울지않는벌새 : Security, Movie & Society

검색 도우미 : Advenced Top C Manager

벌새::Analysis
인터넷 검색시 광고창 생성 및 사용자 웹 사이트 접속 정보를 수집하는 검색 도우미 Advenced Top C Manager 프로그램에 대해 살펴보도록 하겠습니다.

  검색 도우미 : werpingt (2011.3.10)

  <Right Security Blog> 검색 도우미 : werpingt - sponsor_search (2011.4.7)

  검색 도우미 : werpingt2 (2011.4.20)

  검색 도우미 : werpingt - wt (2011.7.26)

  검색 도우미 : werpingt - search_ad (2011.9.25)

  <Right Security Blog> 검색 도우미 : werpingt - search_link (2011.9.28)

  <Right Security Blog> 검색 도우미 : werpingt - micro_sponsor12 (2011.10.6)

  <Right Security Blog> 검색 도우미 : werpingt - micro_sponsor13 (2011.10.20)

  <Right Security Blog> 검색 도우미 : werpingt - micro_sponsor17 (2011.10.31)

  검색 도우미 : werpingt - search_ch (2011.11.24)

  검색 도우미 : werpingt - WTL C++ Werping Manager (2011.12.9)

  <Right Security Blog> 검색 도우미 : WTL C++ Werping Manager - WerPingGood (2012.1.26)

해당 프로그램은 기존의 워핑(WerPing) 시리즈와 유사성이 강한 검색 도우미 프로그램으로 추정되므로 참고하시기 바랍니다.

[생성 폴더 / 파일 등록 정보]

C:\Program Files\AdvTopC
C:\Program Files\AdvTopC\AdvTCApp.exe :: 메모리 상주 프로세스(Internet Explorer 웹 브라우저 실행시)
C:\Program Files\AdvTopC\AdvTCApp.tlb
C:\Program Files\AdvTopC\TCHelper.dll :: BHO 등록 파일
C:\Program Files\AdvTopC\tcse.dat
C:\Program Files\AdvTopC\TCUnins.exe :: 프로그램 삭제 파일

해당 프로그램은 "C:\Program Files\AdvTopC" 폴더에 파일을 생성하며, 사용자가 Internet Explorer 웹 브라우저를 실행할 경우 AdvTCApp.exe 프로세스를 추가적으로 생성하는 동작을 하도록 제작되어 있습니다.

이 과정에서 웹 브라우저 초기 실행시 AdvTCApp.exe 파일은 사용자 Mac Address 정보 및 프로그램 버전 정보를 특정 서버로 전송하는 동작을 확인할 수 있습니다.

또한 사용자가 인터넷 검색을 통해 접속하는 과정에서 AdvTCApp.exe 파일은 사용자 Mac Address, 접속 URL 정보를 특정 서버에 전송하는 동작을 확인할 수 있습니다.

현재 테스트 시점에서는 추가적인 광고창 생성 등의 광고 동작이 확인되지 않고 있지만, 이전 또는 차후에 인터넷 이용 과정에서 광고창 생성 동작이 있을 수 있습니다.

[추가 기능 관리 : 도구 모음 및 확장 프로그램]

이름 : AdvTCCtrl Class
게시자 : (주)워핑
유형 : 브라우저 도우미 개체
CLSID : {3E5EF872-03E2-4CE0-94DF-CA8A5004ECFD}
파일 : C:\Program Files\AdvTopC\TCHelper.dll

해당 프로그램은 Internet Explorer 웹 브라우저 실행시 iexplore.exe 프로세스에 TCHelper.dll 파일을 브라우저 도우미 개체(BHO)로 등록하여 키워드 감시를 통한 다양한 동작이 예상됩니다.

그러므로 동작 중지를 위해서는 웹 브라우저의 추가 기능 관리에 등록된 "AdvTCCtrl Class" 항목을 선택하여 "사용 안 함"으로 변경하시기 바랍니다.

또한 Windows 작업 관리자에서 AdvTCApp.exe 프로세스를 수동으로 종료한 상태에서 프로그램 삭제를 진행하시기 바랍니다.

프로그램 삭제시에는 Internet Explorer 웹 브라우저를 종료한 상태에서 제어판의 "Advenced Top C Manager" 삭제 항목을 이용하여 삭제할 수 있으며, 삭제 후에는 추가적으로 숨김(H) 속성 값을 가지는 폴더 내에 생성된 "C:\Documents and Settings\(사용자 계정)\Templates\TCUnins.exe" 파일을 수동으로 삭제하시기 바랍니다.(※ 해당 프로그램은 "탑클릭(TopClick)"이라는 이름으로도 표시되고 있습니다.)

[생성 레지스트리 등록 정보]

HKEY_CURRENT_USER\Software\AdvTopC
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AdvTCApp.TopClickReceiver
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AdvTCApp.TopClickReceiver.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\{7C3D497D-F1D3-4E2C-A3C1-613D598C7B65}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\TCHelper.DLL
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3E5EF872-03E2-4CE0-94DF-CA8A5004ECFD}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{86D56D8B-9667-4C58-8BE5-37616F07A2AE}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{1CBECE76-7A9C-4118-9B1D-255EF4A28B0A}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{D8BE945B-214C-4FF4-90D4-D27453803121}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TCHelper.AdvTCCtrl
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TCHelper.AdvTCCtrl.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{229EDC5F-3F55-4873-AA68-DF2EE6B37B1D}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{393A6F9A-B9AF-4CC4-9205-7D9AD84E3599}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{9FFF5A03-2C66-462e-A2AE-19CA87E20DBE}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{C0748ADA-0334-4bcd-B2A9-F12E4C754AEC}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{3E5EF872-03E2-4CE0-94DF-CA8A5004ECFD}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
Advenced TopCli

해당 프로그램은 프로그램 목록에 제시되지 않는 문제로 설치 여부를 확인하기 어려우며, 인터넷 검색시 원치 않는 광고창 생성 및 검색 정보를 수집하는 문제가 있으므로 주의하시기 바랍니다.