본문 바로가기

벌새::Analysis

검색 도우미 : SocureWeb Control

인터넷 검색시 바탕 화면의 작업 표시줄 상단에 스폰서 링크 광고창을 생성하는 검색 도우미 "SocureWeb Control" 프로그램에 대해 살펴보도록 하겠습니다.

 

해당 프로그램의 설치 파일(MD5 : 248165c1e9db03b11571ec9f49e140c2)에 대하여 nProtect 보안 제품에서는 Trojan/W32.Agent.657992 (VirusTotal : 26/44) 진단명으로 진단되고 있습니다.

 

  검색 도우미 : Advenced Top C Manager (2012.3.15)

 

  국내 악성코드 : Smart Connection tc services (2012.9.15)

 

해당 프로그램은 기존의 탑클릭(TopClick) 계열 검색 도우미 프로그램의 변형된 버전이며, 워핑(WerPing) 시리즈 검색 도우미 프로그램과 연관성이 있으므로 참고하시기 바랍니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Program Files\AdvTopC
C:\Program Files\AdvTopC\AdvTCApp.exe :: 메모리 상주 프로세스(Internet Explorer 웹 브라우저 실행시 추가)
C:\Program Files\AdvTopC\AdvTCApp.tlb
C:\Program Files\AdvTopC\TCCheckAgent.exe :: 서비스(TCCheckAgent) 등록 파일
C:\Program Files\AdvTopC\TCHelper.dll :: BHO 등록 파일
C:\Program Files\AdvTopC\tcse.dat
C:\Program Files\AdvTopC\TCSearch.exe :: 시작 프로그램 등록 파일 / 메모리 상주 프로세스
C:\Program Files\AdvTopC\TCUnins.exe :: 프로그램 삭제 파일
C:\Program Files\AdvTopC\tcwhk.dll

 

[생성 파일 진단 정보]

 

C:\Program Files\AdvTopC\AdvTCApp.exe
 - MD5 : bbffbd11b04d47261aff4becdfa622be
 - AhnLab V3 : PUP/Win32.WerPingGood (VirusTotal : 8/44)

 

C:\Program Files\AdvTopC\TCCheckAgent.exe
 - MD5 : 32903035d6c8bae1652391ece6263faa
 - Hauri ViRobot : Trojan.Win32.A.BHO.73728.U (VirusTotal : 28/43)

 

C:\Program Files\AdvTopC\TCHelper.dll
 - MD5 : b683ee59ac50bda1cf7ad3f3a338f823
 - AhnLab V3 : Win-PUP/Helper.AdvTopC.247368 (VirusTotal : 7/44)

 

C:\Program Files\AdvTopC\TCSearch.exe
 - MD5 : 72d6dfa039f282fce45d94a07d42cd3c
 - AhnLab V3 : PUP/Win32.TopClick (VirusTotal : 2/43)

 

C:\Program Files\AdvTopC\TCUnins.exe
 - MD5 : ec2fd6074c7561470f1d423b1a7aff5c
 - AhnLab V3 : PUP/Win32.AdvTopC (VirusTotal : 16/43)

 

C:\Program Files\AdvTopC\tcwhk.dll
 - MD5 : 7f83eafc6330edfa71344f7750eb3872
 - AhnLab V3 : PUP/Win32.TopClick (VirusTotal : 1/42)

해당 프로그램은 "C:\Program Files\AdvTopC" 폴더에 파일을 생성하며, "TCCheckAgent" 서비스 항목을 등록하여 시스템 시작시 "C:\Program Files\AdvTopC\TCCheckAgent.exe" 파일을 자동 실행하도록 구성되어 있습니다.

 

또한 "C:\Program Files\AdvTopC\TCSearch.exe" 파일을 시작 프로그램(Run)으로 등록하여 시스템 시작시 자동 실행되어 메모리에 상주하도록 구성되어 있습니다.

프로그램이 설치된 환경에서 사용자가 Internet Explorer 웹 브라우저를 실행(새 탭 실행)하며 사용자가 지정한 홈 페이지(시작 페이지)가 아닌 "올린(OLLIN)" 검색 사이트로 자동 연결되는 동작이 이루어집니다.(※ 해당 동작은 인터넷 옵션의 홈 페이지 설정값을 변경하여 이루어지지 않습니다.)

이 과정을 살펴보면 우선 사용자가 Internet Explorer 웹 브라우저를 실행할 경우, 브라우저 도우미 개체(BHO)로 등록된 TCHelper.dll 파일을 통해 "C:\Program Files\AdvTopC\AdvTCApp.exe" 파일을 로딩하여 메모리에 상주시킵니다.

실행된 AdvTCApp.exe 파일은 웹 브라우저 홈 페이지(시작 페이지)를 올린(OLLIN) 검색 사이트로 강제 이동시키는 동작을 확인할 수 있습니다.

또한 AdvTCApp.exe 파일은 사용자가 인터넷 검색을 하는 과정에서 검색 키워드, Mac Address, 파트너 아이디(ID) 정보를 수집하여 특정 광고 서버로 GET 방식으로 전송하는 동작을 확인할 수 있습니다.

