본문 바로가기

벌새::Analysis

검색 도우미 : NQ Supporter

728x90
반응형
인터넷 검색시 웹 브라우저 좌측에 사이드바 광고를 생성하는 검색 도우미 NQ Supporter 프로그램에 대해 살펴보도록 하겠습니다.

해당 프로그램의 설치 파일(MD5 : 9047389af952ab5638269d717256ec5e)에 대하여 AhnLab V3 보안 제품에서는 Win-PUP/Helper.NQSupporter.332696 (VirusTotal : 17/42) 진단명으로 진단되고 있으므로 참고하시기 바랍니다.

  검색 도우미 : Me2 Supporter (2011.12.4)

  국내 악성코드 : City Supporter (2011.12.20)

  검색 도우미 : Find Supporter (2011.12.29)

  검색 도우미 : Choco Supporter (2012.1.30)

해당 프로그램은 기존의 다양한 이름의 Supporter 시리즈 검색 도우미 프로그램과 유사성이 강하므로 참고하시기 바랍니다.

[생성 폴더 / 파일 등록 정보]

C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\nqdownfileinfo.oN
C:\Program Files\NQ Supporter2
C:\Program Files\NQ Supporter2\nqDownFileInfo.o
C:\Program Files\NQ Supporter2\nqguide.o
C:\Program Files\NQ Supporter2\nqquery.o
C:\Program Files\NQ Supporter2\NQSupporter.exe :: 시작 프로그램 등록 파일
C:\Program Files\NQ Supporter2\NQSupporterh.dll :: BHO 등록 파일
C:\Program Files\NQ Supporter2\version.txt
C:\WINDOWS\system32\nqconfig.o

[생성 파일 진단 정보]

C:\Program Files\NQ Supporter2\NQSupporter.exe
 - MD5 : bc4a03468dcea5fddf421403ab9a416a
 - AhnLab V3 : Win-PUP/Helper.NQSupporter.325080 (VirusTotal : 16/43)

C:\Program Files\NQ Supporter2\NQSupporterh.dll
 - MD5 : aafc82c4547a24bdc15ea6df5e7782e1
 - Hauri ViRobot : Adware.Agent.563712 (VirusTotal : 28/43)

해당 프로그램은 "C:\Program Files\NQ Supporter2" 폴더에 파일을 생성하며, Windows 시작시 NQSupporter.exe 파일을 시작 프로그램으로 등록하여 업데이트 체크를 하도록 구성되어 있습니다.

프로그램이 설치된 환경에서 인터넷 검색을 통해 웹 사이트를 오픈할 경우, 웹 브라우저 좌측에 "NQ Supporter" 사이드바 광고를 생성하는 동작을 확인할 수 있습니다.

해당 사이드바 광고를 통해 접속을 시도할 경우 오버추어(Overture) 광고 코드를 추가하여 인터넷 쇼핑몰에 접속이 이루어지는 것을 확인할 수 있으며, 해당 광고 코드는 미니서치(MiniSearch)와도 연관이 있는 것을 알 수 있습니다.

[추가 기능 관리 : 도구 모음 및 확장 프로그램]

이름 : NQ Supporter Helper Object
게시자 : OPEN.s.
유형 : 브라우저 도우미 개체
CLSID : {C3F846CE-842B-4B84-A4C7-10506A642809}
파일 : C:\Program Files\NQ Supporter2\NQSupporterh.dll

이름 : NQ Supporter
게시자 : OPEN.s.
유형 : 탐색창
CLSID : {1E3B21B8-AC4F-4368-8F99-014656253DCB}
파일 : C:\Program Files\NQ Supporter2\NQSupporterh.dll

해당 프로그램은 Internet Explorer 웹 브라우저 실행시 iexplore.exe 프로세스에 NQSupporterh.dll 파일을 브라우저 도우미 개체(BHO)로 등록하여 키워드 감시를 통한 사이드바 광고를 생성하도록 구성되어 있습니다.

그러므로 광고 동작 중지를 위해서는 웹 브라우저의 추가 기능 관리에 등록된 "NQ Supporter Helper Object", "NQ Supporter" 2개의 항목을 선택하여 "사용 안 함"으로 변경하시기 바랍니다.

프로그램 삭제시에는 Internet Explorer 웹 브라우저를 종료한 상태에서 제어판의 "NQ Supporter" 삭제 항목을 이용하여 삭제할 수 있으며, 프로그램 삭제 후에는 추가적으로 다음의 폴더(파일)를 수동으로 삭제하시기 바랍니다.
  • C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\nqdownfileinfo.oN
  • C:\Program Files\NQ Supporter2
  • C:\Program Files\NQ Supporter2\NQSupporter.bak
[생성 레지스트리 등록 정보]

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1E3B21B8-AC4F-4368-8F99-014656253DCB}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{C3F846CE-842B-4B84-A4C7-10506A642809}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\NQSupporterh.NQ Supporter
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\NQSupporterh.NQ Supporter2
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\{1E3B21B8-AC4F-4368-8F99-014656253DCB}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{C3F846CE-842B-4B84-A4C7-10506A642809}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - NQ Supporter2 = "C:\Program Files\NQ Supporter2\NQSupporter.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\NQ Supporter2
HKEY_LOCAL_MACHINE\SOFTWARE\NQ Supporter2
HKEY_LOCAL_MACHINE\SOFTWARE\NQ Supporter2Loader
HKEY_LOCAL_MACHINE\SOFTWARE\NQ SupporterLoader

해당 프로그램은 프로그램 목록에 제시되지 않는 문제로 설치 여부를 확인하기 어려우며, 웹 브라우저 좌측에 사이드바를 생성하여 불편을 유발할 수 있으므로 주의하시기 바랍니다.
728x90
반응형