울지않는벌새 : Security, Movie & Society

자신을 삭제하는 1회용 광고 프로그램 "Windows SideGo"

벌새::Analysis

국내에서 제작되어 인터넷 검색시 특정 광고 서버로 검색 쿼리를 전송하는 것으로 보이는 검색 도우미 "Windows SideGo" 프로그램에 대해 살펴보도록 하겠습니다.

 

특히 해당 프로그램은 최초 설치 후 1회용 광고 기능을 수행한 후 재부팅 과정에서 업데이트 기능을 통해 자신을 삭제 처리하는 특이한 동작이 확인되고 있습니다.

 

참고로 해당 프로그램의 설치 파일(MD5 : d203532112297c9b018cf14c169721da)에 대하여 Hauri ViRobot 보안 제품에서는 Adware.Agent.1241794 (VirusTotal : 20/42) 진단명으로 진단되고 있습니다.

 

  검색 도우미 : Windows nuriweb (2011.12.17)

 

  검색 도우미 : Windows infoaux (2012.3.10)

 

  검색 도우미 : Windows Sidematch System (2012.3.13)

 

  국내 악성코드 : Adware.Salumonia.816277 (Hauri ViRobot) (2012.4.4)

 

  검색 도우미 : Windows best5info (2012.4.12)

 

  검색 도우미 : Window naverdown (2012.5.12)

 

  [삭제] MicrosoftToppoint (2012.5.22)

 

해당 프로그램과 동일한 keimc 디지털 서명을 사용하는 다수의 광고 프로그램이 존재하였으므로 참고하시기 바랍니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Program Files\sidego
C:\Program Files\sidego\FreeApp.exe
C:\Program Files\sidego\sidego.dat
C:\Program Files\sidego\sidego.exe :: 시작 프로그램 등록 파일
C:\Program Files\sidego\sidego_v2.dll :: BHO 등록 파일
C:\Program Files\sidego\unins000.dat
C:\Program Files\sidego\unins000.exe :: 프로그램 삭제 파일

 

[생성 파일 진단 정보]

 

C:\Program Files\sidego\FreeApp.exe
 - MD5 : f54c3f50a24e77bad2e096f34671f86e
 - Hauri ViRobot : Adware.Agent.48056 (VirusTotal : 2/42)

 

C:\Program Files\sidego\sidego.exe
 - MD5 : 36294c80a38a157d19a9c639491bd563
 - Hauri ViRobot : Adware.Agent.475064 (VirusTotal : 4/42)

 

C:\Program Files\sidego\unins000.exe
 - MD5 : bb8dd0fcfae5ff8c9f2912e50cc06c70
 - AhnLab V3 : Win-PUP/Helper.YesPopup.681844 (VirusTotal : 1/40)

 

해당 프로그램은 "C:\Program Files\sidego" 폴더에 파일을 생성하며, Windows 시작시 sidego.exe 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다. 

흥미로운 점은 시작 프로그램(Run)에 등록되어 자동 실행된 sidego.exe 파일은 업데이트 기능을 수행하며 이 과정에서 "Windows SideGo" 프로그램을 자체 삭제 처리를 해버리는 동작을 확인할 수 있습니다. 

즉, Windows SideGo 프로그램은 최초 설치 완료 후 재부팅 이전 시점까지만 광고 기능을 수행한 후 재부팅시 자동으로 삭제 처리되며 삭제시에는 삭제 카운터(Counter)를 기록하고 있습니다. 

참고로 시작 프로그램으로 등록된 sidego.exe 파일 속성값을 확인해보면 "TrueUpdate Client" 및 keimc 디지털 서명을 포함하고 있습니다. 

현재 확인된 광고 기능 주의 하나는 프로그램 설치 이후 최초 Internet Explorer 웹 브라우저 실행시 특정 광고 서버로부터 전송받은 키워드 값을 링크프라이스(sidematch.app.linkprice.com) 서버에 쿼리를 전송하는 동작을 확인할 수 있습니다. 

[추가 기능 관리 : 도구 모음 및 확장 프로그램]

 

이름 : SideGo Class

게시자 : keimc

유형 : 브라우저 도우미 개체

CLSID : {96FD8169-BE83-4236-A920-814970A370C5}

파일 : C:\Program Files\sidego\sidego_v2.dll

 

해당 프로그램은 Internet Explorer 웹 브라우저 실행시 iexplore.exe 프로세스에 sidego_v2.dll 파일을 브라우저 도우미 개체(BHO)로 등록하여 검색 쿼리 전송 등의 광고 기능을 수행합니다.

 

그러므로 광고 동작의 중지를 위해서는 웹 브라우저의 추가 기능 관리에 등록된 "SideGo Class" 항목을 선택하여 "사용 안 함"으로 변경하시기 바랍니다. 

프로그램 삭제시에는 Internet Explorer 웹 브라우저를 종료한 상태에서 제어판의 "Windows SideGo" 삭제 항목을 이용하여 삭제할 수 있습니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - sidego = c:\program files\sidego\sidego.exe
HKEY_CURRENT_USER\Software\sidego
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{96FD8169-BE83-4236-A920-814970A370C5}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{A1387366-012D-44BD-8604-EDDA1AAD3FEA}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\sidego.sidego
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{A13A1318-C358-47E0-8E53-39FC647E85B8}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{96FD8169-BE83-4236-A920-814970A370C5}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
sidego_is1

 

해당 프로그램이 스스로 삭제되는 동작과 관련하여 sidego_v2.dll 파일을 통해 추정해보면 다른 유사한 광고 프로그램의 경우 지속적인 업데이트를 통해 sidego_v(숫자).dll 방식으로 광고 기능을 업데이트합니다.

 

하지만 프로그램에서 수행하는 광고 기능 종료 또는 다른 어떤 이유(백신 프로그램의 진단, 프로그램 버그(Bug) 등)로 인해 스스로 삭제 처리하는 것이 아닌가 생각됩니다.