본문 바로가기

벌새::Analysis

국내 악성코드 : Shoptopbar 1.00 + Cleversearchoc 1.00

인터넷 쇼핑몰 바로가기 아이콘 생성 및 인터넷 검색시 KT 열린 주소창 검색(dns3.ktguide.com) 결과창을 생성 등 다양한 광고 기능을 가진 검색 도우미 "Shoptopbar 1.00 + Cleversearchoc 1.00" 프로그램에 대해 살펴보도록 하겠습니다.

 

해당 프로그램의 설치 파일(MD5 : 7423e04c05ca10e0081b6e6d74cd1c7f)에 대하여 nProtect 보안 제품에서는 Trojan/W32.Agent.1036288.DG (VirusTotal : 27/42) 진단명으로 진단되고 있습니다.

 

  <2011년 관련 정보> 검색 도우미 : isearchplus 1.00 (2011.12.30) 외 4종

 

  검색 도우미 : Clicknsearch 1.00 - neopsearch (2012.2.23)

 

  국내 악성코드 : OpenSearch 1.00 - sjadsearch (2012.2.25)

 

  검색 도우미 : Quicknsearch 1.00 (2012.3.30)

 

  국내 악성코드 : mplantsearch 1.00 + quicktimesh (2012.4.10)

 

  [삭제] wmplanttool 1.00 - wmplantsearch (2012.5.7)

 

  검색 도우미 : qplansonic 1.00 (2012.5.7)

 

  검색 도우미 : mplansonic 1.00 (2012.5.10)

 

  검색 도우미 : msncptool 1.00 (2012.5.26)

 

  검색 도우미 : Micro ScanPlan (2012.6.2)

 

  검색 도우미 : PowerPlan (2012.6.7)

 

  검색 도우미 : WebPro Extension 1.00 (2012.6.8)

 

  검색 도우미 : splansonid (2012.6.24)

 

  검색 도우미 : Visio Media 1.00 (2012.7.18)

 

해당 프로그램은 기존에 다양한 이름으로 "DreamX(dreamx.dns3.paran.com) 열린 주소창 검색" 및 추가적인 다운로드 기능을 하는 검색 도우미 프로그램을 유포하고 있었으므로 참고하시기 바랍니다.

 

[생성 폴더 / 파일 등록 정보 : Shoptopbar 1.00 프로그램]

 

C:\Documents and Settings\(사용자 계정)\Favorites\G마켓 - 새로운 세상을 여는 문, G마켓.lnk
C:\Documents and Settings\(사용자 계정)\Favorites\당신이 찾는 모든 스타일, 옥션.lnk
C:\Documents and Settings\(사용자 계정)\Favorites\쇼핑 스트리트, 11번가.lnk
C:\Program Files\shoptopbar :: Shoptopbar 1.00 프로그램 설치 폴더
C:\Program Files\shoptopbar\cwinsearchbk.dll :: BHO(cwinsearchbkprg.cwinsearch) 등록 파일
C:\Program Files\shoptopbar\cwinsearchbkdl.exe
C:\Program Files\shoptopbar\shoptopbar.dll :: BHO(shoptopbargp.shoptopbar) 등록 파일
C:\Program Files\shoptopbar\shoptopbar.exe :: 메모리 상주 프로세스
C:\Program Files\shoptopbar\Uninstall.exe :: 프로그램 삭제 파일
C:\Program Files\shoptopbar\Uninstall.ini
C:\WINDOWS\11stico.ico
C:\WINDOWS\auctionico.ico
C:\WINDOWS\gmarketico.ico
C:\WINDOWS\system32\cwinsearchbkinst.exe :: Shoptopbar 1.00 프로그램 설치 파일(Internet Explorer 웹 브라우저 실행시 자가 삭제)
C:\WINDOWS\system32\INETKO.DLL
C:\WINDOWS\system32\MSINET.OCX
C:\WINDOWS\system32\VB6KO.DLL

