본문 바로가기

벌새::Analysis

제휴(스폰서) 프로그램 : YahooStartPage Setup

Internet Explorer 웹 브라우저의 홈 페이지(시작 페이지)를 야후(Yahoo)로 변경하는 YahooStartPage Setup 프로그램에 대해 살펴보도록 하겠습니다.

 

해당 프로그램의 설치 파일(MD5 : aa58f66fa88c7566bcde26e55150483b)에 대하여 Hauri ViRobot 보안 제품에서는 Trojan.Win32.StartPage.402432 (VirusTotal : 7/42) 진단명으로 진단되고 있습니다.

 

  국내 악성코드 : windows of start yahoo (2012.2.14)

 

야후(Yahoo) 홈 페이지 변경 프로그램은 다양한 형태로 배포가 이루어지고 있으므로 참고하시기 바랍니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Program Files\Yasi
C:\Program Files\Yasi\temp
C:\Program Files\Yasi\YasiUninst.exe :: 프로그램 삭제 파일
C:\Program Files\Yasi\YasiUpdate.exe :: 시작 프로그램 등록 파일

 

해당 프로그램은 "C:\Program Files\Yasi" 폴더에 파일을 생성하며, Windows 시작시 YasiUpdate.exe 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.

GET /update_xml.php?gu=743E3 ~(생략)~ 8E714&pi=193&ac=8 HTTP/1.1
User-Agent: Mozilla/4.0(compatible; )
Accept: */*
Host: ***.yahoostart****.com

참고로 자동 실행된 YasiUpdate.exe 파일은 특정 서버에 접속하여 업데이트 체크를 하는 동작을 확인할 수 있습니다. 

해당 프로그램은 사용자가 지정한 홈 페이지(시작 페이지)를 야후(Yahoo) 특정 코드가 포함된 URL 주소로 변경하여, Internet Explorer 웹 브라우저 실행시 야후(Yahoo) 메인 페이지가 노출되도록 합니다. 

프로그램 삭제는 제어판의 "YahooStartPage Setup" 삭제 항목을 이용하여 삭제할 수 있습니다.

 

[생성 / 변경 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
 - Start Page = (사용자 지정 홈 페이지 URL) :: 변경 전
 - Start Page = http://kr.yahoo.com/?ilc=193  :: 변경 후
HKEY_CURRENT_USER\Software\Yasi
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - Yasi = C:\Program Files\Yasi\YasiUpdate.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Yasi

해당 프로그램은 제어판을 통해 프로그램 관련 파일을 삭제하여도 야후(Yahoo) 홈 페이지 설정은 변경하지 않으므로, 인터넷 옵션에서 사용자가 원하는 홈 페이지 주소를 입력하여 변경을 반드시 하시기 바랍니다.