울지않는벌새 : Security, Movie & Society

검색 도우미 : 탭브라우저(TabBrowser)

벌새::Analysis
인터넷 검색시 웹 브라우저 상단에 멀티탭 방식의 광고바를 생성하는 검색 도우미 탭브라우저(TabBrowser) 프로그램에 대해 살펴보도록 하겠습니다.

해당 프로그램의 설치 파일(MD5 : bd1d0ca914ad905e05fc4f2050fd52ca)에 대하여 하우리 바이로봇(Hauri ViRobot) 보안 제품에서는 Trojan.Win32.Downloader.196288 (VirusTotal : 25/43) 진단명으로 진단되고 있습니다.

해당 프로그램은 기존의 타 업체에서 서비스되던 탭브라우징 툴바(TabBrowsing Toolbar) 프로그램이 국내 모 보안 업체로 변경되면서 프로그램이 변경되었으므로 참고하시기 바랍니다.

 

[생성 폴더 / 파일 등록 정보]

C:\Program Files\tabbrowser
C:\Program Files\tabbrowser\back.dt
C:\Program Files\tabbrowser\backkey.dt
C:\Program Files\tabbrowser\blockkeyword.dt
C:\Program Files\tabbrowser\brandkeyword.dt
C:\Program Files\tabbrowser\breaksite.dt
C:\Program Files\tabbrowser\breaksitest.dt
C:\Program Files\tabbrowser\bsvive.dt
C:\Program Files\tabbrowser\cadoclist.dt
C:\Program Files\tabbrowser\category.dt
C:\Program Files\tabbrowser\categorysite.dt
C:\Program Files\tabbrowser\domainmatch.dt
C:\Program Files\tabbrowser\dtab.dt
C:\Program Files\tabbrowser\except.dt
C:\Program Files\tabbrowser\info.dt
C:\Program Files\tabbrowser\navilock.dt
C:\Program Files\tabbrowser\op.dt
C:\Program Files\tabbrowser\potalsite.dt
C:\Program Files\tabbrowser\sponserlink.dt
C:\Program Files\tabbrowser\tabbrowsern_setup.exe
C:\Program Files\tabbrowser\tabbrowsern.dll :: BHO 등록 파일
C:\Program Files\tabbrowser\tabbrowsernapp.exe :: 시작 프로그램 등록 파일
C:\Program Files\tabbrowser\tabbrowserncb.exe
C:\Program Files\tabbrowser\tabbrowsernch.exe
C:\Program Files\tabbrowser\tabbrowserndel.exe :: 프로그램 삭제 파일
C:\Program Files\tabbrowser\tabbrowsernup.exe
C:\Program Files\tabbrowser\tabbrowsernuphper.exe :: 시작 프로그램 등록 파일
C:\Program Files\tabbrowser\urlmatchquery.dt
C:\Program Files\tabbrowser\vd.dat
C:\Program Files\tabbrowser\version.dat

[생성 파일 진단 정보]

C:\Program Files\tabbrowser\tabbrowsernup.exe
 - MD5 : 82643e49d8f2bc18996aed09dc72afc7
 - Hauri ViRobot : Adware.Tabbrowsern.278952 (VirusTotal : 6/43)

C:\Program Files\tabbrowser\tabbrowsernuphper.exe
 - MD5 : 78a92ab82a79c16277c8cd9a44d0f7e5
 - Hauri ViRobot : Adware.Tabbrowsern.196520 (VirusTotal : 7/43)

해당 프로그램은 [C:\Program Files\tabbrowser] 폴더에 파일을 생성하며, Windows 시작시 tabbrowsernapp.exe, tabbrowsernuphper.exe 2개의 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.

프로그램이 설치된 환경에서 인터넷 검색시 웹 브라우저 상단에 멀티탭 방식의 광고 툴바(Toolbar)가 생성되는 것을 확인할 수 있습니다.

[추가 기능 관리 : 도구 모음 및 확장 프로그램]

이름 : 탭브라우저
게시자 : everyzone
유형 : 도구 모음
CLSID : {AB074412-BE80-47EB-BDFA-DC90C9F298A0}
파일 : C:\Program Files\tabbrowser\tabbrowsern.dll

이름 : 탭브라우저
게시자 : everyzone
유형 : 브라우저 도우미 개체
CLSID : {AB074412-BE80-47EB-BDFA-DC90C9F298A0}
파일 : C:\Program Files\tabbrowser\tabbrowsern.dll

이름 : 탭브라우저
게시자 : everyzone
유형 : 탐색창
CLSID : {AB074412-BE80-47EB-BDFA-DC90C9F298A0}
파일 : C:\Program Files\tabbrowser\tabbrowsern.dll

해당 프로그램은 Internet Explorer 웹 브라우저 실행시 iexplore.exe 프로세스에 tabbrowsern.dll 파일을 브라우저 도우미 개체(BHO)로 추가하여 검색 키워드 감시를 통한 광고를 생성하는 동작을 하도록 구성되어 있습니다.

그러므로 해당 광고 행위를 중지하기 위해서는 웹 브라우저의 추가 기능 관리에 등록된 "탭브라우저" 항목을 선택하여 [사용 안 함]으로 변경하시기 바랍니다.

프로그램 삭제시에는 Internet Explorer 웹 브라우저를 종료한 상태에서 제어판의 [탭브라우저] 삭제 항목을 이용하여 삭제하실 수 있으며, 프로그램 삭제 후에는 추가적으로 [C:\Program Files\tabbrowser] 폴더를 수동으로 삭제하시기 바랍니다.

[생성 레지스트리 등록 정보]

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{AB074412-BE80-47EB-BDFA-DC90C9F298A0}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\tabbrowsern.tabbrowser
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar
 - {AB074412-BE80-47EB-BDFA-DC90C9F298A0}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\tabbrowser
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{AB074412-BE80-47EB-BDFA-DC90C9F298A0}

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - tabbrowser = C:\program files\tabbrowser\tabbrowsernapp.exe
 - tabbrowserhper = C:\program files\tabbrowser\tabbrowsernuphper.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
tabbrowser

HKEY_LOCAL_MACHINE\SOFTWARE\tabbrowser

해당 프로그램은 프로그램 목록에 제시되지 않는 문제로 설치 여부를 확인하기 어려우며, 인터넷 검색시 원치 않는 광고바 생성으로 불편을 유발할 수 있으므로 주의하시기 바랍니다.