 

[생성 파일 진단 정보]

 

C:\Program Files\shoptopbar\cwinsearchbk.dll
 - MD5 : 4bdfc1115121f13e890e33968913a189
 - avast! : Win32:VB-ADJE [Trj] (VirusTotal : 21/42)

 

C:\WINDOWS\system32\cwinsearchbkinst.exe
 - MD5 : cafc4c38779537d067e3b1c0eaecc887
 - BitDefender : Trojan.Generic.7664565 (VirusTotal : 25/42)

 

"Shoptopbar 1.00" 프로그램은 설치시 "C:\WINDOWS\system32\cwinsearchbkinst.exe" 파일을 생성하여 "C:\Program Files\shoptopbar" 폴더에 파일을 설치하며, 사용자가 Internet Explorer 웹 브라우저를 실행시 cwinsearchbkinst.exe 파일을 자가 삭제 처리하도록 구성되어 있습니다. 

  • h**p://121.78.93.27/~paran/****/cleverocup.exe (MD5 : 9cb96f958620693fcd6dc46ffe508cb5) - AhnLab V3 : Trojan/Win32.ADH (VirusTotal : 22/42)

"Shoptopbar 1.00" 프로그램이 설치된 이후 최초 Internet Explorer 웹 브라우저를 실행하는 과정에서 특정 서버(h**p://121.78.93.27/~paran/shoptopbar/shoptopbar.html)에 등록된 구성값을 참조하여 사용자 몰래 추가적인 파일(cleverocup.exe)을 다운로드하여 실행되는 동작을 확인할 수 있습니다.

 

다운로드된 파일은 "C:\Program Files\shoptopbar\cleverocup.exe" 파일로 생성되어 다음과 같은 "Cleversearchoc 1.00" 프로그램을 사용자 몰래 설치합니다.

 

[생성 폴더 / 파일 등록 정보 : Cleversearchoc 1.00 프로그램]

 

C:\Program Files\cleversearchoc :: Cleversearchoc 1.00 프로그램 설치 폴더
C:\Program Files\cleversearchoc\cleversearchoc.dll :: BHO(cleversearchocprg.cleversearchoc) 등록 파일
C:\Program Files\cleversearchoc\cleversearchocdl.exe
C:\Program Files\cleversearchoc\Uninstall.exe :: 프로그램 삭제 파일
C:\Program Files\cleversearchoc\Uninstall.ini
C:\Program Files\shoptopbar\cleverocup.exe :: Cleversearchoc 1.00 프로그램 설치 파일(Internet Explorer 웹 브라우저 실행시 자가 삭제)

 

[생성 파일 진단 정보]

 

C:\Program Files\cleversearchoc\cleversearchoc.dll
 - MD5 : 9da7a2cfa202344182a1ebbc8aedec45
 - Microsoft : Trojan:Win32/Msidebar.C (VirusTotal : 22/42)

 

C:\Program Files\shoptopbar\cleverocup.exe
 - MD5 : 9cb96f958620693fcd6dc46ffe508cb5
 - AhnLab V3 : Trojan/Win32.ADH (VirusTotal : 22/42)

 

"Cleversearchoc 1.00" 프로그램은 "C:\Program Files\cleversearchoc" 폴더에 파일을 생성하며, Internet Explorer 웹 브라우저 실행시 "h**p://121.78.93.182/cleversearchoc/cleversearchoc1.html" 서버에서 "네이트 검색(search.nate.com)" 구성값을 체크하도록 구성되어 있습니다.

 

이렇게 설치된 2종의 프로그램의 기능과 삭제 방법에 대해 전반적으로 살펴보도록 하겠습니다.

 

1. "Shoptopbar 1.00" 프로그램 

"Shoptopbar 1.00" 프로그램은 크게 인터넷 쇼핑몰(11번가, G마켓, 옥션) 바로가기 아이콘 생성, 네이버(Naver) 메인 페이지 변조, 추가 파일 다운로드, 검색 키워드 값 감시를 통한 광고 행위 동작을 합니다.

