인터넷 검색시 광고창 생성 및 웹 브라우저 하단에 광고바를 생성하는 검색 도우미 "Internet gold-bar Client" 프로그램에 대해 살펴보도록 하겠습니다.
해당 프로그램의 설치 파일(MD5 : 3b36634324ab4a1565e80438a59d8472)에 대하여 AhnLab V3 보안 제품에서는 PUP/Win32.GoldBar (VirusTotal : 12/42) 진단명으로 진단되고 있습니다.
▷ 검색 도우미 : Internet linelink Client (2012.4.23)
또한 해당 프로그램은 기존의 Internet linelink Client 검색 도우미 프로그램의 변형된 형태로 추정되므로 참고하시기 바랍니다.
C:\Program Files\gold-bar
C:\Program Files\gold-bar\a.lod
C:\Program Files\gold-bar\b.lod
C:\Program Files\gold-bar\category.dt
C:\Program Files\gold-bar\gb.exe
C:\Program Files\gold-bar\gold-bar.dll
C:\Program Files\gold-bar\gold-barb.dll :: BHO 등록 파일
C:\Program Files\gold-bar\gold-bare.exe :: 시작 프로그램 등록 파일
C:\Program Files\gold-bar\ies.tml
C:\Program Files\gold-bar\ls.plc
C:\Program Files\gold-bar\mplus.exe :: 시작 프로그램 등록 파일 / 메모리 상주 프로세스
C:\Program Files\gold-bar\nhopen.dll
C:\Program Files\gold-bar\uninstall.exe :: 프로그램 삭제 파일
C:\Program Files\gold-bar\gb.exe
- MD5 : 5f4ec837beed241860a2efec0d47f13e
- AhnLab V3 : PUP/Win32.GoldBar (VirusTotal : 6/42)
C:\Program Files\gold-bar\mplus.exe
- MD5 : e686aa471e4d4368c155e7cc5ce84696
- AhnLab V3 : PUP/Win32.GoldBar (VirusTotal : 12/41)
해당 프로그램은 "C:\Program Files\gold-bar" 폴더에 파일을 생성하며, Windows 시작시 gold-bare.exe, mplus.exe 2개의 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.
1. 시작 프로그램 : gold-bare.exe
gold-bare.exe 파일은 시스템 시작시 자동 실행되어 특정 서버에 접속하여 프로그램 및 추가적인 수익성 프로그램 업데이트 구성값을 체크하며, 추가적으로 "C:\Program Files\gold-bar\gb.exe" 파일을 로딩하여 사용자 Mac Address 값을 참조한 AdnClick 광고 관련 정보를 체크하도록 구성되어 있습니다.
2. 시작 프로그램 : mplus.exe
GET /app/config.php?app=92 HTTP/1.1
Host: adm.**god.co.kr
Accept: text/html, */*
Accept-Encoding: identity
User-Agent: Mozilla/3.0 (compatible; Indy Library)
mplus.exe 파일은 시스템 시작시 자동 실행되어 OpenPot 계열 토스트(Toast) 광고창 생성 구성값을 받아오는 동작을 확인할 수 있습니다.
▷ 국내 악성코드 : OpenPot - Sysmax.exe (2012.1.29)
▷ <Right Security Blog> 무료 시스템 최적화 프로그램 MyPC 에 숨어 있는 OpenPot 광고 파일 (2012.3.28)
실제 OpenPot 계열 광고 파일은 다양한 프로그램과 함께 설치되며, 일부 사례의 경우에서는 삭제 기능을 제공하지 않는 것으로 알려져 있습니다.
이렇게 설치된 Internet gold-bar Client 프로그램은 사용자가 인터넷 검색을 시도할 때마다 iexplore.exe 프로세스 하위에 gb.exe 프로세스를 생성하여 백그라운드 방식으로 다음과 같은 연결을 시도하고 자동 종료합니다.
즉, 사용자가 포털 사이트 검색을 시도할 경우 해당 검색 키워드 값을 참조하여 특정 광고 서버를 통해 AdnClick 광고 검색을 시도하며, 이런 연결로 인해 인터넷 속도 저하 등의 문제를 유발할 수 있습니다.
이를 통해 사용자가 포털 검색을 통해 특정 사이트 접속시 해당 창(왼쪽 화면)의 웹 브라우저 하단에는 "g"라는 문구가 포함된 광고바를 생성하는 동작이 이루어지며, 메모리에 상주하던 mplus.exe 프로세스를 통해 추가적인 광고창(오른쪽 화면)이 생성될 수 있습니다.
이름 : gold-bar
게시자 : TYzone
유형 : 브라우저 도우미 개체
CLSID : {052089D9-DEAA-4BCF-A5F0-FDCE7A27197E}
파일 : C:\Program Files\gold-bar\gold-barb.dll
이름 : gold-bar
게시자 : TYzone
유형 : 탐색창
CLSID : {B7433BAE-7013-43FF-9B8B-6F8E6A0F7C07}
파일 : C:\Program Files\gold-bar\gold-bar.dll
해당 프로그램은 Internet Explorer 웹 브라우저 실행시 iexplore.exe 프로세스에
gold-barb.dll, gold-bar.dll 모듈을 브라우저 도우미 개체(BHO)로 추가하여 인터넷 검색을 통해 생성된 웹 브라우저 하단에 광고바를 생성하는 동작을 합니다.
그러므로 광고 동작의 중지를 위해서는 웹 브라우저의 추가 기능 관리에 등록된 2개의 "gold-bar" 항목을 선택하여 "사용 안 함"으로 변경하시기 바랍니다.
또한 추가적으로 생성되는 광고창 문제는 메모리에 상주하는 mplus.exe 프로세스를 통해 이루어지므로 프로그램 삭제시 Windows 작업 관리자에서 해당 프로세스를 찾아 수동으로 종료하시기 바랍니다.
참고로 인터넷 검색 과정에서 생성되는 gb.exe 프로세스는 프로그램 품질 문제로 종료되지 않아 누적되는 문제가 확인되고 있으므로 만약 해당 프로세스가 존재할 경우 함께 종료하시기 바랍니다.
프로그램 삭제시에는 Internet Explorer 웹 브라우저를 종료한 상태에서 제어판의 "Internet gold-bar Client" 삭제 항목을 이용하여 삭제할 수 있으며, 프로그램 삭제 후에는 추가적으로 "C:\Program Files\gold-bar" 폴더를 수동으로 삭제하시기 바랍니다.
HKEY_CURRENT_USER\Software\gold-bar
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- gold-bar = C:\Program Files\gold-bar\gold-bare.exe
- mplus = C:\Program Files\gold-bar\mplus.exe
HKEY_CURRENT_USER\Software\mplus
HKEY_CURRENT_USER\Software\nogold-bar
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{052089D9-DEAA-4BCF-A5F0-FDCE7A27197E}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B7433BAE-7013-43FF-9B8B-6F8E6A0F7C07}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\gold-bar.one
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\gold-bar
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{052089D9-DEAA-4BCF-A5F0-FDCE7A27197E}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\gold-bar
해당 프로그램은 웹 브라우저에 생성되는 광고바가 어떤 프로그램을 통해 동작하는지 확인하기 어려우며, 프로그램 이용 중 추가적인 수익성 프로그램이 설치될 가능성이 존재하므로 주의하시기 바랍니다.