본문 바로가기

벌새::Analysis

검색 도우미 : 마이툴바(MyToolbar)

728x90
반응형
Internet Explorer 웹 브라우저에서 제공하는 주소 표시줄을 제거하고 대신 자신의 광고 툴바 주소창을 생성하여 광고 행위를 하는 검색 도우미 마이툴바(MyToolbar) 프로그램에 대해 살펴보도록 하겠습니다.

[생성 폴더 / 파일 등록 정보]

C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\Microsoft\MYToolbar
C:\Program Files\MYToolbar
C:\Program Files\MYToolbar\ext.bat
C:\Program Files\MYToolbar\imt.reg
C:\Program Files\MYToolbar\mytb_conf.exe
C:\Program Files\MYToolbar\mytb_svc.exe :: MYToolbar 서비스 등록 파일
C:\Program Files\MYToolbar\mytb.dll :: BHO 등록 파일
C:\Program Files\MYToolbar\mytbcfg.exe
C:\Program Files\MYToolbar\UninstallDll.exe :: 프로그램 삭제 파일
C:\Program Files\MYToolbar\UpdateDll.exe

[생성 파일 진단 정보]

C:\Program Files\MYToolbar\mytb_conf.exe
 - MD5 : 07d429c478a57cab04d72acc401a131c
 - AhnLab V3 : Win-PUP/ToolBar.MYToolbar.407792 (VirusTotal : 1/43)

C:\Program Files\MYToolbar\mytb_svc.exe
 - MD5 : 378f7b6def31098c7aac8b32408ce580
 - AhnLab V3 : Win-PUP/ToolBar.MYToolbar.67352 (VirusTotal : 3/43)

해당 프로그램은 Windows 시작시 "MYToolbar" 이름으로 등록된 서비스를 통해 mytb_svc.exe 파일을 자동으로 실행되도록 구성되어 있습니다.

프로그램이 설치된 Windows XP 운영 체제 환경에서는 Internet Explorer 웹 브라우저의 주소 표시줄을 제거하고 MyToolbar 프로그램으로 대체한 것을 확인할 수 있습니다.

이를 통해 특정 인터넷 쇼핑몰 사이트에 접속할 경우 특정 광고 코드를 추가하여, 접속자가 광고 조건을 만족시킬 경우 프로그램 제작자(배포자)에게 금전적 수익이 발생할 것으로 추정됩니다.

[추가 기능 관리 : 도구 모음 및 확장 프로그램]

이름 : MYToolBand Class
게시자 : Nbiz Solution
유형 : 도구 모음
CLSID : {E2B9134A-BAFF-487B-BEED-D2D5EC2D55FB}
파일 : C:\Program Files\MYToolbar\mytb.dll

이름 : MYToolbarProc Class
게시자 : Nbiz Solution
유형 : 브라우저 도우미 개체
CLSID : {16A14962-7C7C-40DA-8F25-7F82C12F0208}
파일 : C:\Program Files\MYToolbar\mytb.dll

해당 프로그램은 Internet Explorer 웹 브라우저를 실행할 경우 iexplore.exe 프로세스에 mytb.dll 파일을 브라우저 도우미 개체(BHO)로 등록하여 주소 표시줄을 대체하는 광고 툴바를 통해 광고 행위를 하도록 되어 있습니다.

그러므로 해당 툴바 기능을 중지하기 위해서는 웹 브라우저의 추가 기능 관리에서 등록된 "MYToolBand Class, MYToolbarProc Class" 2개의 항목을 선택하여 [사용 안 함]으로 변경하시기 바랍니다.

프로그램 삭제시에는 Internet Explorer 웹 브라우저를 종료한 상태에서 제어판의 [MYToolbar] 삭제 항목을 이용하여 삭제하실 수 있으며, 프로그램 삭제 후에는 추가적으로 [C:\Program Files\MYToolbar] 폴더를 수동으로 삭제하시기 바랍니다.

그런데, Windows 7 + Internet Explorer 9 웹 브라우저 환경에서 마이툴바(MyToolbar) 프로그램이 설치된 경우 치명적인 문제가 발생할 수 있으므로 주의하시기 바랍니다.

프로그램이 설치된 환경에서 Internet Explorer 웹 브라우저를 실행하면 하단에 "MYToolBand Class" 항목의 사용 여부를 묻는 창이 생성되며 [사용] 버튼을 클릭할 경우 다음과 같은 문제가 발생합니다.

Internet Explorer 웹 브라우저를 실행한 경우 정상적으로 실행되지 않으며, iexplore.exe 파일에서 "Microsoft Visual C++ Runtime Library" 오류창이 생성되는 것을 확인할 수 있습니다.

이런 경우 일반적인 방법으로는 Internet Explorer 웹 브라우저를 실행할 수 없으므로 다음과 같은 방식으로 문제를 해결하시기 바랍니다.

프로그램 목록 중 "보조 프로그램 → 시스템 도구 → Internet Explorer(추가 기능 없음)" 메뉴를 실행하시기 바랍니다.

해당 방법은 기존에 소개해드린 Internet Explorer 웹 브라우저가 실행되지 않을 경우 "about:NoAdd-ons" 명령어를 이용하여 추가 기능 관리에 등록된 항목을 점검하는 방법을 응용한 것이므로 참고하시기 바랍니다.

추가 기능을 사용하지 않고 동작된 Internet Explorer 웹 브라우저는 위와 같은 형태로 동작하며, 메뉴 중 "도구 → 추가 기능 관리" 메뉴를 실행하시기 바랍니다.

추가 기능 관리에 등록된 "MYToolBand Class" 또는 "MYToolbarProc Class" 항목을 선택하여 [사용 안 함]으로 변경한 후 Internet Explorer 웹 브라우저를 종료하시고 정상적인 방법으로 웹 브라우저를 실행하시면 오류 문제는 해결됩니다.

하지만 해당 프로그램은 Windows 7 운영 체제에서 제공하는 제어판에 삭제 항목을 등록하지 않는 추가적인 문제가 있으므로 다음과 같이 프로그램을 삭제하시기 바랍니다.

프로그램 삭제시에는 Internet Explorer 웹 브라우저를 종료한 상태에서, 프로그램의 삭제 파일인 [C:\Program Files\MYToolbar\UninstallDll.exe] 파일을 찾아 수동으로 실행하시면 정상적으로 삭제하실 수 있습니다.

[생성 레지스트리 등록 정보]

HKEY_CURRENT_USER\Software\Microsoft\MYToolbar
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{16A14962-7C7C-40DA-8F25-7F82C12F0208}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E2B9134A-BAFF-487b-BEED-D2D5EC2D55FB}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{98D904B6-6CC8-4839-A1A0-4C5D911C4EBD}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{A3359F61-F7C2-4498-9163-8DFDE7212393}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\MYToolbar.MYToolBand
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\MYToolbar.MYToolBand.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\MYToolbar.MYToolbarProc
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\MYToolbar.MYToolbarProc.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{56928D96-4615-4374-95B8-E2DD861D0675}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar
 - {E2B9134A-BAFF-487b-BEED-D2D5EC2D55FB} = MYToolBand Class
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{16A14962-7C7C-40DA-8F25-7F82C12F0208}

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
MYToolbar

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MYTOOLBAR
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MYToolbar

해당 프로그램은 프로그램 목록에 제시되지 않는 문제로 설치 여부를 확인하기 어려우며, 설치 PC 환경에 따라 치명적인 오류를 유발할 수 있으므로 주의하시기 바랍니다.
728x90
반응형