본문 바로가기

벌새::Analysis

검색 도우미 : Windows iestart

반응형

웹 브라우저의 주소 표시줄 영역에 다양한 웹 사이트 바로가기 정보가 포함된 "주소줄 도우미" 광고 생성 및 추가적인 후팝업 광고창 등을 생성하는 검색 도우미 "Windows iestart" 프로그램(MD5 : 9ac9ab0e37ae81c8840342cecbeb5f62)에 대해 살펴보도록 하겠습니다.

 

  검색 도우미 : Window Viewer (2012.11.8)

 

  [삭제] Window Guide (2013.3.15)

 

"Windows iestart" 프로그램과 유사성이 강한 다양한 이름의 프로그램들이 확인되고 있으므로 참고하시기 바랍니다.

해당 프로그램은 "Windows iestart" 프로그램을 설치하는 과정에서 추가적으로 iestt 프로그램 설치 파일(setup.exe)을 다운로드하여 "C:\DOCUME~1\(사용자 계정)\LOCALS~1\Temp\nsq4.tmp\setup_iestt.exe" 파일 생성을 통해 iestt_uninstall.exe, iestt.dll 2개의 파일을 생성합니다.

 

다운로드된 iestt 설치 파일(MD5 : b0a40ffb9603682371adf80589ef8f63)에 대하여 BitDefender 보안 제품에서는 Gen:Variant.Symmi.13907 (VT : 10/46) 진단명으로 진단되고 있습니다.

 

  검색 도우미 : Window Live Pot (2012.5.24)

 

  [삭제] Window Live Pot - wlivep (2012.5.25)

 

또한 "Windows iestart" 관련 파일에 추가된 "SIAD" 디지털 서명은 "Window Live Pot" 프로그램에서도 확인된 적이 있습니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\nsq4.tmp\setup_iestt.exe
C:\Program Files\iestart
C:\Program Files\iestart\iestart.exe :: 시작 프로그램(iestart) 등록 파일 / 메모리 상주 프로세스
C:\Program Files\iestart\iestartagent.exe :: 시작 프로그램(iestartagent) 등록 파일 / 메모리 상주 프로세스
C:\Program Files\iestart\iestartv.exe :: 메모리 상주 프로세스
C:\Program Files\iestart\iestartvb.dll :: BHO(iestartvb Class) 등록 파일
C:\Program Files\iestart\iestt_uninstall.exe
C:\Program Files\iestart\iestt.dll :: BHO(iestt) 등록 파일
C:\Program Files\iestart\uninstall.exe :: 프로그램 삭제 파일

  • C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\nsq4.tmp\setup_iestt.exe (MD5 : b0a40ffb9603682371adf80589ef8f63) - BitDefender : Gen:Variant.Symmi.13907 (VT : 10/46)
  • C:\Program Files\iestart\iestt.dll (MD5 : cbd0c09105958825829134063fcd06b5) - AhnLab V3 : PUP/Win32.Addenbar (VT : 8/46)

"Windows iestart" 프로그램은 "C:\Program Files\iestart" 폴더에 파일을 생성하며, Windows 시작시 iestart.exe, iestartagent.exe 2개의 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.

 

1. C:\Program Files\iestart\iestart.exe

Windows 시작시 자동 실행된 iestart.exe 파일은 웹 브라우저의 주소 표시줄 영역에 일명 "주소줄 도우미" 광고를 생성하여, 포털 사이트, 쇼핑몰, 소셜커머스, 웹하드, 게임포털, 은행 바로가기 아이콘을 표시합니다.

 

이 중에서 일부 상업적인 웹 사이트의 경우 특정 광고 코드(cl.ilikeclick.com 등)가 추가되어 연결이 이루어집니다.

 

  검색 도우미 : IEKeyword (2010.10.3)

 

  검색 도우미 : Window LinkDoumi (2012.11.8)

 

해당 광고 방식은 기존의 일부 검색 도우미 프로그램 등에서도 확인되었으므로 참고하시기 바랍니다.

