본문 바로가기

벌새::Analysis

검색 도우미 : IProtect

시스템 시작 및 인터넷 이용시 추가적인 광고창이 생성되는 검색 도우미 IProtect 프로그램에 대해 살펴보도록 하겠습니다.

 

해당 프로그램의 설치 파일(MD5 : 3bfe33e218536762b93b717877e87129)에 대하여 AhnLab V3 보안 제품에서는 PUP/Win32.Helper (VT : 3/46) 진단명으로 진단되고 있습니다.

 

  <2011년 관련 정보> 검색 도우미 : Window network SafeTerra + TSolution (2011.10.17) 외 3종

 

  <2012년 관련 정보> 검색 도우미 : GGreenSvc2 (2012.12.6) 외 4종

 

  검색 도우미 : InternetSafeZone (2013.1.22)

 

  국내 악성코드 : KeywordYac (2013.2.26)

 

또한 해당 프로그램은 기존부터 다양한 이름으로 배포가 이루어지고 있으므로 참고하시기 바랍니다.

  • h**p://down.search***.co.kr/IProtectInstall_1_172.exe (MD5 : 98ceca0dbdbb42c861a10523cbd72cea)
  • h**p://down.search***.co.kr/IProtectInstall_2_173.exe (MD5 : 4872891ba84505c79d2b71be05ab87f8)

프로그램 설치 과정에서는 특정 서버에서 IProtect 프로그램의 설치 파일을 다운로드하여 "C:\Documents and Settings\(사용자 계정)\Templates\IProtectInstall_2_173.exe" 파일로 생성한 후 설치가 이루어지도록 되어 있습니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Program Files\IProtect
C:\Program Files\IProtect\category.dt
C:\Program Files\IProtect\IProtect.exe :: 메모리 상주 프로세스
C:\Program Files\IProtect\IProtectUpdate.exe :: 시작 프로그램 등록 파일
C:\Program Files\IProtect\nhopen.dll
C:\Program Files\IProtect\TerraInfo.STR
C:\Program Files\IProtect\timeAdd.dll
C:\Program Files\IProtect\unins000.dat
C:\Program Files\IProtect\unins000.exe :: 프로그램 삭제 파일

 

[생성 파일 진단 정보]

 

C:\Program Files\IProtect\IProtect.exe
 - MD5 : e610053ac60d1d4bd52c8179b06371f6
 - AhnLab V3 : PUP/Win32.Helper (VT : 1/46)

 

C:\Program Files\IProtect\IProtectUpdate.exe
 - MD5 : b7b5c4f5fdc3362aa0bdf88513b2db1e
 - AhnLab V3 : PUP/Win32.Helper (VT : 1/46)

해당 프로그램은 Windows 시작시 "C:\Program Files\IProtect\IProtectUpdate.exe" 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.

 

자동 실행된 IProtectUpdate.exe 파일은 업데이트 체크 및 P2P, 메신저, 게임 리스트 정보를 체크하여 특정 응용 프로그램 동작시 광고 노출을 제한하며, IProtect.exe 파일을 로딩하여 메모리에 상주시킵니다.

 

1. OpenPot 또는 오픈매치(OpenMatch) 광고 기능 : nhopen.dll, timeAdd.dll 파일

프로그램이 설치된 환경에서 인터넷 검색을 통해 웹 사이트에 접속할 경우 추가적인 광고창을 생성하는 동작을 확인할 수 있습니다.

  <2012년 관련 정보> 제휴(스폰서) 프로그램 : Windows NCast Provide Engine (2012.12.1) 외 7종

 

  "Windows InternetSafer" 유해 차단 프로그램에 포함된 intsfad.exe 광고 파일 (2013.2.3)

 

  검색 도우미 : Windows Internet displaylink (2013.4.6)

 

해당 광고는 다양한 프로그램에 추가되어 오픈매치(OpenMatch) 제휴 코드를 추가하는 방식으로 수익을 창출하고 있는 것으로 확인되고 있습니다.

 

2. "C:\Program Files\IProtect\IProtect.exe" 파일

메모리에 상주하는 IProtect.exe 파일은 사용자가 시스템 시작시 또는 웹 브라우저 사용 종료시 사용자 검색 키워드 값을 기반으로 광고창을 자동으로 생성하는 동작을 합니다.

생성된 광고창은 특정 광고 코드(cl.ncclick.co.kr)가 추가되는 형태로 연결이 이루어지는 것을 확인할 수 있습니다.

