인터넷 검색시 바탕 화면의 작업 표시줄 상단에 스폰서 링크 광고창을 생성하는 검색 도우미 "SocureWeb Control" 프로그램에 대해 살펴보도록 하겠습니다.
해당 프로그램의 설치 파일(MD5 : 248165c1e9db03b11571ec9f49e140c2)에 대하여 nProtect 보안 제품에서는 Trojan/W32.Agent.657992 (VirusTotal : 26/44) 진단명으로 진단되고 있습니다.
▷ 검색 도우미 : Advenced Top C Manager (2012.3.15)
▷ 국내 악성코드 : Smart Connection tc services (2012.9.15)
해당 프로그램은 기존의 탑클릭(TopClick) 계열 검색 도우미 프로그램의 변형된 버전이며, 워핑(WerPing) 시리즈 검색 도우미 프로그램과 연관성이 있으므로 참고하시기 바랍니다.
C:\Program Files\AdvTopC
C:\Program Files\AdvTopC\AdvTCApp.exe :: 메모리 상주 프로세스(Internet Explorer 웹 브라우저 실행시 추가)
C:\Program Files\AdvTopC\AdvTCApp.tlb
C:\Program Files\AdvTopC\TCCheckAgent.exe :: 서비스(TCCheckAgent) 등록 파일
C:\Program Files\AdvTopC\TCHelper.dll :: BHO 등록 파일
C:\Program Files\AdvTopC\tcse.dat
C:\Program Files\AdvTopC\TCSearch.exe :: 시작 프로그램 등록 파일 / 메모리 상주 프로세스
C:\Program Files\AdvTopC\TCUnins.exe :: 프로그램 삭제 파일
C:\Program Files\AdvTopC\tcwhk.dll
C:\Program Files\AdvTopC\AdvTCApp.exe
- MD5 : bbffbd11b04d47261aff4becdfa622be
- AhnLab V3 : PUP/Win32.WerPingGood (VirusTotal : 8/44)
C:\Program Files\AdvTopC\TCCheckAgent.exe
- MD5 : 32903035d6c8bae1652391ece6263faa
- Hauri ViRobot : Trojan.Win32.A.BHO.73728.U (VirusTotal : 28/43)
C:\Program Files\AdvTopC\TCHelper.dll
- MD5 : b683ee59ac50bda1cf7ad3f3a338f823
- AhnLab V3 : Win-PUP/Helper.AdvTopC.247368 (VirusTotal : 7/44)
C:\Program Files\AdvTopC\TCSearch.exe
- MD5 : 72d6dfa039f282fce45d94a07d42cd3c
- AhnLab V3 : PUP/Win32.TopClick (VirusTotal : 2/43)
C:\Program Files\AdvTopC\TCUnins.exe
- MD5 : ec2fd6074c7561470f1d423b1a7aff5c
- AhnLab V3 : PUP/Win32.AdvTopC (VirusTotal : 16/43)
C:\Program Files\AdvTopC\tcwhk.dll
- MD5 : 7f83eafc6330edfa71344f7750eb3872
- AhnLab V3 : PUP/Win32.TopClick (VirusTotal : 1/42)
해당 프로그램은 "C:\Program Files\AdvTopC" 폴더에 파일을 생성하며, "TCCheckAgent" 서비스 항목을 등록하여 시스템 시작시 "C:\Program Files\AdvTopC\TCCheckAgent.exe" 파일을 자동 실행하도록 구성되어 있습니다.
또한 "C:\Program Files\AdvTopC\TCSearch.exe" 파일을 시작 프로그램(Run)으로 등록하여 시스템 시작시 자동 실행되어 메모리에 상주하도록 구성되어 있습니다.
프로그램이 설치된 환경에서 사용자가 Internet Explorer 웹 브라우저를 실행(새 탭 실행)하며 사용자가 지정한 홈 페이지(시작 페이지)가 아닌 "올린(OLLIN)" 검색 사이트로 자동 연결되는 동작이 이루어집니다.(※ 해당 동작은 인터넷 옵션의 홈 페이지 설정값을 변경하여 이루어지지 않습니다.)
이 과정을 살펴보면 우선 사용자가 Internet Explorer 웹 브라우저를 실행할 경우, 브라우저 도우미 개체(BHO)로 등록된 TCHelper.dll 파일을 통해 "C:\Program Files\AdvTopC\AdvTCApp.exe" 파일을 로딩하여 메모리에 상주시킵니다.