 

(1) 인터넷 쇼핑몰 바로가기 아이콘 생성 

"Shoptopbar 1.00" 프로그램이 설치되면 바탕 화면, 즐겨찾기, 명령 모음에 11번가, G마켓, 옥션 바로가기 아이콘이 생성되는 것을 확인할 수 있습니다. 

해당 바로가기 아이콘을 통해 인터넷 쇼핑몰에 접속시에는 사용자 몰래 광고 코드(click.linkprice.com)가 추가되는 동작을 확인할 수 있으며, 해당 바로가기 아이콘은 사용자가 프로그램을 삭제한 이후에도 여전히 존재하여 지속적인 수익을 창출하도록 제작되어 있습니다.

 

(2) shoptopbar.exe 프로세스와 "shoptopbargp.shoptopbar" 브라우저 도우미 개체(BHO) 

"Shoptopbar 1.00" 프로그램이 설치된 환경에서 사용자가 Internet Explorer 웹 브라우저를 실행하면 iexplore.exe 프로세스 실행과 함께 "C:\Program Files\shoptopbar\shoptopbar.exe" 프로세스가 자동으로 추가됩니다.(※ 해당 프로세는 사용자가 IE 웹 브라우저를 종료한 이후에도 메모리에 상주합니다.) 

shoptopbar.exe 프로세스는 Windows 작업 관리자의 작업 영역에서 "slidematch"라는 이름으로 실행하므로 참고하시기 바랍니다.

 

해당 shoptopbar.exe 프로세스는 "C:\Program Files\shoptopbar\shoptopbar.dll" 파일을 통해 등록된 "shoptopbargp.shoptopbar" 브라우저 도우미 개체(BHO)와 연동되어 실행됩니다.

 

또한 해당 브라우저 도우미 개체(BHO)는 Internet Explorer 웹 브라우저 실행시 "h**p://121.78.93.46/~serviceitem/cwinsearchbk/cwinsearchbk.html" 서버에 등록된 "KT 열린 주소창 검색(dns3.ktguide.com)" 구성값을 체크하는 동작을 수행합니다. 

이를 통해 사용자가 네이버(Naver) 메인 페이지에 접속할 경우 그림과 같은 추가적인 프레임을 추가하여 상단에 11번가, G마켓, 옥션, 스마트폰 관련 광고가 노출되도록 구성되어 있습니다. 

참고로 해당 네이버(Naver) 메인 페이지 변조에 사용된 소스를 확인해보면 링크 프라이스(click.linkprice.com) 광고 코드가 추가되어 있는 것을 확인할 수 있습니다.

 

(3) "cwinsearchbkprg.cwinsearch" 브라우저 도우미 개체(BHO)

 

이번에는 "C:\Program Files\shoptopbar\cwinsearchbk.dll" 파일을 통해 등록된 "cwinsearchbkprg.cwinsearch" 브라우저 도우미 개체(BHO)의 기능을 살펴보도록 하겠습니다. 

해당 파일의 기능은 사용자가 Internet Explorer 웹 브라우저의 주소 표시줄 또는 포털 사이트 검색 기능을 이용하여 특정 검색 키워드 값을 입력할 경우 "KT 열린 주소창 검색(dns3.ktguide.com)" 결과창을 생성하는 동작을 진행합니다. 

 

(4) 광고 기능 중지하는 방법 

[추가 기능 관리 : 도구 모음 및 확장 프로그램]

 

이름 : shoptopbargp.shoptopbar

게시자 : CNPEOPLE Co. Ltd.

유형 : 브라우저 도우미 개체

CLSID : {F3D4DAA3-9469-42E5-9DA8-030B88F0197A}

파일 : C:\Program Files\shoptopbar\shoptopbar.dll

 

이름 : cwinsearchbkprg.cwinsearch

게시자 : CNPEOPLE Co. Ltd.