 

2. C:\Program Files\iestart\iestartv.exe

시스템 시작시 자동 실행되는 iestartagent.exe 파일을 통해 추가적으로 실행되어 메모리에 상주하게 되는 iestartv.exe 파일은 인터넷 검색을 통해 웹 사이트 접속 후 창을 종료하는 시점에서 자동으로 생성되는 후팝업 광고를 생성하는 동작을 합니다.

 

이 과정에서 특정 광고 코드(click.interich.com)가 추가되어 연결이 이루어지는 부분을 확인할 수 있습니다.

 

3. C:\Program Files\iestart\iestartagent.exe

Windows 시작시 시작 프로그램으로 등록되어 자동 실행되는 iestartagent.exe 프로세스는 iestartv.exe 프로세스를 추가로 실행하는 기능을 수행합니다.

특히 광고 기능을 수행하는 iestart.exe, iestartv.exe 2개의 프로세스가 사용자에 의해 종료되는 동작이 발생할 경우 자동으로 복구를 시켜주는 프로세스 보호 기능을 수행합니다.

 

그러므로 "Windows iestart" 프로그램 삭제시에는 Windows 작업 관리자를 실행하여 "① iestartagent.exe → ② iestart.exe + iestartv.exe" 프로세스 순서로 종료를 하시기 바랍니다.

 

4. 브라우저 도우미 개체(BHO)

[추가 기능 관리 : 도구 모음 및 확장 프로그램]

 

이름 : iestt

게시자 : SIAD

유형 : 브라우저 도우미 개체

CLSID : {CC01FC6C-A4F1-42C2-814B-606F66026AB0}

파일 : c:\Program Files\iestart\iestt.dll

 

이름 : iestartvb Class

게시자 : SIAD

유형 : 브라우저 도우미 개체

CLSID : {F8D523EB-98BB-4094-8D55-FF494D7DE323}

파일 : C:\Program Files\iestart\iestartvb.dll

 

"Windows iestart" 프로그램이 설치된 환경에서는 2개의 브라우저 도우미 개체(BHO) 관련 파일(iestartvb.dll, iestt.dll)이 등록되지만, 실제 "iestt" 브라우저 도우미 개체(BHO)만 활성화된 상태로 동작하고 있습니다.

이를 통하여 사용자가 웹 브라우저를 실행할 경우 특정 서버와 통신하는 동작을 확인할 수 있습니다.

이를 통해 특정 광고 정보를 받아 사용자가 인터넷을 이용하여 특정 웹 사이트 접속 등 조건에 맞는 동작이 발생할 경우 수익을 창출할 것으로 보입니다.(※ 관련 코드는 기존의 WinSoft, Overtls 악성코드와 유사한 것으로 보입니다.)

 

그러므로 브라우저 도우미 개체(BHO)로 등록된 iestartvb.dll, iestt.dll 파일의 기능을 중지하기 위해서는 웹 브라우저의 추가 기능 관리에 등록된 "iestt", "iestartvb Class" 항목을 선택하여 "사용 안 함"으로 변경하시기 바랍니다.

 

5. 프로그램 삭제

프로그램 삭제시에는 Internet Explorer 웹 브라우저 종료 및 Windows 작업 관리자에서 Windows iestart 관련 프로세스(iestart.exe, iestartagent.exe, iestartv.exe)를 종료한 후 제어판에 등록된 "Windows iestart" 삭제 항목을 이용하여 삭제할 수 있습니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\iestart
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - iestart = C:\Program Files\iestart\iestart.exe
 - iestartagent = C:\Program Files\iestart\iestartagent.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CC01FC6C-A4F1-42C2-814B-606F66026AB0}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F8D523EB-98BB-4094-8D55-FF494D7DE323}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\iestt.iestt
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{A4369E1D-BA9E-430C-846F-E1E24B9FA918}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{84F6A664-0386-49B9-925D-639A582039A4}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{F8D523EB-98BB-4094-8D55-FF494D7DE323}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\iestart

 

해당 프로그램은 공개된 공식 웹 사이트가 존재하지 않는 신뢰할 수 없는 프로그램이며, 인터넷 이용시 원치 않는 광고창 생성 및 사용자 몰래 추가적인 광고 코드 삽입 동작이 있을 수 있으므로 주의하시기 바랍니다.

728x90
반응형