본문 바로가기

벌새::Analysis

야간을 이용한 EasySearch.cab ActiveX 배포 주의 (2012.9.9)

최근 국내에서 제공되는 특정 무료 웹 카운터(Counter) 서비스를 이용할 경우 웹 사이트 관리자가 제대로 인지하지 못하는 방식으로 "EasySearch.cab" ActiveX 설치창을 생성하여 수익성 프로그램을 사용자 동의없이 설치하는 사례를 확인하였습니다.

 

특히 해당 ActiveX 설치창은 주간(낮)에는 생성되지 않으며, 야간(밤)에만 반복적으로 추가하여 은밀하게 뿌리는 수법을 이용하고 있으며, 이를 통해 설치된 광고 프로그램을 사용자가 삭제하여도 반복적으로 재설치가 이루어지는 문제가 있습니다. 

실제 문제의 웹 카운터(Counter) 서비스를 이용하는 특정 웹 사이트에 접속을 한 경우 야간 시간에는 붉은색 사각형 영역의 "EasySearch.cab" ActiveX 설치창이 생성되는 것을 확인할 수 있습니다.(※ 주간(낮) 시간대에는 해당 웹 사이트에 접속하여도 ActiveX 설치창이 생성되지 않습니다.)

생성된 ActiveX의 게시자를 확인해보면 마치 알툴즈(ALTools)를 제공하는 이스트소프트(ESTsoft)사와 유사한 이름을 가진 "EASTSoft" 게시자를 통해 사용자에게 신뢰감을 주는 것으로 판단됩니다.

  • h**p://www.***counter.com/activex/eastsoft.html
  • h**p://***korea.co.kr/down.html
  • h**p://***korea.co.kr/EasySearch.cab

이를 통해 사용자가 ActiveX 설치창에 동의를 한 경우 추가적인 설치 정보없이 다음과 같은 수익성 프로그램 설치 파일 2종을 자동으로 다운로드 및 실행합니다. 

다운로드된 2종의 수익성 프로그램은 "C:\Program Files\MyStarter\Down" 폴더에 설치 파일을 생성한 후 자동으로 프로그램 설치를 진행하며, 사용자는 어떤 프로그램들이 설치되었는지 전혀 인지하기 어렵습니다.

 

1. 국내 악성코드 : 바로서치(BaroSearch) + BSearch (2012.9.8)

  • h**p://***korea.co.kr/down/barosearchinstall.exe (MD5 : 96468c4b64bc3fa0e1558f7cccc156ed) - AhnLab V3 : Win-PUP/Helper.BaroSearch.687760 (VirusTotal : 15/42)

해당 프로그램은 "C:\Program Files\BaroSearch" 폴더에 BaroSearch, BSearch 인터넷 쇼핑몰 바로가기 아이콘을 생성하는 프로그램입니다.

 

특히 제어판을 통한 프로그램 삭제 이후에도 인터넷 쇼핑몰 바로가기 아이콘은 삭제되지 않고 지속적으로 수익을 창출하는 문제가 발생하고 있으므로 추가적인 수동 삭제가 요구됩니다.

 

2. 검색 도우미 : 허브게이트(HubGate) (2012.6.6)

  • h**p://***korea.co.kr/down/InstallHubGate_diycounter.exe (MD5 : 9d8607cd3956442d48e532acf271fa28)

해당 프로그램은 "C:\Documents and Settings\(사용자 계정)\Application Data\HubGate" 폴더에 파일을 생성하며, 인터넷 검색 과정에서 광고창을 생성합니다.

 

3. 검색 도우미 : UtilZone (2012.3.20)

  • h**p://***korea.co.kr/down/UtilZone__SINGLEPRIME.exe (MD5 : af30f5cda96a331ba5ad577a7e9cd490) - nProtect : Adware/W32.KrAdword.75520 (VirusTotal : 10/42)

해당 프로그램은 ActiveX 설치로 인한 업데이트 서버에는 등록되어 있지만 실제 다운로드로 연결되지 않는 검색 도우미 프로그램이므로 참고하시기 바랍니다. 