유형 : 브라우저 도우미 개체

CLSID : {FB4A14F2-CBAA-4C24-B2F4-DED1CFF51143}

파일 : C:\Program Files\shoptopbar\cwinsearchbk.dll

 

이름 : 쇼핑 스트리트, 11번가

유형 : 브라우저 확장

CLSID : {42767D19-9D08-4638-8768-D342BA400E39}

 

이름 : G마켓 - 새로운 세상을 여는 문, G마켓

유형 : 브라우저 확장

CLSID : {FB631360-CC3F-4CF7-AFA8-1CF8D077A889}

 

이름 : 당신이 찾는 모든 스타일, 옥션

유형 : 브라우저 확장

CLSID : {FC23FA59-2754-4FD6-9ADA-20C5758D7F69}

 

"Shoptopbar 1.00" 프로그램을 통한 광고 동작의 중지를 위해서는 Internet Explorer 웹 브라우저의 추가 기능 관리에 등록된 "shoptopbargp.shoptopbar", "cwinsearchbkprg.cwinsearch" 2개의 항목을 선택하여 "사용 안 함"으로 변경하시기 바랍니다. 

또한 명령 모음에 등록된 11번가, G마켓, 옥션 바로가기 아이콘은 "브라우저 확장"에 등록된 3개의 값을 선택하여 "사용 안 함"으로 변경하시기 바랍니다.

 

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{42767D19-9D08-4638-8768-D342BA400E39} :: 11번가
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{FB631360-CC3F-4CF7-AFA8-1CF8D077A889} :: G마켓
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{FC23FA59-2754-4FD6-9ADA-20C5758D7F69} :: 옥션

그 이후 레지스트리 편집기(regedit)를 실행하여 3개의 확장 모음 등록값을 삭제하시기 바랍니다.

 

2. "Cleversearchoc 1.00" 프로그램 

"Shoptopbar 1.00" 프로그램을 통해 사용자 몰래 추가적으로 설치된 "Cleversearchoc 1.00" 프로그램의 기능에 대해 살펴보도록 하겠습니다.

 

해당 프로그램은 "C:\Program Files\cleversearchoc\cleversearchoc.dll" 파일을 통해 등록된 "cleversearchocprg.cleversearchoc" 브라우저 도우미 개체(BHO)를 통해 광고 기능을 수행합니다. 

이를 통해 Internet Explorer 웹 브라우저 주소 표시줄에 검색 키워드를 입력할 경우 "네이트(Nate) 검색(search.nate.com)" 결과를 표시합니다. 

또한 네이버(Naver) 검색 서비스를 이용할 경우 검색 키워드 값을 참조하여 백그라운드 방식으로 네이트(Nate) 검색이 함께 이루어지는 동작을 확인할 수 있습니다.

 

이런 동작은 인터넷 속도 저하 등의 문제 유발과 함께 네이버(Naver) 검색 행위를 이용하여 네이트(Nate) 검색 트래픽을 증가시키는 잘못된 방식이라고 판단됩니다. 

[추가 기능 관리 : 도구 모음 및 확장 프로그램]

 

이름 : cleversearchocprg.cleversearchoc

게시자 : cleversearchoc

유형 : 브라우저 도우미 개체

CLSID : {97AE57EC-6FCC-4DB5-9C75-EE02EABC67C1}

파일 : C:\Program Files\cleversearchoc\cleversearchoc.dll

 

"Cleversearchoc 1.00" 프로그램의 광고 동작을 중지하기 위해서는 Internet Explorer 웹 브라우저의 추가 기능 관리에 등록된 "cleversearchocprg.cleversearchoc" 항목을 선택하여 "사용 안 함"으로 변경하시기 바랍니다.

 

3. "Shoptopbar 1.00", "Cleversearchoc 1.00" 프로그램 삭제 정보 

이들 프로그램 삭제시에는 Internet Explorer 웹 브라우저를 모두 종료한 상태에서 Windows 작업 관리자를 실행하여 shoptopbar.exe 프로세스를 수동으로 종료하시기 바랍니다.

