본문 바로가기

벌새::Analysis

검색 도우미 : Choco Supporter

반응형
인터넷 검색시 웹 브라우저 좌측에 사이드바 형태의 광고 생성 및 멀티탭 브라우징 방식의 광고창을 생성하는 검색 도우미 Choco Supporter 프로그램에 대해 살펴보도록 하겠습니다.

해당 프로그램은 기존의 Me2 Supporter, City Supporter, Find Supporter 검색 도우미 프로그램과 유사성이 강하므로 참고하시기 바랍니다.

 

[생성 폴더 / 파일 등록 정보]

C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\csdownfileinfo.oN
C:\Program Files\Choco Supporter
C:\Program Files\Choco Supporter\category.dat
C:\Program Files\Choco Supporter\ChocoSupporter.exe :: 시작 프로그램 등록 파일
C:\Program Files\Choco Supporter\ChocoSupporterh.dll :: BHO 등록 파일
C:\Program Files\Choco Supporter\csDownFileInfo.o
C:\Program Files\Choco Supporter\csguide.o
C:\Program Files\Choco Supporter\csquery.o
C:\Program Files\Choco Supporter\domainmatch.dat
C:\Program Files\Choco Supporter\except.dat
C:\Program Files\Choco Supporter\keywordTab.dll :: BHO 등록 파일
C:\Program Files\Choco Supporter\KeywordTab.exe
C:\Program Files\Choco Supporter\mainsite.dat
C:\Program Files\Choco Supporter\version.txt
C:\WINDOWS\system32\csconfig.o
[생성 파일 진단 정보]

C:\Program Files\Choco Supporter\keywordTab.dll
 - MD5 : 819c7e12d238db970c6e868cb6ef8d47
 - nProtect : Trojan/W32.Agent.140288.LM (VirusTotal : 31/43)

C:\Program Files\Choco Supporter\KeywordTab.exe
 - MD5 : 688e7bac74d7a501fd791eb2d0d6a7d9
 - AhnLab V3 : PUP/Win32.KeywordTab (VirusTotal : 19/43)

 

해당 프로그램은 Windows 시작시 ChocoSupporter.exe 파일을 시작 프로그램으로 등록하여 자동 실행되어 업데이트 체크 등의 동작을 하도록 구성되어 있습니다.

프로그램이 설치된 환경에서 인터넷 검색을 통해 웹 사이트를 오픈할 경우, 웹 브라우저 좌측에 사이드바 형태의 "Choco Supporter" 광고가 생성되는 것을 확인할 수 있습니다.

또한 동시에 새 창을 통해 "open.keywordtab.co.kr" 서버에서 불러온 멀티탭 브라우징 방식의 광고창을 추가로 생성하는 동작을 확인할 수 있습니다.

[추가 기능 관리 : 도구 모음 및 확장 프로그램]

이름 : Choco Supporter Helper Object
게시자 : OPEN.co., ltd
유형 : 브라우저 도우미 개체
CLSID : {2E70ECB3-FDB6-40E6-BF93-B72386F2F1FF}
파일 : C:\Program Files\Choco Supporter\ChocoSupporterh.dll

이름 : Choco Supporter
게시자 : OPEN.co., ltd
유형 : 탐색창
CLSID : {C6FE01C2-7E37-4953-934A-DDBC0E5C179A}
파일 : C:\Program Files\Choco Supporter\ChocoSupporterh.dll

이름 : keywordtab
게시자 : (주)오피엔
유형 : 브라우저 도우미 개체
CLSID : {98D68C3C-CF16-4CA8-BBDB-11E0EDB62E36}
파일 : C:\Program Files\Choco Supporter\keywordTab.dll

 

해당 프로그램은 Internet Explorer 웹 브라우저가 실행될 경우 iexplore.exe 프로세스에 ChocoSupporterh.dll, keywordTab.dll 2개의 파일을 브라우저 도우미 개체(BHO)로 등록하여 사이드바 광고 및 멀티탭 브라우징 광고 생성을 하도록 구성되어 있습니다.

그러므로 광고 동작 중지를 위해서는 웹 브라우저 추가 기능 관리에 등록된 "Choco Supporter Helper Object", "Choco Supporter", "keywordtab" 3개의 항목을 선택하여 "사용 안 함"으로 변경하시기 바랍니다.

프로그램 삭제시에는 Internet Explorer 웹 브라우저를 종료한 상태에서 제어판의 "Choco Supporter" 삭제 항목을 이용하여 삭제하실 수 있으며, 프로그램 삭제 후에는 추가적으로 다음의 폴더(파일)를 수동으로 삭제하시기 바랍니다.

C:\Program Files\Choco Supporter
C:\Program Files\Choco Supporter\ChocoSupporter.bak
[생성 레지스트리 등록 정보]

HKEY_LOCAL_MACHINE\SOFTWARE\Choco Supporter
HKEY_LOCAL_MACHINE\SOFTWARE\Choco SupporterLoader
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ChocoSupporterh.Choco Supporter
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2E70ECB3-FDB6-40E6-BF93-B72386F2F1FF}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{98D68C3C-CF16-4CA8-BBDB-11E0EDB62E36}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{C6FE01C2-7E37-4953-934A-DDBC0E5C179A}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\{C6FE01C2-7E37-4953-934A-DDBC0E5C179A}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{2E70ECB3-FDB6-40E6-BF93-B72386F2F1FF}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{98D68C3C-CF16-4CA8-BBDB-11E0EDB62E36}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - Choco Supporter = "C:\Program Files\Choco Supporter\ChocoSupporter.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Choco Supporter

프로그램 삭제 후에도 추가 기능 관리에 등록된 "keywordtab" 브라우저 도우미 개체(BHO) 항목이 삭제되지 않는 문제가 확인되고 있으며, 해당 항목을 삭제하기 위해서는 레지스트리 편집기(regedit)를 실행하여 "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Explorer\Browser Helper Objects\{98D68C3C-CF16-4CA8-BBDB-11E0EDB62E36}" 
값을 수동으로 삭제하시기 바랍니다.

해당 프로그램은 프로그램 목록에 제시되지 않는 문제로 설치 여부를 확인하기 어려우며, 인터넷 이용시 원치 않는 광고창이 반복적으로 생성되어 웹 브라우저 속도 저하의 원인이 될 수 있으므로 주의하시기 바랍니다.

728x90
반응형