본문 바로가기

벌새::Analysis

검색 도우미 : homeappsigntool

인터넷 검색시 추가적인 광고창이 다수 생성되는 검색 도우미 homeappsigntool 프로그램(MD5 : 08a85d37fc7eefcd0beafd3d9e72d07b)에 대해 살펴보도록 하겠습니다.

 

  검색 도우미 : Winapp for Windows 버전 1.0.0.2 (2012.6.12)

 

  검색 도우미 : toastpop 버전 1.0.0.1 (2013.2.28)

 

  검색 도우미 : homewinsigntool (2013.3.11)

 

해당 프로그램은 homewinsigntool 검색 도우미 프로그램의 변종으로 확인되고 있으므로 참고하시기 바랍니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Documents and Settings\(사용자 계정)\Application Data\appsigntool
C:\Documents and Settings\(사용자 계정)\Application Data\appsigntool\appst.exe :: 시작 프로그램 등록 파일 / 메모리 상주 프로세스
C:\Documents and Settings\(사용자 계정)\Application Data\appsigntool\SetupUtil.dll
C:\Documents and Settings\(사용자 계정)\Application Data\appsigntool\unins000.dat
C:\Documents and Settings\(사용자 계정)\Application Data\appsigntool\unins000.exe :: 프로그램 삭제 파일

해당 프로그램은 "C:\Documents and Settings\(사용자 계정)\Application Data\appsigntool" 폴더에 파일을 생성하며, Windows 시작시 ["C:\Documents and Settings\(사용자 계정)\Application Data\appsigntool\appst.exe" update] 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.

프로그램이 설치된 환경에서 인터넷 검색시 다양한 광고창이 자동으로 생성되며, 특이한 점은 네이버(Naver) 검색시 검색 키워드 값을 참조하여 네이트닷컴 검색 결과가 노출되는 부분도 확인할 수 있었습니다.

해당 검색 노출 코드를 살펴보면 네이트닷컴 검색 관련 외부 파트너 관계가 아닌가 생각됩니다.(※ 포털 검색도 공유하는구만.. 뭥미)

해당 광고 동작은 메모리에 상주하는 appst.exe 프로세스를 통해 이루어지므로, 광고 동작 중지 및 프로그램 삭제시에는 Windows 작업 관리자를 실행하여 appst.exe 프로세스를 찾아 수동으로 종료하시기 바랍니다.

프로그램 삭제는 제어판에 등록된 "homeappsigntool" 삭제 항목을 이용하여 삭제할 수 있습니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software
 - appsigntool = T
HKEY_CURRENT_USER\Software\appsigntool
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - appsigntool = "C:\Documents and Settings\(사용자 계정)\Application Data\appsigntool\appst.exe" update
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{53403CB4-E619-4A64-B28D-A6159FE8F354}_is1

 

homeappsigntool 검색 도우미 프로그램은 인터넷 검색시 2~3개의 광고창을 동시에 노출하는 문제로 불편을 유발할 수 있으므로 이런 프로그램이 설치되지 않도록 주의하시기 바랍니다.

  • 제 노트북에도 프로세스 확인해봐야겠네요.. 늘 확인하지만은...이런 변종들을 아예 원천 방지를 해야~ 완벽한 보안환경이 될듯 하군요.. 생활화 보안을 실천해야 겠습니다.
    진짜 싫은게 사용자의 의도없이 몰래 설치되는 불법프로그램(애드웨어, 스파이웨어, 봇넷..등등) 근절하고 싶은 강박적인 일인입니다.
    포스팅 잘보았습니다.

    • 읽어주셔서 감사합니다. 사실 이런 프로그램은 사용자가 조금만 주의를 기울이면 설치되지는 않습니다.

      하지만 워낙 교묘하게 배포가 이루어지다보니 하나만 설치되어도 연쇄 반응이 올 때가 있는게 위험하죠.

  • 네 chain reaction 맞습니다. 특히 모듈에서 연쇄반응이.MD5해쉬 알고리즘 변종도 많고요.벌새님블로그 제링크에 추가했습니다. 저두 정보보안관련 공부와 개발괸련 공부를 계속하고 있으며, 블로그 시작한지 얼마안된 일인인지라 많은 정보 얻어 갈께요. 침투테스터라던지, metasploit과 exploit db에가면 코드는 넘쳐나고 있죠. 저두 앞으로 보아야할 도서가 산더미 처럼 쌓여 있네요...^^ 자주 들러겠습니다.