본문 바로가기

벌새::Analysis

검색 도우미 : 탑마이사이드바(Top MySidebar)

반응형

인터넷 검색시 웹 브라우저 좌측에 "탑마이사이드바" 스폰서 링크 광고를 노출하는 검색 도우미 "탑마이사이드바(Top MySidebar)" 프로그램에 대해 살펴보도록 하겠습니다.

  • h**p://jalanfed.info/***/XbBaHa/isetx4x530.exe (MD5 : 4f47898cadb3106b0714dd4b155f2c9e) - AhnLab V3 : Downloader/Win32.Adload (VirusTotal : 32/42)

해당 검색 도우미 프로그램은 드랍퍼(Dropper) 파일을 통해 설치가 이루어졌던 것으로 확인되고 있습니다.

  • h**p://jalanfed.info/***/setup_f1.exe (MD5 : f0fed98520d66038df880597b3a08fcf) - AhnLab V3 : Downloader/Win32.Adload (VirusTotal : 29/42)

이를 통해 다운로드된 설치 파일을 통해 탑마이사이드바(Top MySidebar) 프로그램이 설치되도록 구성되어 있습니다.

 

  특정 타켓을 목표로하는 MatchPop 검색 도우미? (2012.8.23)

 

참고로 해당 도메인과 파일로 추정해보면 최근 발견되고 있는 특정 환경에서만 설치가 이루어지는 검색 도우미 추정 프로그램들과 연관성이 있는 것으로 보이므로 참고하시기 바랍니다.

 

  검색 도우미 : 줌마이사이드바(ZUM MySidebar) (2012.1.17)

 

  검색 도우미 : K 마이사이드바(K MySidebar) (2012.8.19)

 

또한 해당 프로그램은 기존의 마이사이드바(MySidebar) 검색 도우미 시리즈의 변형된 프로그램이므로 참고하시기 바랍니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Documents and Settings\(사용자 계정)\Application Data\MSBV4
C:\Documents and Settings\(사용자 계정)\Application Data\MSBV4\ms3.dat
C:\Program Files\top mysidebar
C:\Program Files\top mysidebar\topmsb.dll :: BHO 등록 파일
C:\Program Files\top mysidebar\topmsbSvc.exe :: TOPMSB Service Support 서비스 등록 파일
C:\Program Files\top mysidebar\topmsbv.dll
C:\Program Files\top mysidebar\uninst.exe :: 프로그램 삭제 파일

 

[생성 파일 진단 정보]

 

C:\Program Files\top mysidebar\topmsb.dll
 - MD5 : 1163e71b4056e7660e916cce3610da59
 - AhnLab V3 : Win-PUP/Helper.MySidebar.2091632 (VirusTotal : 3/42)

 

C:\Program Files\top mysidebar\topmsbSvc.exe
 - MD5 : 73f5342da05cd544701b656dd58bd0c1
 - AhnLab V3 : Win-PUP/Helper.MySidebar.2317424 (VirusTotal : 7/42)

 

C:\Program Files\top mysidebar\topmsbv.dll
 - MD5 : a647753dfb0e4dbeaa0fef7e358d363d
 - AhnLab V3 : Win-PUP/Helper.MySidebar.2368104 (VirusTotal : 4/42)

 

C:\Program Files\top mysidebar\uninst.exe
 - MD5 : 1438e5b81e7a76b335c67c539e033f4b
 - AhnLab V3 : Win-PUP/Helper.MySidebar.2193520 (VirusTotal : 1/42)

해당 프로그램은 "wTOPMSBSvc(TOPMSB Service Support)" 서비스 항목을 등록하여 시스템 시작시 "C:\Program Files\top mysidebar\topmsbSvc.exe" 파일을 자동으로 실행하여 업데이트 체크를 하도록 구성되어 있습니다. 

프로그램이 설치된 환경에서 인터넷 검색을 통해 접속한 웹 사이트의 좌측 영역에 "탑마이사이드바" 스폰서 링크 광고를 노출하는 동작을 확인할 수 있습니다. 

[추가 기능 관리 : 도구 모음 및 확장 프로그램]

 

이름 : 탑마이사이드바 BHO

게시자 : WinSoft

유형 : 브라우저 도우미 개체

CLSID : {02166878-B25C-42DD-B2B3-4C4B096DAC81}

파일 : C:\Program Files\top mysidebar\topmsb.dll

 

이름 : 탑마이사이드바

게시자 : WinSoft

유형 : 탐색창

CLSID : {D67365E5-5E30-4127-A590-BCA947E09C5B}

파일 : C:\Program Files\top mysidebar\topmsbv.dll

 

해당 프로그램은 Internet Explorer 웹 브라우저를 실행시 iexplore.exe 프로세스에 topmsb.dll, topmsbv.dll 2개의 모듈을 브라우저 도우미 개체(BHO) 및 탐색창으로 추가하여 키워드 감시를 통한 사이드바를 생성하도록 제작되어 있습니다.

 

그러므로 광고 동작의 중지를 위해서는 웹 브라우저의 추가 기능 관리에 등록된 "탑마이사이드바 BHO", "탑마이사이드바" 2개의 항목을 선택하여 "사용 안 함"으로 변경하시기 바랍니다. 

프로그램 삭제시에는 Internet Explorer 웹 브라우저를 종료한 상태에서 제어판의 "탑마이사이드바 제거" 삭제 항목을 이용하여 삭제할 수 있으며, 프로그램 삭제 후에는 추가적으로 다음의 폴더를 수동으로 삭제하시기 바랍니다.

  • C:\Documents and Settings\(사용자 계정)\Application Data\MSBV4
  • C:\Program Files\top mysidebar
[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\topmysidebarSet
HKEY_CURRENT_USER\Software\WinSoft
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{02166878-B25C-42DD-B2B3-4C4B096DAC81}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D67365E5-5E30-4127-A590-BCA947E09C5B}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\top mysidebar
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{02166878-B25C-42DD-B2B3-4C4B096DAC81}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\top mysidebar
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WTOPMSBSVC
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wTOPMSBSvc

 

해당 프로그램은 프로그램 목록에 제시되지 않는 문제로 설치 여부를 확인하기 어려우며, 인터넷 이용 과정에서 원치 않는 사이드바 광고로 인하여 속도 저하 등의 문제가 발생할 수 있으므로 주의하시기 바랍니다.

728x90
반응형