본문 바로가기

벌새::Analysis

검색 도우미 : Internet SubJet Client

반응형
인터넷 검색시 웹 브라우저 하단에 광고바를 생성하는 검색 도우미 Internet SubJet Client 프로그램에 대해 살펴보도록 하겠습니다.

  국내 악성코드 : Windows Onestep System (2011.11.12)

  검색 도우미 : Windows Onestep System - onestep (2011.11.22)

  국내 악성코드 : Windows smartlink System (2012.2.14)

해당 프로그램은 기존의 Windows Onestep System, Windows smartlink System 검색 도우미 프로그램과 유사성이 강하므로 참고하시기 바랍니다.

[생성 폴더 / 파일 등록 정보]

C:\Program Files\subjet
C:\Program Files\subjet\ies.tml
C:\Program Files\subjet\ls.plc
C:\Program Files\subjet\sjt.exe
C:\Program Files\subjet\subjet.dll :: 탐색창 등록 파일
C:\Program Files\subjet\subjetb.dll :: BHO 등록 파일
C:\Program Files\subjet\subjete.exe :: 시작 프로그램 등록 파일
C:\Program Files\subjet\uninstall.exe :: 프로그램 삭제 파일

해당 프로그램은 "C:\Program Files\subjet" 폴더 내에 파일을 생성하며, Windows 시작시 subjete.exe 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.

시작 프로그램으로 등록된 subjete.exe 파일은 ① Internet SubJet Client 프로그램 업데이트 체크를 통해 추가적으로 sjt.exe 파일을 다운로드하며 ② 추가적으로 등록된 번들(Bundle) 프로그램이 포함되어 있는 경우 사용자의 동의 과정없이 설치될 가능성이 존재합니다.(※ 테스트 당시에는 추가적인 프로그램이 등록되어 있지 않은 상태입니다.)

프로그램이 설치된 환경에서 인터넷 검색을 시도할 경우, iexplore.exe 프로세스 하위에 sjt.exe 프로세스를 추가 생성하여 특정 서버에 키워드 정보, 사용자 Mac Address 정보 등을 전송하고 종료되는 동작을 확인할 수 있습니다.

인터넷 검색을 통해 특정 검색 결과 사이트를 오픈한 경우, 웹 브라우저 하단에 "O"로 표기된 광고바를 생성합니다.

해당 광고바에 노출된 광고는 특정 광고 코드(adnclick.com)를 포함된 형태로 특정 조건을 만족시킬 경우 프로그램 제작자(배포자)에게 금전적 수익이 발생할 것으로 보입니다.

[추가 기능 관리 : 도구 모음 및 확장 프로그램]

이름 : subjet
유형 : 브라우저 도우미 개체
CLSID : {7B1F1AE7-7B63-487E-8F45-1471E1BD826E}
파일 : C:\Program Files\subjet\subjetb.dll

이름 : O
유형 : 탐색창
CLSID : {B94B232A-6207-46BB-B116-60B3B6267D83}
파일 : C:\Program Files\subjet\subjet.dll

해당 프로그램은 Internet Explorer 웹 브라우저 실행시 iexplore.exe 프로세스에 subjetb.dll 파일을 브라우저 도우미 개체(BHO)로 등록하여 키워드 감시를 통한 광고바 생성 동작을 하도록 구성되어 있습니다.

그러므로 광고 동작의 중지를 위해서는 웹 브라우저의 추가 기능 관리에 등록된 "subjet", "O" 2개의 항목을 선택하여 "사용 안 함"으로 변경하시기 바랍니다.

프로그램 삭제시에는 Internet Explorer 웹 브라우저를 종료한 상태에서 제어판의 "Internet SubJet Client" 삭제 항목을 이용하여 삭제하실 수 있으며, 프로그램 삭제 후에는 추가적으로 "C:\Program Files\subjet" 폴더를 수동으로 삭제하시기 바랍니다.

[생성 레지스트리 등록 정보]

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - subjet = C:\Program Files\subjet\subjete.exe
HKEY_CURRENT_USER\Software\nosubjet
HKEY_CURRENT_USER\Software\subjet
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7B1F1AE7-7B63-487E-8F45-1471E1BD826E}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B94B232A-6207-46BB-B116-60B3B6267D83}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\subjet.one
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\subjet
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{7B1F1AE7-7B63-487E-8F45-1471E1BD826E}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
subjet

해당 프로그램은 프로그램 목록에 제시되지 않는 문제로 설치 여부를 확인하기 어려우며, 프로그램 배포자의 의도에 따라서 차후 추가적인 프로그램 설치 가능성이 존재하므로 주의하시기 바랍니다.
728x90
반응형
  • 비밀댓글입니다

  • 귀요미 2012.04.03 17:58 댓글주소 수정/삭제 댓글쓰기

    벌새님이 하라는대로 하고 마지막으로
    C:\Program Files\subjet 를 수동으로 삭제 눌럿는데요
    uptnt.exe 항목을 삭제할 수 없습니다. 액세스가 거부되었습니다.
    디스크가 꽉 찼거나 쓰기 금지되어 있는지
    아니면 파일이 현재 사용 중이 아닌지 확인하십시오. 라고 나와요 ㅠㅠ
    어떻게해요?.?

    • uptnt.exe 파일을 Windows 작업 관리자에서 찾아서 종료하시기 바랍니다.

      그 후에 삭제해 보세요. 아마 이 프로그램 제작자가 프로그램을 좀 변경한 것 같습니다.

  • 가르쳐주세요 2012.05.08 13:00 댓글주소 수정/삭제 댓글쓰기

    Trojan/Win32.Gen 이 바이러스 때문에 컴퓨터가 한동안 안됬엇거든요
    v3로 정밀검사하면 Trojan/Win32.Gen 이바이러스만 계속 잡히는거에요
    그래서 치료가능이길래 치료를 하면 또 컴퓨터가 먹통이에요
    돌아버리겟는거에요
    이 바이러스 잡으려고 C:\Program Files\subjet\subjete.exe 이 경로 통해서검색해보니깐 Internet SubJet Client 이 프로그램을 삭제하라고 되 잇어서 일단 삭제는 햇거든요
    그 이외에 뭘 더 어떻게 하면되나요?ㅠㅠ미치겟습니다
    빨리 Trojan/Win32.Gen 이 바이러스 잡아서 컴터 좀 빨리 쓰고 싶어요
    이 바이러스 때문인지 뭔지 게속 광고성 홈페이지도 뜨고요

  • 가르주세요 2012.05.08 20:34 댓글주소 수정/삭제 댓글쓰기

    파일경로가 C:\Program Files\subjet\subjete.exe 여기라고 나와요
    어떤분이 실행들어가서 C:\Program Files\subjet\subjete.exe 이걸지우라고 하시고 고클린을 다운받아서 지우라고 하는데 고클린 다운받아서 지워도 되는건가요

    • 제어판에서 Internet SubJet Client 삭제 항목을 이용하여 프로그램을 제거하시거나, IE 웹 브라우저를 모두 종료한 상태에서 C:\Program Files\subjet 폴더 자체를 삭제해 보시기 바랍니다.

  • 좋은 글 감사합니다. 덕분에 지웠습니다.ㅠㅠ