인터넷 검색시 키워드 값을 참조하여 DreamX 열린 주소창 검색(dreamx.dns3.paran.com)으로 연결을 시도하는 검색 도우미 "mplanshift 1.00" 프로그램에 대해 살펴보도록 하겠습니다.
해당 프로그램은 특정 악성 파일(MD5 : 72dd7c9bbc0978867774ef3560469d32)을 통해 사용자 동의없이 설치가 이루어지고 있으며, mplanshift 1.00 프로그램의 설치 파일(MD5 : 31ae77c65880ed881df2284a6ef6caa8)에 대하여 BitDefender 보안 제품에서는 Gen:Variant.Kazy.16848 (VirusTotal : 9/42) 진단명으로 진단되고 있습니다.
또한 해당 프로그램의 드랍퍼(Dropper) 파일(MD5 : 72dd7c9bbc0978867774ef3560469d32)에 대하여 Hauri ViRobot 보안 제품에서는 Trojan.Win32.A.Downloader.209674 (VirusTotal : 20/42) 진단명으로 진단되고 있습니다.
▷ <2011년 관련 정보> 검색 도우미 : isearchplus 1.00 (2011.12.30) 외 4종
▷ 검색 도우미 : Clicknsearch 1.00 - neopsearch (2012.2.23)
▷ 국내 악성코드 : OpenSearch 1.00 - sjadsearch (2012.2.25)
▷ 검색 도우미 : Quicknsearch 1.00 (2012.3.30)
▷ 국내 악성코드 : mplantsearch 1.00 + quicktimesh (2012.4.10)
▷ [삭제] wmplanttool 1.00 - wmplantsearch (2012.5.7)
▷ 검색 도우미 : qplansonic 1.00 (2012.5.7)
▷ 검색 도우미 : mplansonic 1.00 (2012.5.10)
▷ 검색 도우미 : msncptool 1.00 (2012.5.26)
▷ 검색 도우미 : Micro ScanPlan (2012.6.2)
해당 프로그램과 동일(유사)한 기능을 하는 다양한 이름의 프로그램이 과거부터 배포되고 있으므로 참고하시기 바랍니다.
C:\Program Files\mplanshift
C:\Program Files\mplanshift\mplanshifta.dll :: BHO 등록 파일
C:\Program Files\mplanshift\mplanshiftdl.exe
C:\Program Files\mplanshift\Uninstall.exe :: 프로그램 삭제 파일
C:\Program Files\mplanshift\Uninstall.ini
해당 프로그램은 "C:\Program Files\mplanshift" 폴더에 파일을 생성하며, 프로그램 설치 후 최초 Internet Explorer 웹 브라우저를 실행할 경우 특정 서버로부터 추가적인 다운로드 체크 및 광고 구성 정보를 받아오는 동작을 확인할 수 있습니다.
기본적인 광고 동작을 살펴보면 Internet Explorer 웹 브라우저의 주소 표시줄에 검색어를 입력할 경우, 해당 검색어를 참조한 DreamX 열린 주소창 검색(dreamx.dns3.paran.com) 결과로 연결되는 동작을 확인할 수 있습니다.
또한 포털 사이트 검색시(①) 백그라운드 방식으로 DreamX 열린 주소창 검색(dreamx.dns3.paran.com)이 연결(②)되는 동작을 확인할 수 있습니다.
해당 연결 과정을 살펴보면 그림과 같이 포털 사이트 검색시 키워드 값을 참조한 DreamX 열린 주소창 검색(dreamx.dns3.paran.com) 백그라운드 검색(②)이 이루어지는 것을 확인할 수 있습니다.
이름 : mplanshiftprg.mplanshift
게시자 : mplanshift
유형 : 브라우저 도우미 개체
CLSID : {F518811C-2A50-4843-B7CF-76F2E7057B51}
파일 : C:\Program Files\mplanshift\mplanshifta.dll
해당 프로그램은 Internet Explorer 웹 브라우저를 실행할 경우 iexplore.exe 프로세스에 mplanshifta.dll 파일을 브라우저 도우미 개체(BHO)로 등록하여 키워드 값을 참조하여 DreamX 열린 주소창 검색(dreamx.dns3.paran.com) 연결이 이루어지도록 하고 있습니다.
그러므로 광고 동작의 중지를 위해서는 웹 브라우저의 추가 기능 관리에 등록된 "mplanshiftprg.mplanshift" 항목을 선택하여 "사용 안 함"으로 변경하시기 바랍니다.
프로그램 삭제시에는 Internet Explorer 웹 브라우저를 종료한 상태에서 제어판의 "mplanshift 1.00" 삭제 항목을 이용하여 삭제할 수 있으며, 프로그램 삭제 후에는 추가적으로 다음의 폴더(파일)를 수동으로 삭제하시기 바랍니다.
- C:\Program Files\mplanshift
- C:\Program Files\mplanshift\mplanshifta.dll
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- mplanshift = C:\Program Files\mplanshift\mplanshiftdl.exe ccrcov
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F518811C-2A50-4843-B7CF-76F2E7057B51}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{B68DA680-102F-4894-952A-B2865DC51FFE}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\mplanshiftprg.mplanshift
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{DF49B8A2-24FA-4638-A5DB-C89B32D4A5B5}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
- mplanshifta = 1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{F518811C-2A50-4843-B7CF-76F2E7057B51}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\mplanshift 1.00
HKEY_LOCAL_MACHINE\SOFTWARE\mplanshift
해당 프로그램은 프로그램 목록에 제시되지 않는 문제로 설치 여부를 확인하기 어려우며, 사용자 동의 없이 악성 파일을 통해 설치가 이루어지고 있으므로 주의하시기 바랍니다.