본문 바로가기
벌새::Analysis

검색 도우미 : clickhighst

벌새 2012. 4. 26. 23:10
반응형

특정 인터넷 쇼핑몰 접속시 사용자 몰래 광고 코드를 추가하는 검색 도우미 clickhighst 프로그램에 대해 살펴보도록 하겠습니다.

 

해당 프로그램의 설치 파일(MD5 : b48161f3933db215217aee0152e9b571)에 대하여 AhnLab V3 보안 제품에서는 PUP/Win32.TotalLink (VirusTotal : 2/42) 진단명으로 진단되고 있습니다.

 

  검색 도우미 : qpscd (2012.3.21)

 

  검색 도우미 : tpnbbs (2012.3.23)

 

  검색 도우미 : mrsph (2012.4.17)

 

  국내 악성코드 : pop2click (2012.4.26)

 

  국내 악성코드 : bpntup (2012.4.26)

 

또한 해당 프로그램은 유사한 기능을 가지는 다양한 프로그램이 확인되고 있으므로 참고하시기 바랍니다.

GET /****/clickhighst/clickhighst.zip HTTP/1.1
Content-Type: text/html
Host: ****.tmqrhks.com
Accept: text/html, */*
User-Agent: Mozilla/3.0 (compatible; Indy Library)

설치 파일이 실행되면 특정 서버로부터 clickhighst 프로그램 관련 파일이 포함된 clickhighst.zip 압축 파일을 다운로드하여 설치되도록 제작되어 있습니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Program Files\clickhighst
C:\Program Files\clickhighst\clickhighst.dll :: BHO 등록 파일
C:\Program Files\clickhighst\clickhighst.zip
C:\Program Files\clickhighst\clickhighstuninst.exe :: 프로그램 삭제 파일

 

[생성 파일 진단 정보]

 

C:\Program Files\clickhighst\clickhighst.dll
 - MD5 : c727b7733bb9057bfa2ad60ddee49a32
 - AhnLab V3 : Win-PUP/Helper.Clickhighst.590336 (VirusTotal : 24/42)

 

해당 프로그램은 "C:\Program Files\clickhighst" 폴더에 파일을 생성하며, Internet Explorer 웹 브라우저를 통해 프로그램에서 지정한 특정 인터넷 쇼핑몰에 접속시 동작하도록 구성되어 있습니다. 

프로그램 동작 방식을 살펴보면 사용자가 11번가, G마켓, 옥션, 디앤샵(d&shop) 등 프로그램에서 지정한 인터넷 쇼핑몰 접속시 사용자 몰래 광고 코드(click.clickstory.co.kr)를 추가하여 특정 조건을 만족시킬 경우 프로그램 제작자(배포자)에게 금전적 수익이 발생할 것으로 보입니다. 

[추가 기능 관리 : 도구 모음 및 확장 프로그램]

 

이름 : clickhighst

유형 : 브라우저 도우미 개체

CLSID : {0781654C-4592-4715-946C-4F9A3683D6FE}

파일 : C:\Program Files\clickhighst\clickhighst.dll

 

해당 프로그램은 Internet Explorer 웹 브라우저 실행시 iexplore.exe 프로세스에 clickhighst.dll 파일을 브라우저 도우미 개체(BHO)로 등록하여, 프로그램에서 지정한 인터넷 쇼핑몰 접속시 광고 코드를 추가하도록 제작되어 있습니다.

 

그러므로 광고 동작의 중지를 위해서는 웹 브라우저의 추가 기능 관리에 등록된 "clickhighst" 항목을 선택하여 "사용 안 함"으로 변경하시기 바랍니다. 

프로그램 삭제시에는 Internet Explorer 웹 브라우저를 종료한 상태에서 제어판의 "clickhighst" 삭제 항목을 이용하여 삭제할 수 있습니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\clickhighst
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0781654C-4592-4715-946C-4F9A3683D6FE}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\

Browser Helper Objects\{0781654C-4592-4715-946C-4F9A3683D6FE}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\

clickhighst

 

해당 프로그램은 프로그램 목록에 제시되지 않는 문제로 설치 여부를 확인하기 어려우며, 출처를 알 수 없는 프로그램으로 인하여 사용자 몰래 지속적으로 프로그램 운영자에게 금전적 혜택을 줄 수 있으므로 주의하시기 바랍니다.

728x90
반응형

태그

, , , , , , , , , , , , , , , , , , ,

티스토리툴바