인터넷 검색시 키워드 값을 참조하여 DreamX 열린 주소창 검색(dreamx.dns3.paran.com)을 시도하는 검색 도우미 PowerPlan 프로그램에 대해 살펴보도록 하겠습니다.
해당 프로그램의 설치 파일(MD5 : bc0337e6571ceda02e4af4aa7653802e)에 대하여 Hauri ViRobot 보안 제품에서는 Dropper.Agent.913408 (VirusTotal : 16/41) 진단명으로 진단되고 있습니다.
▷ <2011년 관련 정보> 검색 도우미 : isearchplus 1.00 (2011.12.30) 외 4종
▷ 검색 도우미 : Clicknsearch 1.00 - neopsearch (2012.2.23)
▷ 국내 악성코드 : OpenSearch 1.00 - sjadsearch (2012.2.25)
▷ 검색 도우미 : Quicknsearch 1.00 (2012.3.30)
▷ 국내 악성코드 : mplantsearch 1.00 + quicktimesh (2012.4.10)
▷ [삭제] wmplanttool 1.00 - wmplantsearch (2012.5.7)
▷ 검색 도우미 : qplansonic 1.00 (2012.5.7)
▷ 검색 도우미 : mplansonic 1.00 (2012.5.10)
▷ 검색 도우미 : msncptool 1.00 (2012.5.26)
▷ 검색 도우미 : Micro ScanPlan (2012.6.2)
해당 프로그램과 유사한 기능을 하는 다양한 이름의 검색 도우미 프로그램이 확인되고 있으므로 참고하시기 바랍니다.
C:\Program Files\powerplan
C:\Program Files\powerplan\powerplan.dll :: BHO 등록 파일
C:\Program Files\powerplan\powerplandl.exe
C:\Program Files\powerplan\Uninstall.exe :: 프로그램 삭제 파일
C:\Program Files\powerplan\Uninstall.ini
C:\WINDOWS\system32\powerplaninst.exe :: 자가 삭제(Internet Explorer 웹 브라우저 실행시)
해당 프로그램이 설치 완료된 후 최초 Internet Explorer 웹 브라우저 실행시 특정 서버로부터 사용자 Mac Address 값을 이용한 카운터(Counter) 체크, 추가적인 다운로드 체크, 광고 구성 정보를 받아오는 동작을 확인할 수 있습니다.
프로그램은 Internet Explorer 웹 브라우저의 주소 표시줄에 검색어를 입력할 경우, 해당 검색 키워드 값을 참조하여 DreamX 열린 주소창 검색(dreamx.dns3.paran.com) 결과로 연결이 이루어지는 동작을 확인할 수 있습니다.
또한 포털 사이트를 통한 인터넷 검색(①)시 해당 키워드 값을 참조한 백그라운드 검색(②) 동작을 확인할 수 있습니다.
실제 연결되는 정보를 확인해보면 포털 사이트에서 검색을 시도할 경우 DreamX 열린 주소창 검색(dreamx.dns3.paran.com)이 백그라운드 방식으로 함께 이루어지는 동작을 확인할 수 있으며, 이런 동작으로 인해 사용자는 불필요한 트래픽 유발이 발생될 수 있습니다.
이름 : powerplanprg.powerplan
게시자 : powerplan
유형 : 브라우저 도우미 개체
CLSID : {C961F5FA-F3DF-488A-90BC-DBB7A64A4E77}
파일 : C:\Program Files\powerplan\powerplan.dll
해당 프로그램은 Internet Explorer 웹 브라우저를 실행할 경우 iexplore.exe 프로세스에 powerplan.dll 파일을 브라우저 도우미 개체(BHO)로 등록하여 키워드 값을 참조하여 DreamX 열린 주소창 검색(dreamx.dns3.paran.com) 결과로 연결하는 동작을 합니다.
그러므로 광고 동작의 중지를 위해서는 웹 브라우저의 추가 기능 관리에 등록된 "powerplanprg.powerplan" 항목을 선택하여 "사용 안 함"으로 변경하시기 바랍니다.
프로그램 삭제시에는 Internet Explorer 웹 브라우저를 종료한 상태에서 제어판의 "PowerPlan" 삭제 항목을 이용하여 삭제할 수 있으며, 프로그램 삭제 후에는 추가적으로 다음의 폴더(파일)를 수동으로 삭제하시기 바랍니다.
- C:\Program Files\powerplan
- C:\Program Files\powerplan\powerplan.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{C961F5FA-F3DF-488A-90BC-DBB7A64A4E77}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{7B481F13-FCE1-45D9-BEF6-6A1CB924F2A5}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\powerplanprg.powerplan
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{E1A07105-620F-4E3C-B3A2-692238B0724B}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C961F5FA-F3DF-488A-90BC-DBB7A64A4E77}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\PowerPlan
HKEY_LOCAL_MACHINE\SOFTWARE\powerplan
해당 프로그램은 기본적으로 사용자 PC에 vb6ko.dll 구성 요소가 등록되어 있어야지 정상적인 동작을 하며, 그렇지 못한 환경에서는 프로그램 설치 후 광고 동작은 이루어지지 않는 반면 다음과 같은 오류가 발생하는 문제를 확인할 수 있습니다.
사용자가 Internet Explorer 웹 브라우저의 새 탭 열기 방식으로 3번째 탭을 띄울 경우 탭이 열리지 않는 문제가 발생합니다.
이로 인하여 결국에는 Internet Explorer 오류창이 발생하여 정상적인 PC 사용에 방해가 되고 있습니다.
또한 제어판을 이용한 프로그램 삭제시 Project1 안내창 생성을 통해 vb6ko.dll 파일을 발견할 수 없다는 메시지가 생성됩니다. 단, 프로그램 삭제는 정상적으로 진행됩니다.
그러므로 이런 검색 도우미 프로그램으로 인하여 정상적인 웹 브라우저 사용에 문제가 발생할 수 있으므로 신뢰할 수 없는 소프트웨어는 설치되지 않도록 각별히 주의하시기 바랍니다.