특정 인터넷 쇼핑몰 접속시 사용자 몰래 광고 코드를 추가하는 검색 도우미 clickhighst 프로그램에 대해 살펴보도록 하겠습니다.
해당 프로그램의 설치 파일(MD5 : b48161f3933db215217aee0152e9b571)에 대하여 AhnLab V3 보안 제품에서는 PUP/Win32.TotalLink (VirusTotal : 2/42) 진단명으로 진단되고 있습니다.
▷ 국내 악성코드 : pop2click (2012.4.26)
▷ 국내 악성코드 : bpntup (2012.4.26)
또한 해당 프로그램은 유사한 기능을 가지는 다양한 프로그램이 확인되고 있으므로 참고하시기 바랍니다.
GET /****/clickhighst/clickhighst.zip HTTP/1.1
Content-Type: text/html
Host: ****.tmqrhks.com
Accept: text/html, */*
User-Agent: Mozilla/3.0 (compatible; Indy Library)
설치 파일이 실행되면 특정 서버로부터 clickhighst 프로그램 관련 파일이 포함된 clickhighst.zip 압축 파일을 다운로드하여 설치되도록 제작되어 있습니다.
C:\Program Files\clickhighst
C:\Program Files\clickhighst\clickhighst.dll :: BHO 등록 파일
C:\Program Files\clickhighst\clickhighst.zip
C:\Program Files\clickhighst\clickhighstuninst.exe :: 프로그램 삭제 파일
C:\Program Files\clickhighst\clickhighst.dll
- MD5 : c727b7733bb9057bfa2ad60ddee49a32
- AhnLab V3 : Win-PUP/Helper.Clickhighst.590336 (VirusTotal : 24/42)
해당 프로그램은 "C:\Program Files\clickhighst" 폴더에 파일을 생성하며, Internet Explorer 웹 브라우저를 통해 프로그램에서 지정한 특정 인터넷 쇼핑몰에 접속시 동작하도록 구성되어 있습니다.
프로그램 동작 방식을 살펴보면 사용자가 11번가, G마켓, 옥션, 디앤샵(d&shop) 등 프로그램에서 지정한 인터넷 쇼핑몰 접속시 사용자 몰래 광고 코드(click.clickstory.co.kr)를 추가하여 특정 조건을 만족시킬 경우 프로그램 제작자(배포자)에게 금전적 수익이 발생할 것으로 보입니다.
이름 : clickhighst
유형 : 브라우저 도우미 개체
CLSID : {0781654C-4592-4715-946C-4F9A3683D6FE}
파일 : C:\Program Files\clickhighst\clickhighst.dll
해당 프로그램은 Internet Explorer 웹 브라우저 실행시 iexplore.exe 프로세스에 clickhighst.dll 파일을 브라우저 도우미 개체(BHO)로 등록하여, 프로그램에서 지정한 인터넷 쇼핑몰 접속시 광고 코드를 추가하도록 제작되어 있습니다.
그러므로 광고 동작의 중지를 위해서는 웹 브라우저의 추가 기능 관리에 등록된 "clickhighst" 항목을 선택하여 "사용 안 함"으로 변경하시기 바랍니다.
프로그램 삭제시에는 Internet Explorer 웹 브라우저를 종료한 상태에서 제어판의 "clickhighst" 삭제 항목을 이용하여 삭제할 수 있습니다.
HKEY_CURRENT_USER\Software\clickhighst
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0781654C-4592-4715-946C-4F9A3683D6FE}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{0781654C-4592-4715-946C-4F9A3683D6FE}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
clickhighst
해당 프로그램은 프로그램 목록에 제시되지 않는 문제로 설치 여부를 확인하기 어려우며, 출처를 알 수 없는 프로그램으로 인하여 사용자 몰래 지속적으로 프로그램 운영자에게 금전적 혜택을 줄 수 있으므로 주의하시기 바랍니다.
컴터에 설치된 검색도우미 몇개는 이곳을통해서 제거를했어요.. 감사합니다.
근데
click.clickstory.co.kr 통해서 또 계속 싸이트가 뜨는데
어떤 검색도우미가 설치되어있는지 모르겠어요 ㅜㅜ
여기올라온 악성코드 찾아봐요 없구 어떡해야하나요 ㅜ
지마켓에서 뭐 클릭만하션 창이 다 꺼지네요 ㅜㅜ
답답해죽겠어요 ㅜㅜ 해결방법없을까요?
내용을 봐서는 다른 광고 프로그램이 추가적으로 존재한 것으로 보이며, 기본적으로 이런 광고 프로그램 상당수는 법적 문제로 제어판을 통한 삭제 기능을 제공하고 있습니다.
제어판 목록을 네이버 지식인 또는 http://cafe.naver.com/malzero 카페에 올려주시면 광고 프로그램을 찾을 수 있는 정보를 얻을 수 있습니다.
그 외에도 삭제 기능을 숨기고 배포하는 프로그램도 있으므로 제어판에서 모두 제거한 이후에도 문제가 발생하는 경우에는 보호나라 원격 지원(전화 118번)을 받아보시기 바랍니다.
카페 가입해놓고, 몇일이지났는데 강제탈퇴됐어요 ㅠ ㅠ.. 아무것도 한게 없는데ㅠ
여기에다 이미지같은거 못올리나요 ㅠ?
답답해요 ㅠㅠ지식인에 올려도 당연한 답만 올라올것같고 ㅠ
아니면 제가 지식인에 올리고 님이 봐주시면 안될까요?ㅠ
http://hummingbird.tistory.com/notice/911
여기에서 안내하는 이메일로 질문과 사진을 보내주시면 봐 드리겠습니다.
그리고 카페 탈퇴는 혹시 네이버 계정 해킹으로 인한 광고 행위가 있지 않았나 싶습니다. 자세히는 모르겠지만..
감사합니다~~~~.
그럼 혹시 필요한 이미지 있으신가요?
regedit 캡쳐해서 보여드리면 될까요?
regedit에서 어떤폴더를 보여줘야 알 수 있으신가요??
일단 무슨 문제인지 질문하시는 분이 알아서 해주시면 추가적으로 필요한 부분에 대해 요구하겠습니다.
기본적으로 제어판의 프로그램 설치 목록은 반드시 포함해 주시기 바랍니다.
그리고 더 자세한 정보를 주시려면 http://cafe.naver.com/malzero/90348 여기 내용대로 파일을 만들어서 주시면 도움이 될 것 같습니다.
메일 보냈어요~!!!!!!!!!
확인해주세용~~~~~~~~~~
확인해서 이메일로 답변 드리겠습니다. 감사합니다.^^
답변 전송을 했으니 확인하시기 바랍니다.
정말 감사합니다~~~~ 이제야 속이 시원하네요 ㅠㅠ
새해 복 많이 받으세요~~!^^
새해 복 많이 받으세요.^^