울지않는벌새 : Security, Movie & Society

제휴(스폰서) 프로그램 : 네임클린(NameClean) - Anti namecheck filter ActCtrl

벌새::Analysis

인터넷 검색 과정에서 명의 도용 방지 서비스 회원 가입을 유도하는 광고 사이트가 노출될 것으로 추정되는 "네임클린(NameClean) - Anti namecheck filter ActCtrl" 프로그램에 대해 살펴보도록 하겠습니다.

 

해당 프로그램의 설치 파일(MD5 : e5b11913a003ca9a263e880acdf2af34)에 대하여 Hauri ViRobot 보안 제품에서는 Adware.NameClean.715720 (VirusTotal : 4/42) 진단명으로 진단되고 있습니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Program Files\NameClean
C:\Program Files\NameClean\nc.dat
C:\Program Files\NameClean\PrivChk.dll :: BHO 등록 파일
C:\Program Files\NameClean\PrivChkSvc.exe :: NameClean Service Manager 서비스 등록 파일
C:\Program Files\NameClean\PrivChkUninst.exe :: 프로그램 삭제 파일
C:\Program Files\NameClean\PrivChkUpdate.exe :: 시작 프로그램 등록 파일

해당 프로그램은 "C:\Program Files\NameClean" 폴더에 파일을 생성하며, 서비스에 등록된 "서비스 이름 : NameCleanSvc, 표시 이름 : NameClean Service Manager" 항목을 통해 시스템 시작시 "C:\Program Files\NameClean\PrivChkSvc.exe" 파일이 자동 실행되도록 구성되어 있습니다. 

또한 PrivChkUpdate.exe 파일을 시작 프로그램으로 등록하여 자동 실행되어 특정 업데이트 서버에 등록된 추가적인 다운로드가 존재할 경우, 업데이트 창 생성 등의 동작을 통해 설치를 유도할 가능성이 있는 것으로 추정됩니다. 

프로그램이 설치된 환경에서 사용자가 Internet Explorer 웹 브라우저를 실행할 경우 특정 웹 사이트 제외 목록이 포함된 nc.dat 파일을 체크하는 동작을 확인할 수 있습니다. 

[추가 기능 관리 : 도구 모음 및 확장 프로그램]

 

이름 : PrivChkCtrl Class

게시자 : Qzoneinteractive

유형 : 브라우저 도우미 개체

CLSID : {8F41D63C-5D92-40FF-A203-4ACC9158E9A4}

파일 : C:\Program Files\NameClean\PrivChk.dll

 

해당 프로그램은 Internet Explorer 웹 브라우저 동작시 iexplore.exe 프로세스에 PrivChk.dll 파일을 브라우저 도우미 개체(BHO)로 추가하여 nc.dat 파일에 등록된 웹 사이트 이외에서 인터넷 이용하는 과정에서 다음과 같은 광고 페이지가 노출될 것으로 추정됩니다. 

이를 통해 회원 가입을 유도하는 과정에서 특정 파트너 아이디를 통해 수익을 창출하는 구조로 보입니다.

 

그러므로 광고 동작의 중지를 위해서는 웹 브라우저의 추가 기능 관리에 등록된 "PrivChkCtrl Class" 항목을 선택하여 "사용 안 함"으로 변경하시기 바랍니다. 

프로그램 삭제시에는 Internet Explorer 웹 브라우저를 종료한 상태에서 제어판의 "Anti namecheck filter ActCtrl" 삭제 항목을 이용하여 삭제할 수 있습니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\NameClean
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\{007982B2-8A2E-4476-B829-0989CB0CDB0C}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\PrivChk.DLL
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8F41D63C-5D92-40FF-A203-4ACC9158E9A4}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{0E3EFCE2-4257-42F2-841B-DE92337860F5}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PrivChk.PrivChkCtrl
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PrivChk.PrivChkCtrl.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{E381E35E-DC0F-4302-B405-1A8C95BA4AE8}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{8F41D63C-5D92-40FF-A203-4ACC9158E9A4}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - NameClean = C:\Program Files\NameClean\PrivChkUpdate.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
NameClean
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_
NAMECLEANSVC
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NameCleanSvc

 

프로그램 삭제 이후에는 프로그램이 등록한 BHO, 서비스 레지스트리 값 등이 제대로 제거되지 않는 것으로 확인되고 있으므로 추가적으로 레지스트리 편집기(regedit)를 통해 사용자가 수동으로 삭제를 할 필요가 있습니다.

 

해당 프로그램은 프로그램 목록에 제시되지 않는 문제로 설치 여부를 확인하기 어려우며, 프로그램 폴더명과 제어판에 등록된 삭제 목록 이름이 달라 삭제에 불편함이 예상되므로 주의하시기 바랍니다.