본문 바로가기

벌새::Analysis

검색 도우미 : clickhighst

특정 인터넷 쇼핑몰 접속시 사용자 몰래 광고 코드를 추가하는 검색 도우미 clickhighst 프로그램에 대해 살펴보도록 하겠습니다.

 

해당 프로그램의 설치 파일(MD5 : b48161f3933db215217aee0152e9b571)에 대하여 AhnLab V3 보안 제품에서는 PUP/Win32.TotalLink (VirusTotal : 2/42) 진단명으로 진단되고 있습니다.

 

  검색 도우미 : qpscd (2012.3.21)

 

  검색 도우미 : tpnbbs (2012.3.23)

 

  검색 도우미 : mrsph (2012.4.17)

 

  국내 악성코드 : pop2click (2012.4.26)

 

  국내 악성코드 : bpntup (2012.4.26)

 

또한 해당 프로그램은 유사한 기능을 가지는 다양한 프로그램이 확인되고 있으므로 참고하시기 바랍니다.

GET /****/clickhighst/clickhighst.zip HTTP/1.1
Content-Type: text/html
Host: ****.tmqrhks.com
Accept: text/html, */*
User-Agent: Mozilla/3.0 (compatible; Indy Library)

설치 파일이 실행되면 특정 서버로부터 clickhighst 프로그램 관련 파일이 포함된 clickhighst.zip 압축 파일을 다운로드하여 설치되도록 제작되어 있습니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Program Files\clickhighst
C:\Program Files\clickhighst\clickhighst.dll :: BHO 등록 파일
C:\Program Files\clickhighst\clickhighst.zip
C:\Program Files\clickhighst\clickhighstuninst.exe :: 프로그램 삭제 파일

 

[생성 파일 진단 정보]

 

C:\Program Files\clickhighst\clickhighst.dll
 - MD5 : c727b7733bb9057bfa2ad60ddee49a32
 - AhnLab V3 : Win-PUP/Helper.Clickhighst.590336 (VirusTotal : 24/42)

 

해당 프로그램은 "C:\Program Files\clickhighst" 폴더에 파일을 생성하며, Internet Explorer 웹 브라우저를 통해 프로그램에서 지정한 특정 인터넷 쇼핑몰에 접속시 동작하도록 구성되어 있습니다. 

프로그램 동작 방식을 살펴보면 사용자가 11번가, G마켓, 옥션, 디앤샵(d&shop) 등 프로그램에서 지정한 인터넷 쇼핑몰 접속시 사용자 몰래 광고 코드(click.clickstory.co.kr)를 추가하여 특정 조건을 만족시킬 경우 프로그램 제작자(배포자)에게 금전적 수익이 발생할 것으로 보입니다. 

[추가 기능 관리 : 도구 모음 및 확장 프로그램]

 

이름 : clickhighst

유형 : 브라우저 도우미 개체

CLSID : {0781654C-4592-4715-946C-4F9A3683D6FE}

파일 : C:\Program Files\clickhighst\clickhighst.dll

 

해당 프로그램은 Internet Explorer 웹 브라우저 실행시 iexplore.exe 프로세스에 clickhighst.dll 파일을 브라우저 도우미 개체(BHO)로 등록하여, 프로그램에서 지정한 인터넷 쇼핑몰 접속시 광고 코드를 추가하도록 제작되어 있습니다.

 

그러므로 광고 동작의 중지를 위해서는 웹 브라우저의 추가 기능 관리에 등록된 "clickhighst" 항목을 선택하여 "사용 안 함"으로 변경하시기 바랍니다. 

프로그램 삭제시에는 Internet Explorer 웹 브라우저를 종료한 상태에서 제어판의 "clickhighst" 삭제 항목을 이용하여 삭제할 수 있습니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\clickhighst
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0781654C-4592-4715-946C-4F9A3683D6FE}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\

Browser Helper Objects\{0781654C-4592-4715-946C-4F9A3683D6FE}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\

clickhighst

 

해당 프로그램은 프로그램 목록에 제시되지 않는 문제로 설치 여부를 확인하기 어려우며, 출처를 알 수 없는 프로그램으로 인하여 사용자 몰래 지속적으로 프로그램 운영자에게 금전적 혜택을 줄 수 있으므로 주의하시기 바랍니다.

  • 컴터에 설치된 검색도우미 몇개는 이곳을통해서 제거를했어요.. 감사합니다.
    근데
    click.clickstory.co.kr 통해서 또 계속 싸이트가 뜨는데
    어떤 검색도우미가 설치되어있는지 모르겠어요 ㅜㅜ
    여기올라온 악성코드 찾아봐요 없구 어떡해야하나요 ㅜ
    지마켓에서 뭐 클릭만하션 창이 다 꺼지네요 ㅜㅜ
    답답해죽겠어요 ㅜㅜ 해결방법없을까요?

    • 내용을 봐서는 다른 광고 프로그램이 추가적으로 존재한 것으로 보이며, 기본적으로 이런 광고 프로그램 상당수는 법적 문제로 제어판을 통한 삭제 기능을 제공하고 있습니다.

      제어판 목록을 네이버 지식인 또는 http://cafe.naver.com/malzero 카페에 올려주시면 광고 프로그램을 찾을 수 있는 정보를 얻을 수 있습니다.

      그 외에도 삭제 기능을 숨기고 배포하는 프로그램도 있으므로 제어판에서 모두 제거한 이후에도 문제가 발생하는 경우에는 보호나라 원격 지원(전화 118번)을 받아보시기 바랍니다.

  • 카페 가입해놓고, 몇일이지났는데 강제탈퇴됐어요 ㅠ ㅠ.. 아무것도 한게 없는데ㅠ
    여기에다 이미지같은거 못올리나요 ㅠ?
    답답해요 ㅠㅠ지식인에 올려도 당연한 답만 올라올것같고 ㅠ
    아니면 제가 지식인에 올리고 님이 봐주시면 안될까요?ㅠ

  • 감사합니다~~~~.
    그럼 혹시 필요한 이미지 있으신가요?
    regedit 캡쳐해서 보여드리면 될까요?
    regedit에서 어떤폴더를 보여줘야 알 수 있으신가요??

    • 일단 무슨 문제인지 질문하시는 분이 알아서 해주시면 추가적으로 필요한 부분에 대해 요구하겠습니다.

      기본적으로 제어판의 프로그램 설치 목록은 반드시 포함해 주시기 바랍니다.

      그리고 더 자세한 정보를 주시려면 http://cafe.naver.com/malzero/90348 여기 내용대로 파일을 만들어서 주시면 도움이 될 것 같습니다.

  • 메일 보냈어요~!!!!!!!!!
    확인해주세용~~~~~~~~~~

  • 정말 감사합니다~~~~ 이제야 속이 시원하네요 ㅠㅠ
    새해 복 많이 받으세요~~!^^