만약 광고 조건에 부합하는 검색 키워드를 입력할 경우에는 바탕 화면의 작업 표시줄 상단에 "스폰서 링크" 광고창을 생성하여 광고를 일정 시간 노출시키며, 테스트 과정에서는 불법적인 도박 사이트 홍보도 이루어지고 있는 것으로 파악되고 있습니다.

 

그 외 웹 브라우저 창을 종료하는 과정에서 추가적인 광고창을 생성하는 후팝업 방식의 광고 동작을 확인할 수 있었습니다.

[추가 기능 관리 : 도구 모음 및 확장 프로그램]

 

이름 : Smart TC

게시자 : ArthanSoft

유형 : 브라우저 도우미 개체

CLSID : {3E5EF872-03E2-4CE0-94DF-CA8A5004ECFD}

파일 : C:\Program Files\AdvTopC\TCHelper.dll

 

해당 광고 동작은 Internet Explorer 웹 브라우저 실행시 TCHelper.dll 파일을 브라우저 도우미 개체(BHO)로 등록하여 추가적인 AdvTCApp.exe 실행, 키워드 감시 등을 통해 광고창 생성이 이루어집니다.

 

그러므로 광고 동작의 중지를 위해서는 우선적으로 웹 브라우저의 추가 기능 관리에 등록된 "Smart TC" 항목을 선택하여 "사용 안 함"으로 변경하시기 바랍니다.

 

그 후 Windows 작업 관리자를 실행하여 메모리에 상주하는 AdvTCApp.exe, TCSearch.exe 프로세스를 수동으로 종료하시기 바랍니다.

프로그램 삭제시에는 Internet Explorer 웹 브라우저를 종료한 상태에서 제어판의 "SocureWeb Control" 삭제 항목을 이용하여 삭제할 수 있습니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\AdvTopC
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - Adv_TopC = C:\Program Files\AdvTopC\TCSearch.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AdvTCApp.TCExtDisp
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AdvTCApp.TCExtDisp.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AdvTCApp.TCUIHandler
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AdvTCApp.TCUIHandler.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AdvTCApp.TopClickReceiver
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AdvTCApp.TopClickReceiver.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\{7C3D497D-F1D3-4E2C-A3C1-613D598C7B65}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\TCHelper.DLL
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3E5EF872-03E2-4CE0-94DF-CA8A5004ECFD}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5AE9542B-4924-4A56-8AC8-7DC3427A2CDF}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{86D56D8B-9667-4C58-8BE5-37616F07A2AE}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D7CC10CB-5560-41D1-AA01-90ACDD24FAD8}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{133F4BA0-B28D-438C-9AC0-2632BA756582}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{1CBECE76-7A9C-4118-9B1D-255EF4A28B0A}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{C8978781-0BA6-4D59-BC95-5FB099420444}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{D8BE945B-214C-4FF4-90D4-D27453803121}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TCHelper.AdvTCCtrl
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TCHelper.AdvTCCtrl.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{229EDC5F-3F55-4873-AA68-DF2EE6B37B1D}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{393A6F9A-B9AF-4CC4-9205-7D9AD84E3599}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{9FFF5A03-2C66-462e-A2AE-19CA87E20DBE}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{C0748ADA-0334-4bcd-B2A9-F12E4C754AEC}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{3E5EF872-03E2-4CE0-94DF-CA8A5004ECFD}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Advenced TopCli
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TCCHECKAGENT
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TCCheckAgent

 

"SocureWeb Control" 프로그램 이름이 금융권에서 사용하는 "XecureWeb Control" 보안 프로그램과 유사하여 사용자에게 혼동을 유발할 것으로 보이며, 인터넷 검색 과정에서 백그라운드 방식으로 이루어지는 후팝업 웹 사이트 로딩으로 인해 인터넷 속도 저하를 유발할 수 있으므로 주의하시기 바랍니다.

  • 나그네 2012.12.07 14:30 댓글주소 수정/삭제 댓글쓰기

    SocureWeb Control이건 마치 XecureWeb Control과 유사한것처럼 눈속임을 한 것이 큰 특징이죠..

  • 루니 2012.12.18 09:44 댓글주소 수정/삭제 댓글쓰기

    너무 감사합니다! 도움 많이 됐어요!
    그런데 SocureWeb Control을 제거하려고 하면 자꾸 uninstall 프로그램이 멈춥니다ㅜㅜ
    해결방법이 없을까요? V3로도 해보고 제어판에서도 해보고
    하다하다 안돼서 AdvTopC 폴더를 통째로 삭제해보려 했더니
    자꾸 어디서 사용되고 있다고 삭제가 불가능하다는 창이 뜹니다
    일단 본문 보고 추가기능보기에서 사용 안 함으로 설정해서 성가신건 일단 없앴는데
    완전 삭제할 방법 없을까요?

    • 제어판을 통한 삭제에 문제가 있으시면 IE 웹 브라우저를 종료한 상태에서 Windows 작업 관리자에서 AdvTCApp.exe, TCSearch.exe 프로세스를 찾아 종료하시고 폴더 삭제를 시도해 보시기 바랍니다.

  • Create 2013.03.02 11:38 댓글주소 수정/삭제 댓글쓰기

    정말 도움이 많이되었어요!
    요새 하도 광고창이 많이 떠서 짜증났는데 여기에서 다 보고 찾아서 제대로 지우고 갑니다
    정말정말 감사드려요!!