdPopupB
게시자 : Akorea
유형 : 브라우저 도우미 개체
CLSID : {397CFDD8-762F-44D4-9517-E3969F89639E}
파일 : C:\Program Files\PlusLineGO\ADPopupPL.dll

이름 : PlusLineGO
게시자 : Akorea
유형 : 브라우저 도우미 개체
CLSID : {5007E4A6-E19F-42C2-8920-5618782C7BAC}
파일 : C:\Program Files\PlusLineGO\PlusLineGO.dll

이름 : Search오픈탭
게시자 : (주)에이코리아
유형 : 브라우저 도우미 개체
CLSID : {884EAA16-CA35-4666-845A-DC084DCDF356}
파일 : C:\Program Files\PlusLineGO\sotab.dll

해당 프로그램은 Internet Explorer 웹 브라우저 실행시 ADPopupPL.dll, PlusLineGO.dll, sotab.dll 3개의 파일을 브라우저 도우미 개체(BHO)로 등록하여 광고 동작을 하므로, 광고를 원치 않는 분들은 웹 브라우저의 추가 기능 관리에 등록된 AdPopupB, PlusLineGO, Search오픈탭 3개의 항목을 선택하여 [사용 안 함]으로 변경하시기 바랍니다.

또한 시스템 시작과 함께 plsghelp.exe 파일을 메모리에 상주하여 동작하므로, Windows 작업 관리자에서 해당 프로세스를 수동으로 종료하시기 바랍니다.

프로그램 삭제시에는 Internet Explorer 웹 브라우저 종료 및 plsghelp.exe 프로세스 종료를 한 후, 제어판의 [MicroOn], [PlusLine Uninstall] 2개의 삭제 항목을 이용하여 삭제하실 수 있습니다.

참고로 PlusLine 프로그램 삭제시에는 그림과 같은 제시되는 4개의 문자를 입력해야 하여 삭제가 진행됩니다.

[생성 레지스트리 등록 정보]

HKEY_CURRENT_USER\Software\PlusLineGO
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ADPopup.AdPopupB
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ADPopup.AdPopupB.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{397CFDD8-762F-44D4-9517-E3969F89639E}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5007E4A6-E19F-42c2-8920-5618782C7BAC}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{884EAA16-CA35-4666-845A-DC084DCDF356}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{88F1E09F-3F83-42C5-9277-3CD45D52B891}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{9E1CFCCB-5CD7-4390-9D13-324E90D6AA49}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PlusLineGO.PDreamB
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PlusLineGO.PDreamB.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{7BA6DF99-65C4-4135-8FF2-6AECC28D0AAF}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{9DC29700-1E6D-4985-B7B9-9BBAAADFF26E}
HKEY_LOCAL_MACHINE\SOFTWARE\MicroOn
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ESENT\Process\MicroOn_updater
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility
 - sender = (6자리 숫자)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{397CFDD8-762F-44D4-9517-E3969F89639E}

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{5007E4A6-E19F-42c2-8920-5618782C7BAC}

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{884EAA16-CA35-4666-845A-DC084DCDF356}

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - pluslineupdateGO = C:\Program Files\PlusLineGO\PlusLineUpdateGO.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\MicroOn
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\PlusLineGO
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\
LEGACY_MICROON_UPDATE_SERVICE
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MicroOn Update Service

해당 프로그램은 설치시 2개의 프로그램이 개별적으로 설치되어 사용자가 이를 제대로 인지하지 못할 수 있습니다. 또한 인터넷 이용 과정에서 사용자 키워드 기반 광고가 노출되는 문제로 웹 브라우저 속도에 영향을 줄 수 있으리라 판단되므로 사용자의 판단에 따라 삭제를 하시고 이용하시기 바랍니다.


728x90
반응형