울지않는벌새 : Security, Movie & Society

검색 도우미 : IProtect

벌새::Analysis

시스템 시작 및 인터넷 이용시 추가적인 광고창이 생성되는 검색 도우미 IProtect 프로그램에 대해 살펴보도록 하겠습니다.

 

해당 프로그램의 설치 파일(MD5 : 3bfe33e218536762b93b717877e87129)에 대하여 AhnLab V3 보안 제품에서는 PUP/Win32.Helper (VT : 3/46) 진단명으로 진단되고 있습니다.

 

  <2011년 관련 정보> 검색 도우미 : Window network SafeTerra + TSolution (2011.10.17) 외 3종

 

  <2012년 관련 정보> 검색 도우미 : GGreenSvc2 (2012.12.6) 외 4종

 

  검색 도우미 : InternetSafeZone (2013.1.22)

 

  국내 악성코드 : KeywordYac (2013.2.26)

 

또한 해당 프로그램은 기존부터 다양한 이름으로 배포가 이루어지고 있으므로 참고하시기 바랍니다.

  • h**p://down.search***.co.kr/IProtectInstall_1_172.exe (MD5 : 98ceca0dbdbb42c861a10523cbd72cea)
  • h**p://down.search***.co.kr/IProtectInstall_2_173.exe (MD5 : 4872891ba84505c79d2b71be05ab87f8)

프로그램 설치 과정에서는 특정 서버에서 IProtect 프로그램의 설치 파일을 다운로드하여 "C:\Documents and Settings\(사용자 계정)\Templates\IProtectInstall_2_173.exe" 파일로 생성한 후 설치가 이루어지도록 되어 있습니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Program Files\IProtect
C:\Program Files\IProtect\category.dt
C:\Program Files\IProtect\IProtect.exe :: 메모리 상주 프로세스
C:\Program Files\IProtect\IProtectUpdate.exe :: 시작 프로그램 등록 파일
C:\Program Files\IProtect\nhopen.dll
C:\Program Files\IProtect\TerraInfo.STR
C:\Program Files\IProtect\timeAdd.dll
C:\Program Files\IProtect\unins000.dat
C:\Program Files\IProtect\unins000.exe :: 프로그램 삭제 파일

 

[생성 파일 진단 정보]

 

C:\Program Files\IProtect\IProtect.exe
 - MD5 : e610053ac60d1d4bd52c8179b06371f6
 - AhnLab V3 : PUP/Win32.Helper (VT : 1/46)

 

C:\Program Files\IProtect\IProtectUpdate.exe
 - MD5 : b7b5c4f5fdc3362aa0bdf88513b2db1e
 - AhnLab V3 : PUP/Win32.Helper (VT : 1/46)

해당 프로그램은 Windows 시작시 "C:\Program Files\IProtect\IProtectUpdate.exe" 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.

 

자동 실행된 IProtectUpdate.exe 파일은 업데이트 체크 및 P2P, 메신저, 게임 리스트 정보를 체크하여 특정 응용 프로그램 동작시 광고 노출을 제한하며, IProtect.exe 파일을 로딩하여 메모리에 상주시킵니다.

 

1. OpenPot 또는 오픈매치(OpenMatch) 광고 기능 : nhopen.dll, timeAdd.dll 파일

프로그램이 설치된 환경에서 인터넷 검색을 통해 웹 사이트에 접속할 경우 추가적인 광고창을 생성하는 동작을 확인할 수 있습니다.

  <2012년 관련 정보> 제휴(스폰서) 프로그램 : Windows NCast Provide Engine (2012.12.1) 외 7종

 

  "Windows InternetSafer" 유해 차단 프로그램에 포함된 intsfad.exe 광고 파일 (2013.2.3)

 

  검색 도우미 : Windows Internet displaylink (2013.4.6)

 

해당 광고는 다양한 프로그램에 추가되어 오픈매치(OpenMatch) 제휴 코드를 추가하는 방식으로 수익을 창출하고 있는 것으로 확인되고 있습니다.

 

2. "C:\Program Files\IProtect\IProtect.exe" 파일

메모리에 상주하는 IProtect.exe 파일은 사용자가 시스템 시작시 또는 웹 브라우저 사용 종료시 사용자 검색 키워드 값을 기반으로 광고창을 자동으로 생성하는 동작을 합니다.

생성된 광고창은 특정 광고 코드(cl.ncclick.co.kr)가 추가되는 형태로 연결이 이루어지는 것을 확인할 수 있습니다.

 

3. 프로그램 삭제

프로그램 삭제시에는 Windows 작업 관리자를 실행하여 IProtect.exe 프로세스를 찾아 수동으로 종료한 후, 제어판에 등록된 "IProtect" 삭제 항목을 이용하여 삭제할 수 있습니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\IProtect
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - IProtect = C:\Program Files\IProtect\IProtectUpdate.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
{3ED12C21-18E3-4401-B4DA-4D96F0565CFA}_is1

 

  개인정보 보안 솔루션 : 아이프로텍트(iProtect) (2009.11.12)

 

현재는 서비스가 종료된 것으로 확인되고 있는 아이프로텍트(iProtect) 개인정보 보안 솔루션 프로그램과 이름이 동일하며, 프로그램 이름 자체가 광고창 생성 프로그램과는 거리가 멀게 등록되어 있으므로 주의하시기 바랍니다.