울지않는벌새 : Security, Movie & Society

검색 도우미 : Network Manager Win

벌새::Analysis

인터넷 검색시 바탕 화면 하단에 "스폰서 링크" 광고창이 생성되는 검색 도우미 "Network Manager Win" 프로그램(MD5 : c365777dc54821965476368ea2dfc0b8)에 대해 살펴보도록 하겠습니다.

 

  검색 도우미 : Advenced Top C Manager (2012.3.15)

 

  국내 악성코드 : Smart Connection tc services (2012.9.15)

 

  검색 도우미 : SocureWeb Control (2012.11.28)

 

  검색 도우미 : XocureWeb Control HiSearch (2012.12.2)

 

해당 프로그램은 기존의 워핑(WerPing) 또는 탑클릭(TopClick) 검색 도우미의 변종 프로그램이므로 참고하시기 바랍니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Documents and Settings\(사용자 계정)\Application Data\NetMWin
C:\Documents and Settings\(사용자 계정)\Application Data\NetMWin\tcse.dat
C:\Documents and Settings\(사용자 계정)\Application Data\NetMWin\tcskip.dat
C:\Program Files\NetMWin
C:\Program Files\NetMWin\NetMWin.exe
C:\Program Files\NetMWin\NetMWin.tlb
C:\Program Files\NetMWin\NMHelper.dll :: BHO 등록 파일
C:\Program Files\NetMWin\NMUnins.exe :: 프로그램 삭제 파일
C:\Program Files\NetMWin\tcse.dat
C:\Program Files\NetMWin\tcskip.dat

해당 프로그램은 "C:\Program Files\NetMWin" 폴더에 파일을 생성하며, Internet Explorer 웹 브라우저 사용 중에 브라우저 도우미 개체(BHO)로 등록된 NMHelper.dll 파일을 통해 광고 행위가 이루어지도록 구성되어 있습니다.

사용자가 인터넷 검색을 하는 과정에서 바탕 화면 하단 영역에 "스폰서 링크" 광고창이 생성되는 동작을 확인할 수 있습니다.

또한 인터넷 검색시 백그라운드 방식으로 추가적인 광고창을 로딩하였다가 사용자가 웹 브라우저 창을 종료하는 시점에서 광고창을 생성하는 후팝업 광고 동작도 확인할 수 있습니다.

[추가 기능 관리 : 도구 모음 및 확장 프로그램]

 

이름 : NetMCtrl Class

게시자 : ArthanSoft

유형 : 브라우저 도우미 개체

CLSID : {7760E6D4-CC93-4495-981B-5E23919D602A}

파일 : C:\Program Files\NetMWin\NMHelper.dll

 

해당 광고 동작은 브라우저 도우미 개체(BHO)로 등록된 NMHelper.dll 파일을 통해 특정 검색 키워드에 반응하여 NetMWin.exe 파일을 통해 광고창을 생성하는 동작이 이루어집니다.

 

그러므로 광고 동작의 중지를 위해서는 웹 브라우저의 추가 기능 관리에 등록된 "NetMCtrl Class" 항목을 선택하여 "사용 안 함"으로 변경하시기 바랍니다.

프로그램 삭제시에는 Internet Explorer 웹 브라우저를 종료한 상태에서 제어판에 등록된 "network manager win" 삭제 항목을 이용하여 삭제할 수 있으며, 프로그램 삭제 후에는 추가적으로 다음의 폴더(파일)를 찾아 수동으로 삭제하시기 바랍니다.

  • C:\Documents and Settings\(사용자 계정)\Application Data\NetMWin
  • C:\Documents and Settings\(사용자 계정)\Application Data\NetMWin\tcse.dat
  • C:\Documents and Settings\(사용자 계정)\Application Data\NetMWin\tcskip.dat
[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\NetMWin
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\{30C92ED0-9305-4C79-8217-13336A22CB5B}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\NMHelper.DLL
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7760E6D4-CC93-4495-981B-5E23919D602A}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9E1F7408-E081-40B3-B308-DCD764A2EDAB}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{BB8BCAF6-D792-4304-9048-874C0B8219E9}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{FAD4AE13-51F0-47CD-9D02-CE78809D00A3}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{26C93068-4EAE-434A-B860-6948259B8D8A}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{9E9104A4-88B6-43F5-AC2C-742E5D430DD7}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{C9C76AE6-79D8-470D-8B8F-411EEFE28E10}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{D3AB834F-4417-40EA-8C3F-C7F661C782A4}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\NetMWin.NetMWinReceiver
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\NetMWin.NetMWinReceiver.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\NetMWin.NMExtDisp
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\NetMWin.NMExtDisp.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\NetMWin.NMUIHandler
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\NetMWin.NMUIHandler.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\NMHelper.NetMCtrl
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\NMHelper.NetMCtrl.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{11AB165E-BFF0-4B5A-B1B6-806806236E68}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{E0DDE77F-0B4F-4CCA-A231-9C1F9EC71C0A}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{B19A7E72-49CC-40cd-A323-A49E4D2913EE}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{CADC80D3-6A46-428f-97C6-5489BE6C4936}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{7760E6D4-CC93-4495-981B-5E23919D602A}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\nmwin

 

해당 프로그램 계열은 기존부터 광고 프로그램 이름이 아닌 정상적인 프로그램처럼 제어판에 등록하여 사용자가 찾기 어렵도록 하는 특징이 강하므로 주의하시기 바랍니다.