울지않는벌새 : Security, Movie & Society

검색 도우미 : DualCore

벌새::Analysis

인터넷 검색시 추가적인 광고창을 생성하는 검색 도우미 DualCore 프로그램에 대해 살펴보도록 하겠습니다.

 

  검색 도우미 : Dual Matching (2011.12.17)

 

  검색 도우미 : DualMatching (2012.3.15)

 

해당 프로그램은 기존의 Dual Matching 검색 도우미 프로그램의 변형된 버전으로 추정되므로 참고하시기 바랍니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Documents and Settings\(사용자 계정)\Application Data\dual :: 숨김(H) 속성 폴더
C:\Documents and Settings\(사용자 계정)\Application Data\dual\dual.exe :: 시작 프로그램 등록 파일 / 메모리 상주 프로세스
C:\Documents and Settings\(사용자 계정)\Application Data\dual\madsp.dat
C:\Documents and Settings\(사용자 계정)\Application Data\dual\mas.dat
C:\Documents and Settings\(사용자 계정)\Application Data\dual\mpal.dat
C:\Documents and Settings\(사용자 계정)\Application Data\dual\mps.dat

 

해당 프로그램은 사용자가 확인하기 어려운 숨김(H) 속성값을 가진 폴더 내의 "C:\Documents and Settings\(사용자 계정)\Application Data\dual" 폴더에 파일을 생성하며, Windows 시작시 dual.exe 파일을 시작 프로그램으로 등록하여 업데이트 체크를 통해 자동 실행되도록 구성되어 있습니다.

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
 - TabProcGrowth = 0
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\TabbedBrowsing
 - NewTabPageShow = 2
 - PopupsUseNewWindow = 1
 - ShortcutBehavior = 0

생성된 프로그램은 Internet Explorer 웹 브라우저의 탭(Tab) 설정값을 변경하여, 인터넷 이용 중 새 창 열기 방식으로 광고창을 생성할 것으로 추정됩니다. (※ 테스트 시점에서는 브라우저 도우미 개체(BHO) 기능을 하는 dual.dll 파일 누락 또는 조건을 찾을 수 없는 관계로 정상적인 광고 동작은 확인되지 않고 있습니다.) 

프로그램의 삭제를 위해서는 메모리에 상주하는 dual.exe 프로세스를 Windows 작업 관리자를 실행하여 수동으로 종료하시기 바랍니다. 

프로그램 삭제는 제어판의 "DualCore" 삭제 항목을 이용하여 삭제할 수 있습니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\DualCore
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - DualCore = C:\Documents and Settings\(사용자 계정)\Application Data\dual\dual.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\DualCore

 

해당 프로그램은 프로그램 목록에 제시되지 않는 문제로 설치 여부를 확인하기 어려우며, 제어판에 등록된 프로그램 이름으로도 어떤 기능을 하는 프로그램인지 일반인이 확인하기 어려우므로 주의하시기 바랍니다.