본문 바로가기

벌새::Analysis

국내 악성코드 : mplantsearch 1.00 + quicktimesh

인터넷 검색시 사용자가 입력한 키워드 값을 가로채어 열린 주소창 검색(dreamx.dns3.paran.com) 결과를 생성하는 검색 도우미 "mplantsearch 1.00 + quicktimesh" 프로그램에 대해 살펴보도록 하겠습니다.

 

해당 프로그램의 배포 방식은 설치 파일(MD5 : 379f89854cca6aabd904ad1b9a223ba0)을 통해 1차적으로 mplantsearch 1.00 프로그램을 설치한 후, 사용자가 웹 브라우저를 실행하는 시점에서 사용자 몰래 추가적으로 quicktimesh 프로그램을 설치하고 있습니다.

 

참고로 mplantsearch 1.00 설치 파일에 대하여 Hauri ViRobot 보안 제품에서는 Adware.Agent.213662 (VirusTotal : 12/42) 진단명으로 진단되고 있으므로 참고하시기 바랍니다.

 

  검색 도우미 : OpenSearch - opensearchp 1.00 (2011.5.27)

 

  검색 도우미 : ntswinsearch 1.00 (2011.9.23)

 

  검색 도우미 : Winsearech 1.00 - untswinsearch (2011.10.4)

 

  검색 도우미 : Winsearch 1.00 - smwinsearch (2011.10.6)

 

  검색 도우미 : isearchplus 1.00 (2011.12.30)

 

  검색 도우미 : Clicknsearch 1.00 - neopsearch (2012.2.23)

 

  국내 악성코드 : OpenSearch 1.00 - sjadsearch (2012.2.25)

 

  검색 도우미 : Quicknsearch 1.00 (2012.3.30)

 

해당 프로그램은 파란(Paran) 열린 주소창 검색(dns3.paran.com)과 관련된 다양한 이름의 검색 도우미 프로그램이 발견되고 있으므로 참고하시기 바랍니다.

 

[생성 폴더 / 파일 등록 정보 : mplantsearch 1.00 프로그램]

 

C:\Program Files\mplantsearch
C:\Program Files\mplantsearch\mplantsearch.dll :: BHO 등록 파일
C:\Program Files\mplantsearch\mplantsearchdl.exe
C:\Program Files\mplantsearch\Uninstall.exe :: mplantsearch 1.00 프로그램 삭제 파일
C:\Program Files\mplantsearch\Uninstall.ini

 

[생성 레지스트리 등록 정보]

 

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D22EE67B-2428-4DC1-9E47-0A15BBF485CA}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{7FBE1EBD-D97C-4277-8E0C-FABE14826A23}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\mplantsearchprg.mplantsearch
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{0EEF74AE-B13F-4786-8D12-E10E4614D8B0}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
 - mplantsearch = 1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\

Browser Helper Objects\{D22EE67B-2428-4DC1-9E47-0A15BBF485CA}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\

mplantsearch 1.00
HKEY_LOCAL_MACHINE\SOFTWARE\mplantsearch 

 

mplantsearch 1.00 프로그램은 "C:\Program Files\mplantsearch" 폴더에 파일을 생성하며, Internet Explorer 웹 브라우저 실행시 프로그램이 동작하도록 구성되어 있습니다.

GET /~paran/mplantsearch/mplantsearch.html HTTP/1.1
Accept: image/gif,image/x-xbitmap,image/jpeg,image/pjpeg,*/*
User-Agent: Microsoft URL Control - 6.01.9782
Host: 121.**.93.**
Connection: Keep-Alive
Cache-Control: no-cache

해당 프로그램이 설치된 환경에서 Internet Explorer 웹 브라우저를 실행할 경우, 특정 서버에 접속하여 추가적으로 quicktimesh 프로그램의 설치 파일을 다운로드하여 "C:\Program Files\mplantsearch\gmcvsetup.exe" 위치에 생성 및 실행합니다.

 

참고로 해당 파일(MD5 : 76d3f399ee9b34125a00a40aadc79675)에 대하여 Kaspersky 보안 제품에서는 Trojan.Win32.Agent.rufv (VirusTotal : 8/42) 진단명으로 진단되고 있습니다.