이렇게 몰래 설치된 프로그램은 제어판에 등록된 "BaroSearch", "BSearch", "HUBGATE Uninstall" 삭제 항목을 이용하여 삭제할 수 있으며, 자세한 내용은 각 프로그램 소개 링크(URL)를 참고하시기 바랍니다.

 

이렇게 설치되는 다양한 수익성 프로그램은 사용자가 설치 여부 및 어떻게 설치가 이루어졌는지 알기 어려우며, 제어판을 통해 삭제를 진행한 이후에도 EasySearch.cab ActiveX 설치창을 생성하는 웹 사이트에 접속할 경우 자동으로 재설치가 이루어지는 문제가 발생합니다.

 

그러므로 EasySearch.cab ActiveX 컨트롤가 설치된 사용자들은 다음의 정보를 참고하여 생성 폴더(파일), 레지스트리 값을 삭제하여 원치않는 수익성 프로그램이 사용자 몰래 설치되지 않도록 하시기 바랍니다. 

우선 사용자 PC에 "EasySearch.cab" ActiveX 컨트롤가 설치되어 있는지 확인하는 방법은 Internet Explorer 웹 브라우저의 "추가 기능 관리 → 다운로드 받은 컨트롤" 항목을 선택하여 "MyStarter Control" 항목이 존재한 경우 설치된 것으로 볼 수 있습니다.

 

참고로 해당 ActiveX 컨트롤의 기능을 중지하기 위해서는 "MyStarter Control" 항목을 선택하여 "사용 안 함"으로 변경하시면 됩니다. 

이름 : MyStarter Control

유형 : ActiveX 컨트롤

CLSID : {4EEF7359-DD92-4A46-9CD5-FBB362F7C43A}

파일 : C:\WINDOWS\Downloaded Program Files\EasySearch.ocx

 

해당 "MyStarter Control" 항목을 자세하게 살펴보면 사용자가 "***korea.co.kr" 주소가 포함된 웹 사이트에 접속할 경우, 자동으로 동작하여 수익성 프로그램을 자동으로 다운로드 및 설치를 진행하도록 구성되어 있습니다.

 

[생성 폴더 / 파일 등록 정보 : "MyStarter Control" ActiveX 컨트롤]

 

C:\Program Files\MyStarter
C:\Program Files\MyStarter\Down
C:\Program Files\MyStarter\Down\barosearchinstall.exe
C:\Program Files\MyStarter\Down\barosearchinstall.txt
C:\Program Files\MyStarter\Down\InstallHubGate_diycounter.exe
C:\Program Files\MyStarter\Down\InstallHubGate_diycounter.txt
C:\Program Files\MyStarter\Down\version.txt
C:\WINDOWS\Downloaded Program Files\EasySearch.inf
C:\WINDOWS\Downloaded Program Files\EasySearch.ocx

 

[생성 레지스트리 등록 정보]

 

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{46C6F229-43AE-4B42-A60B-8A9353CF5D0A}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{4EEF7359-DD92-4A46-9CD5-FBB362F7C43A}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{24CB0666-F1B6-408C-BE5E-FA95A0158599}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{516BD499-9182-46BF-9625-4E6125FDA45B}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\MYSTARTER.MyStarterCtrl.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{0ADAECAA-87A5-415C-BC9D-7E4B8A10E516}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{4EEF7359-DD92-4A46-9CD5-FBB362F7C43A}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage
\C:/WINDOWS/Downloaded Program Files/EasySearch.ocx
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls
 - C:\WINDOWS\Downloaded Program Files\EasySearch.ocx = 1

 

그러므로 단순히 몰래 설치된 광고 프로그램 삭제만 해서는 반복적으로 재설치될 수 있는 문제가 있으므로 "MyStarter Control" ActiveX 컨트롤 정보를 참고하여 추가적으로 수동 삭제를 하시기 바랍니다.

 

또한 인터넷을 이용하는 과정에서 기능을 알 수 없는 ActiveX를 설치하는 일이 없도록 하시기 바라며, 웹 사이트를 관리하는 입장에서도 운영자가 인지하기 힘든 시간대를 이용하여 몰래 ActiveX 설치창이 추가되는 사례가 있으므로 주의하시기 바랍니다.