울지않는벌새 : Security, Movie & Society

검색 도우미 : UtilZone

벌새::Analysis
인터넷 검색시 웹 브라우저 상단에 광고바를 생성하는 검색 도우미 UtilZone 프로그램에 대해 살펴보도록 하겠습니다.

해당 프로그램의 설치 파일(MD5 : 5e7e1ccadd84db84e9645809a384becb)에 대하여 Hauri ViRobot 보안 제품에서는 Adware.UtilZone.414432 (VirusTotal : 12/43) 진단명으로 진단되고 있으므로 참고하시기 바랍니다.

[생성 폴더 / 파일 등록 정보]

C:\Program Files\UtilZone
C:\Program Files\UtilZone\adc.acc
C:\Program Files\UtilZone\Cleaner.exe
C:\Program Files\UtilZone\ex.dat
C:\Program Files\UtilZone\except.dat
C:\Program Files\UtilZone\one.dat
C:\Program Files\UtilZone\Uninstall.exe :: 프로그램 삭제 파일
C:\Program Files\UtilZone\UtilZone.dll :: BHO 등록 파일
C:\Program Files\UtilZone\UtilZone.exe :: 시작 프로그램 등록 파일

[생성 파일 진단 정보]

C:\Program Files\UtilZone\Uninstall.exe
 - MD5 : 67635b0f634bdd586ad47626e761e45f
 - AhnLab V3 : PUP/Win32.NBiz (VirusTotal : 3/43)

해당 프로그램은 Windows 시작시 UtilZone.exe 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.

프로그램이 설치된 환경에서 인터넷 검색을 통해 특정 웹 사이트를 오픈할 경우, 웹 브라우저 상단에 검색 키워드 정보에 대한 "관련정보" 광고바가 생성되는 동작을 확인할 수 있습니다.

해당 광고바에 제시된 링크를 클릭할 경우 특정 광고 서버를 경유하여 오버추어(Overture) 광고 코드를 추가하여 접속이 이루어지도록 제작되어 있습니다.

[추가 기능 관리 : 도구 모음 및 확장 프로그램]

이름 : UtilZoneHelper
게시자 : nbiz Ltd.
유형 : 브라우저 도우미 개체
CLSID : {6F8DA4FC-BFEC-47E8-88D2-D88C4B6D0EDC}
파일 : C:\Program Files\UtilZone\UtilZone.dll

해당 프로그램은 Internet Explorer 웹 브라우저를 실행할 경우 iexplore.exe 프로세스에 UtilZone.dll 파일을 브라우저 도우미 개체(BHO)로 등록하여 키워드 감시를 통한 광고바를 생성하도록 되어 있습니다.

그러므로 광고 동작의 중지를 위해서는 웹 브라우저의 추가 기능 관리에 등록된 "UtilZoneHelper" 항목을 선택하여 "사용 안 함"으로 변경하시기 바랍니다.

또한 시작 프로그램으로 실행된 UtilZone.exe 파일은 메모리에 상주하므로, 프로그램 삭제시 Windows 작업 관리자에서 해당 프로세스를 찾아 수동으로 종료하시고 삭제를 진행하시기 바랍니다.

프로그램 삭제시에는 Internet Explorer 웹 브라우저를 종료한 상태에서 제어판의 "UtilZone" 삭제 항목을 이용하여 삭제하실 수 있습니다.

[생성 레지스트리 등록 정보]

HKEY_CURRENT_USER\Software\UtilZone
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6F8DA4FC-BFEC-47E8-88D2-D88C4B6D0EDC}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{790F121E-0CA5-4671-BEF1-E265E0CD7707}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{A154E449-9842-4E6D-A1F5-8D7E0708FB25}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\UtilZoneTool.TopBand
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\UtilZoneTool.TopBand.1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar
 - {9CA634EF-ECF0-4DD1-B7E2-B9CCFF40BCAF}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{6F8DA4FC-BFEC-47E8-88D2-D88C4B6D0EDC}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - UtilZone = C:\Program Files\UtilZone\UtilZone.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
UtilZone

해당 프로그램은 프로그램 목록에 제시되지 않는 문제로 설치 여부를 확인하기 어려우며, 프로그램 이름 자체가 광고 프로그램으로 보이지 않게 등록되어 혼동을 유발할 수 있으므로 주의하시기 바랍니다.