 

[생성 폴더 / 파일 등록 정보 : quicktimesh 프로그램]

 

C:\Program Files\quicktimesh

C:\Program Files\quicktimesh\client.txt
C:\Program Files\quicktimesh\quicktimesh.dll :: BHO 등록 파일
C:\Program Files\quicktimesh\quicktimesh.exe :: 메모리 상주 프로세스
C:\Program Files\quicktimesh\quicktimesh.txt
C:\Program Files\quicktimesh\quicktimeshdl.exe
C:\Program Files\quicktimesh\Uninstall.exe :: quicktimesh 프로그램 삭제 파일
C:\Program Files\quicktimesh\Uninstalll.ini

 

[생성 레지스트리 등록 정보]

 

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{DE13A5FF-97E9-4747-BB2D-B61E89F8447B}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{3D14B952-A21F-4381-B4BB-4359B273C313}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\quicktimeshgp.quicktimesh
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{74D6F700-7FD2-4A91-80F2-ED763CED6A2D}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\

Browser Helper Objects\{DE13A5FF-97E9-4747-BB2D-B61E89F8447B}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\

quicktimesh
HKEY_LOCAL_MACHINE\SOFTWARE\quicktimesh

사용자 몰래 설치된 quicktimesh 프로그램은 "C:\Program Files\quicktimesh" 폴더에 파일을 생성하며, Internet Explorer 웹 브라우저 및 윈도우 탐색기를 실행할 경우 quicktimesh.exe 프로세스가 자동으로 실행되도록 구성되어 있습니다.

 

1. mplantsearch 1.00 + quicktimesh 프로그램의 공통점 

mplantsearch 1.00 + quicktimesh 프로그램은 공통적으로 Internet Explorer 웹 브라우저의 주소 표시줄에 검색어를 입력할 경우, 해당 검색어를 참조하여 열린 주소창 검색(dreamx.dns3.paran.com) 결과를 생성하는 동작을 합니다.

 

2. mplantsearch 1.00 검색 도우미 프로그램 동작 

mplantsearch 1.00 검색 도우미 프로그램은 포털 사이트에서 인터넷 검색을 시도할 경우 키워드 값을 가로채어 열린 주소창 검색(dreamx.dns3.paran.com) 결과창을 추가로 생성하는 동작을 합니다.

 

3. quicktimesh 검색 도우미 프로그램 동작 

quicktimesh 검색 도우미 프로그램은 인터넷 검색시 quicktimesh.exe 파일을 이용하여 사용자가 입력한 키워드 값을 특정 검색 서버에 매치를 시키는 동작을 하며, 일부 욕설을 포함한 키워드 값은 필터링 처리하는 것을 확인할 수 있습니다.

 

4. 브라우저 도우미 개체(BHO) 등록 정보 

[추가 기능 관리 : 도구 모음 및 확장 프로그램]

 

이름 : mplantsearchprg.mplantsearch

게시자 : mplantsearch

유형 : 브라우저 도우미 개체

CLSID : {D22EE67B-2428-4DC1-9E47-0A15BBF485CA}

파일 : C:\Program Files\mplantsearch\mplantsearch.dll

 

이름 : quicktimeshgp.quicktimesh

게시자 : quicktimesh

유형 : 브라우저 도우미 개체

CLSID : {DE13A5FF-97E9-4747-BB2D-B61E89F8447B}

파일 : C:\Program Files\quicktimesh\quicktimesh.dll

 

해당 mplantsearch 1.00 + quicktimesh 프로그램은 Internet Explorer 웹 브라우저 실행시 iexplore.exe 프로세스에 mplantsearch.dll, quicktimesh.dll 파일을 각각 브라우저 도우미 개체(BHO)로 등록하여 광고 동작을 하도록 구성되어 있습니다.

 

그러므로 광고 동작의 중지를 위해서는 웹 브라우저의 추가 기능 관리에 등록된 "mplantsearchprg.mplantsearch", "quicktimeshgp.quicktimesh" 2개의 항목을 선택하여 "사용 안 함"으로 변경하시기 바랍니다. 

프로그램 삭제시에는 Internet Explorer 웹 브라우저를 종료한 상태에서 제어판의 "mplantsearch 1.00", "quicktimesh" 2개의 삭제 항목을 이용하여 삭제할 수 있으며, quicktimesh 프로그램 삭제시에는 "C:\Program Files\quicktimesh\quicktimeshdl.exe" 파일을 찾을 수 없다는 오류 메시지가 생성되지만 정상적으로 프로그램 삭제가 진행되므로 참고하시기 바랍니다.

 

프로그램 삭제 후에는 추가적으로 다음의 폴더(파일)를 수동으로 삭제하시기 바랍니다.

  • C:\Program Files\mplantsearch
  • C:\Program Files\mplantsearch\gmcvsetup.exe
  • C:\Program Files\mplantsearch\mplantsearch.dll
  • C:\Program Files\quicktimesh
  • C:\Program Files\quicktimesh\client.txt
  • C:\Program Files\quicktimesh\quicktimesh.dll
  • C:\Program Files\quicktimesh\quicktimesh.txt

해당 프로그램은 프로그램 목록에 제시되지 않는 문제로 설치 여부를 확인하기 어려우며, 하나의 프로그램이 유사한 기능을 하는 또 다른 광고 프로그램을 사용자 동의없이 설치하는 것으로 보이므로 주의하시기 바랍니다.