울지않는벌새 : Security, Movie & Society

검색 도우미 : 앱이즈(AppIs) 1.0.0.1

벌새::Analysis
인터넷 검색시 웹 브라우저 상단에 광고바 생성 및 명령 모음에 11번가, G마켓, 옥션 바로가기 아이콘을 등록하는 검색 도우미 "앱이즈(AppIs) 1.0.0.1" 프로그램에 대해 살펴보도록 하겠습니다.

해당 프로그램은 기존의 웹컴파스(WebCompass) 시리즈와 유사성이 강하므로 참고하시기 바랍니다.

 

[생성 폴더 / 파일 등록 정보]

C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\AppIs :: 숨김(H) 속성
C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\AppIs\appis.dll :: BHO 등록 파일
C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\AppIs\appismgr.exe :: 시작 프로그램 등록 파일 / 메모리 상주 프로세스
C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\AppIs\free.exe
C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\AppIs\Log.txt
C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\AppIs\unins000.dat
C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\AppIs\unins000.exe :: 프로그램 삭제 파일
C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\AppIs\update.dat
C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\AppIs\update.exe
C:\WINDOWS\Tasks\AppIsUpdate.job
[생성 파일 진단 정보]

C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\AppIs\appis.dll
 - MD5 : c3f80dd34e83c2ae4ee72b081aac4d1f
 - AhnLab V3 : PUP/Win32.WebCompass (VirusTotal : 1/43)

C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\AppIs\update.exe
 - MD5 : f8eede46e1fffbfc2fd01b6ed1ccf028
 - AhnLab V3 : PUP/Win32.WebCompass (VirusTotal : 1/43)

 

해당 프로그램은 사용자가 확인하기 어려운 숨김(H) 속성을 가진 [C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\AppIs] 폴더 내에 파일을 생성하며, Windows 시작시 appismgr.exe 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.

프로그램이 설치된 환경에서 Internet Explorer 웹 브라우저의 명령 모음에 [앱이즈 옥션 바로가기, 앱이즈 G마켓 바로가기, 앱이즈 11번가 바로가기] 아이콘이 등록되는 것을 확인할 수 있습니다.

사용자가 인터넷 검색을 할 경우, 웹 브라우저 상단에 비교 검색 관련 광고바가 생성되며 검색 결과창을 클릭할 경우 추가적인 검은색 계열의 광고바가 노출되는 동작을 확인할 수 있습니다.

또한 해당 프로그램은 설치시 [C:\WINDOWS\Tasks\AppIsUpdate.job] 파일을 이용하여 "예약된 작업" 항목에 ApplsUpdate 항목을 등록하며, 해당 예약된 작업은 [C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\AppIs\update.exe] 파일을 실행하여 윈도우 계정 로그인시마다 업데이트 체크를 하도록 구성되어 있습니다.

[추가 기능 관리 : 도구 모음 및 확장 프로그램]

이름 : AppIs Search Class
게시자 : goodcomms Inc.
유형 : 브라우저 도우미 개체
CLSID : {C1C92372-4705-4020-998B-D1E5E95716C3}
파일 : C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\AppIs\appis.dll

이름 : 앱이즈 11번가 바로가기
유형 : 브라우저 확장
CLSID : {68C04328-167E-446A-AC57-4A04DAD74BDC}

이름 : 앱이즈 옥션 바로가기
유형 : 브라우저 확장
CLSID : {A005B05D-B3BD-49DB-B0A8-1D4F0CF53CFB}

이름 : 앱이즈 G마켓 바로가기
유형 : 브라우저 확장
CLSID : {E5990159-7CB9-4E2C-A27E-4C23E2FA70E6}

 

해당 프로그램은 Internet Explorer 웹 브라우저 실행시 iexplore.exe 프로세스에 appis.dll 파일을 브라우저 도우미 개체(BHO)로 등록하여 키워드 감시를 통한 광고바 생성을 하며, 브라우저 확장 기능을 통해 명령 모음에 11번가, G마켓, 옥션 바로가기 아이콘을 등록하고 있습니다.

그러므로 해당 광고 동작의 중지를 위해서는 우선적으로 웹 브라우저의 추가 기능 관리에 등록된 "AppIs Search Class, 앱이즈 11번가 바로가기, 앱이즈 옥션 바로가기, 앱이즈 G마켓 바로가기" 항목을 선택하여 [사용 안 함]으로 변경하시기 바랍니다.

또한 프로그램 삭제시에는 Windows 작업 관리자에서 appismgr.exe 프로세스를 수동으로 종료하시기 바랍니다.

특히 appismgr.exe 프로세스가 메모리에 상주된 상태로 사용자가 시스템 종료를 시도할 경우, 해당 프로세스가 제대로 종료되지 않는 문제로 인하여 불편을 유발할 수도 있습니다.

프로그램 삭제시에는 appismgr.exe 프로세스 종료 및 Internet Explorer 웹 브라우저 종료한 상태에서 제어판의 [AppIs(앱이즈)] 삭제 항목을 이용하여 삭제하실 수 있습니다.

 

[생성 레지스트리 등록 정보]

HKEY_CURRENT_USER\Software\AppIs
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{39932A4E-63C1-400a-9F3D-3C1655DC5E00}
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow
 - *.goodcomms.co.kr
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppIsBHO.Bar
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{C1C92372-4705-4020-998B-D1E5E95716C3}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{BAA2764B-4634-4039-B17C-BDBBE74C222F}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{0BE71171-2362-4878-AFA5-E1BA6FC69230}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{68C04328-167E-446A-AC57-4A04DAD74BDC}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{A005B05D-B3BD-49DB-B0A8-1D4F0CF53CFB}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{E5990159-7CB9-4E2C-A27E-4C23E2FA70E6}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{39932A4E-63C1-400a-9F3D-3C1655DC5E00}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{C1C92372-4705-4020-998B-D1E5E95716C3}

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - appismgr.exe = C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\AppIs\appismgr.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
AppIs(앱이즈)_is1

 

해당 프로그램은 프로그램 목록에 제시되지 않는 점과 일반적인 소프트웨어 설치 폴더가 아닌 위치에 설치되어 사용자가 설치 여부를 확인하기 어려우므로 주의하시기 바랍니다.