실행된 AdvTCApp.exe 파일은 웹 브라우저 홈 페이지(시작 페이지)를 올린(OLLIN) 검색 사이트로 강제 이동시키는 동작을 확인할 수 있습니다.
또한 AdvTCApp.exe 파일은 사용자가 인터넷 검색을 하는 과정에서 검색 키워드, Mac Address, 파트너 아이디(ID) 정보를 수집하여 특정 광고 서버로 GET 방식으로 전송하는 동작을 확인할 수 있습니다.
만약 광고 조건에 부합하는 검색 키워드를 입력할 경우에는 바탕 화면의 작업 표시줄 상단에 "스폰서 링크" 광고창을 생성하여 광고를 일정 시간 노출시키며, 테스트 과정에서는 불법적인 도박 사이트 홍보도 이루어지고 있는 것으로 파악되고 있습니다.
그 외 웹 브라우저 창을 종료하는 과정에서 추가적인 광고창을 생성하는 후팝업 방식의 광고 동작을 확인할 수 있었습니다.
이름 : Smart TC
게시자 : ArthanSoft
유형 : 브라우저 도우미 개체
CLSID : {3E5EF872-03E2-4CE0-94DF-CA8A5004ECFD}
파일 : C:\Program Files\AdvTopC\TCHelper.dll
해당 광고 동작은 Internet Explorer 웹 브라우저 실행시 TCHelper.dll 파일을 브라우저 도우미 개체(BHO)로 등록하여 추가적인 AdvTCApp.exe 실행, 키워드 감시 등을 통해 광고창 생성이 이루어집니다.
그러므로 광고 동작의 중지를 위해서는 우선적으로 웹 브라우저의 추가 기능 관리에 등록된 "Smart TC" 항목을 선택하여 "사용 안 함"으로 변경하시기 바랍니다.
그 후 Windows 작업 관리자를 실행하여 메모리에 상주하는 AdvTCApp.exe, TCSearch.exe 프로세스를 수동으로 종료하시기 바랍니다.
프로그램 삭제시에는 Internet Explorer 웹 브라우저를 종료한 상태에서 제어판의 "SocureWeb Control" 삭제 항목을 이용하여 삭제할 수 있습니다.
HKEY_CURRENT_USER\Software\AdvTopC
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- Adv_TopC = C:\Program Files\AdvTopC\TCSearch.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AdvTCApp.TCExtDisp
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AdvTCApp.TCExtDisp.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AdvTCApp.TCUIHandler
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AdvTCApp.TCUIHandler.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AdvTCApp.TopClickReceiver
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AdvTCApp.TopClickReceiver.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\{7C3D497D-F1D3-4E2C-A3C1-613D598C7B65}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\TCHelper.DLL
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3E5EF872-03E2-4CE0-94DF-CA8A5004ECFD}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5AE9542B-4924-4A56-8AC8-7DC3427A2CDF}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{86D56D8B-9667-4C58-8BE5-37616F07A2AE}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D7CC10CB-5560-41D1-AA01-90ACDD24FAD8}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{133F4BA0-B28D-438C-9AC0-2632BA756582}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{1CBECE76-7A9C-4118-9B1D-255EF4A28B0A}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{C8978781-0BA6-4D59-BC95-5FB099420444}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{D8BE945B-214C-4FF4-90D4-D27453803121}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TCHelper.AdvTCCtrl
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TCHelper.AdvTCCtrl.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{229EDC5F-3F55-4873-AA68-DF2EE6B37B1D}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{393A6F9A-B9AF-4CC4-9205-7D9AD84E3599}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{9FFF5A03-2C66-462e-A2AE-19CA87E20DBE}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{C0748ADA-0334-4bcd-B2A9-F12E4C754AEC}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{3E5EF872-03E2-4CE0-94DF-CA8A5004ECFD}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Advenced TopCli
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TCCHECKAGENT
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TCCheckAgent
"SocureWeb Control" 프로그램 이름이 금융권에서 사용하는 "XecureWeb Control" 보안 프로그램과 유사하여 사용자에게 혼동을 유발할 것으로 보이며, 인터넷 검색 과정에서 백그라운드 방식으로 이루어지는 후팝업 웹 사이트 로딩으로 인해 인터넷 속도 저하를 유발할 수 있으므로 주의하시기 바랍니다.