울지않는벌새 : Security, Movie & Society

검색 도우미 : Windows IESide

벌새::Analysis

인터넷 검색시 웹 브라우저 우측 상단에 "인기 랭킹 사이트" 광고를 생성하는 검색 도우미 "Windows IESide" 프로그램(MD5 : 35665a182aaf1eaa640c7224c4f57963)에 대해 살펴보도록 하겠습니다.

해당 프로그램의 설치 파일은 2013년 1월 18일경부터 배포가 이루어졌으며, 안랩 클라우드(AhnLab Cloud) 기준으로 26,000대 이상에서 발견되고 있습니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Program Files\IESide
C:\Program Files\IESide\IESide.exe :: 시작 프로그램 등록 파일 / 메모리 상주 프로세스
C:\Program Files\IESide\IESide_ex.dll :: BHO 등록 파일
C:\Program Files\IESide\IESide_uninst.exe :: 프로그램 삭제 파일

 

[생성 파일 진단 정보]

 

C:\Program Files\IESide\IESide.exe
 - MD5 : e48b25962e33237202b73a88ca3d1366
 - nProtect : Adware/W32.KrAdword_Packed.651672 (VirusTotal : 7/46)

 

C:\Program Files\IESide\IESide_ex.dll
 - MD5 : faaa2eee9f407a20c54b8d6bcb5895d0
 - nProtect : Adware/W32.KrAdword.102296 (VirusTotal : 6/46)

해당 프로그램은 "C:\Program Files\IESide" 폴더에 파일을 생성하며, Windows 시작시 IESide.exe 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.

자동 실행된 IESide.exe 파일은 특정 서버로부터 구성값, 업데이트, 실행 카운터(Counter) 체크를 한 후 메모리에 상주합니다.

프로그램이 설치된 환경에서 인터넷 검색시 특정 검색 키워드 값을 입력할 경우, 웹 브라우저 우측 상단에 "인기 랭킹 사이트" 광고가 노출되는 것을 확인할 수 있습니다.

이를 통해 사용자가 광고 클릭과 무관하게 자동으로 웹하드 사이트로 연결되는 동작이 이루어질 수 있습니다.

[추가 기능 관리 : 도구 모음 및 확장 프로그램]

 

이름 : IESide Class

게시자 : corenet

유형 : 브라우저 도우미 개체

CLSID : {B6B8853B-48D3-4BA7-91E2-C72BC7983909}

파일 : C:\Program Files\IESide\IESide_ex.dll

 

  검색 도우미 : 위즈팝(WizPop) (2010.8.18)

 

해당 프로그램은 Internet Explorer 웹 브라우저를 실행시 IESide_ex.dll 파일을 브라우저 도우미 개체(BHO)로 등록하며, 등록된 파일 게시자(corenet)를 근거로 확인해보면 과거 "위즈팝(WizPop)" 검색 도우미 프로그램과 연관성이 있으므로 참고하시기 바랍니다.

 

또한 등록된 "IESide Class" 브라우저 도우미 개체 항목은 웹 브라우저의 추가 기능 관리에 등록된 항목을 선택하여 "사용 안 함"으로 변경하여 기능을 중지하시기 바랍니다.

"인기 랭킹 사이트" 광고 노출 행위는 메모리에 상주하는 IESide.exe 프로세스를 통해 이루어지므로, 광고 중지 및 프로그램 삭제시에는 Windows 작업 관리자를 실행하여 IESide.exe 프로세스를 찾아 수동으로 종료하시기 바랍니다.

프로그램 삭제는 제어판에 등록된 "Windows IESide" 삭제 항목을 이용하여 삭제할 수 있으며, 프로그램 삭제 후에는 추가적으로 "C:\Program Files\IESide" 폴더를 찾아 수동으로 삭제하시기 바랍니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\IESide
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - IESide = C:\Program Files\IESide\IESide.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\{594CBA07-5829-41D4-ADA1-721882648215}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\IESide_ex.DLL
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B6B8853B-48D3-4BA7-91E2-C72BC7983909}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\IESide_ex.IESide
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\IESide_ex.IESide.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{4B33BA5D-B799-49B0-AE39-35C98304CC2F}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{23AC98AB-DD0B-4592-9427-8031CB6CB7F3}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{B6B8853B-48D3-4BA7-91E2-C72BC7983909}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\IESide

 

"Windows IESide" 프로그램은 인터넷 검색시 웹 브라우저 상에 "인기 랭킹 사이트" 광고를 생성하는 과정에서, 사용자는 해당 광고가 어떤 프로그램을 통해 생성되었는지 확인이 어려우므로 주의하시기 바랍니다.