 

그 이후에 제어판의 "Cleversearchoc 1.00", "Shoptopbar 1.00" 2개의 삭제 항목을 이용하여 프로그램을 삭제할 수 있으며, 프로그램 삭제 후에는 추가적으로 다음의 폴더(파일)를 수동으로 삭제하시기 바랍니다.

 

  • C:\Documents and Settings\(사용자 계정)\Favorites\G마켓 - 새로운 세상을 여는 문, G마켓.lnk
  • C:\Documents and Settings\(사용자 계정)\Favorites\당신이 찾는 모든 스타일, 옥션.lnk
  • C:\Documents and Settings\(사용자 계정)\Favorites\쇼핑 스트리트, 11번가.lnk
  • C:\Program Files\cleversearchoc
  • C:\Program Files\cleversearchoc\cleversearchoc.dll
  • C:\Program Files\shoptopbar
  • C:\Program Files\shoptopbar\cwinsearchbk.dll
  • C:\Program Files\shoptopbar\shoptopbar.dll
[생성 레지스트리 등록 정보 : Shoptopbar 1.00 프로그램]

 

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42767D19-9D08-4638-8768-D342BA400E39}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3D4DAA3-9469-42E5-9DA8-030B88F0197A}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{FB4A14F2-CBAA-4C24-B2F4-DED1CFF51143}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{FB631360-CC3F-4CF7-AFA8-1CF8D077A889}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{FC23FA59-2754-4FD6-9ADA-20C5758D7F69}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\cwinsearchbkprg.cwinsearch
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{36457FF0-7B9B-4C5E-AA99-46A3ED612C35}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{AB41A888-BF99-41BC-8D2A-A3ABDB6497B0}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\shoptopbargp.shoptopbar
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{1DD91331-C096-4A53-B414-80D257D3D2E5}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{A37BDD82-FCDA-4CED-B01C-07B5DCE86A7D}
HKEY_LOCAL_MACHINE\SOFTWARE\cwinsearchbk
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{42767D19-9D08-4638-8768-D342BA400E39}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{FB631360-CC3F-4CF7-AFA8-1CF8D077A889}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{FC23FA59-2754-4FD6-9ADA-20C5758D7F69}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
 - cwinsearchbk = 1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{F3D4DAA3-9469-42E5-9DA8-030B88F0197A}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{FB4A14F2-CBAA-4C24-B2F4-DED1CFF51143}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Desktop\NameSpace\{42767D19-9D08-4638-8768-D342BA400E39}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Desktop\NameSpace\{FB631360-CC3F-4CF7-AFA8-1CF8D077A889}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Desktop\NameSpace\{FC23FA59-2754-4FD6-9ADA-20C5758D7F69}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\shoptopbar 1.00
HKEY_LOCAL_MACHINE\SOFTWARE\shoptopbar

 

[생성 레지스트리 등록 정보 : Cleversearchoc 1.00 프로그램]

 

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\cleversearchocprg.cleversearchoc
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{97AE57EC-6FCC-4DB5-9C75-EE02EABC67C1}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{85EFFEA1-29E4-465D-A3F9-154B11BF102D}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{8F308CEC-6933-4F55-BDEB-5DD69FE48B50}
HKEY_LOCAL_MACHINE\SOFTWARE\cleversearchoc
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
 - cleversearchoc = 1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{97AE57EC-6FCC-4DB5-9C75-EE02EABC67C1}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\cleversearchoc 1.00

 

프로그램 삭제 이후에도 "Shoptopbar 1.00" 프로그램에서 생성한 즐겨찾기, 바탕 화면 바로가기, 명령 모음에 등록된 인터넷 쇼핑몰 바로가기 아이콘이 존재하므로 사용자가 수동으로 삭제하시기 바랍니다.