 

3. 프로그램 삭제

프로그램 삭제시에는 Windows 작업 관리자를 실행하여 IProtect.exe 프로세스를 찾아 수동으로 종료한 후, 제어판에 등록된 "IProtect" 삭제 항목을 이용하여 삭제할 수 있습니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\IProtect
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - IProtect = C:\Program Files\IProtect\IProtectUpdate.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{3ED12C21-18E3-4401-B4DA-4D96F0565CFA}_is1

 

  개인정보 보안 솔루션 : 아이프로텍트(iProtect) (2009.11.12)

 

현재는 서비스가 종료된 것으로 확인되고 있는 아이프로텍트(iProtect) 개인정보 보안 솔루션 프로그램과 이름이 동일하며, 프로그램 이름 자체가 광고창 생성 프로그램과는 거리가 멀게 등록되어 있으므로 주의하시기 바랍니다.

  • 글잘보구 문의드려요 2013.07.23 14:45 댓글주소 수정/삭제 댓글쓰기

    안녕하세요. 울지않는벌새 블로그에서 애드정보 등을 항상 잘보고 있습니다.

    그런데 다름이 아니고 글내용 중에서,iProtect 가,

    "특정 응용 프로그램 동작시 광고 노출을 제한하며.."

    라고 하셨는데, 이말이 다른 팝업광고가 뜨려고하면 그 광고가 뜨는걸 막고, iProtect 가 주관하는 광고창을 띄운다는 말씀이신가요?

    • 아마 글에서 언급한 특정 응용 프로그램이라는 말은 정상적인 웹 사이트(금융권 등)에서 제공하는 프로그램 동작시 광고 노출을 제한하는 것으로 기억합니다.

      이유는 모든 웹 사이트에서 광고 노출이 발생할 경우 광고 업체가 느끼는 압박이 있나 봅니다?

      나중에 유사 변종 프로그램을 확인할 때 다시 확인해서 공개하겠습니다. 좀 지난 글이라서 기억이 가물합니다.

    • 재문의^^ 2013.07.23 21:16 댓글주소 수정/삭제

      아, 광고노출을 제한한다는 말씀이... 타 광고를 제한한다는게 아니라, iProtect 프로그램의 자기광고를 안띄운다는 말씀이시죠?

    • 네~ 그런 것으로 기억하고 있습니다.

  • 질문좀 2013.07.30 21:29 댓글주소 수정/삭제 댓글쓰기

    제어판엔 iprotect가 안뜨거든요... 제어판에 보이는 에드웨어들은 다 지워서
    지금 제어판엔 거의 기본프로그램들밖에 안남았어요.
    그런데도 광고창이 계속 떠서 장치관리자 실행해서 인터넷 켜면 뭐가 실행되는지 봤더니 광고창뜰때 IProtect(16비트)이게 실행되더라구요
    근데 이게 제어판엔 없는데 어떻게 제거해야하는지 궁금해요
    간절합니다 답변 부탁드릴께요

    • 우선 Windows 작업 관리자를 실행하여 IProtect.exe 프로세스가 종료하시기 바랍니다.

      그 후 C:\Program Files\IProtect\unins000.exe 파일을 찾아 직접 실행하시면 프로그램 삭제가 진행됩니다.

      만약 삭제가 안되시면 프로세스 종료 후 생성 폴더(파일), 레지스트리 정보를 바탕으로 수동으로 삭제하시기 바랍니다.

      요즘보니 제어판에 의도적(?)으로 삭제 항목을 등록하지 않는가 봅니다. 다른 분도 그렇든데..

  • 덕분에 IProtect을 직접 찾아 제거 했습니다.제어판에는 없더라고요.광고창 때문에 더운 여름 짜증이 잔뜩나 있었는데 자세한 설명 덕에 지웠어요.컴맹에 가까워 저 중에 이해하는 것은 거의 없지만 감으로 해냈어요.ㅠ_ㅠ 복 받으실거예요.그런데 C:\Program 수상해 보이는게 많네요.IProtect 얘도 c:\Program에서 지운 거 거든요.검색해서 지워야 할까요?

    • 기본적으로 제어판에 삭제 항목을 등록하지만 일부 프로그램의 경우에는 고의적(업체에서는 버그라고 주장)으로 등록하지 않는 방식으로 자신을 숨기는 경우가 있습니다.

      말씀처럼 프로그램 폴더 내부 등에서 수상한 폴더나 파일이 발견되면 이름을 기반으로 검색하여 삭제를 결정해 보시기 바랍니다.

  • 올려주신 글 잘 봤습니다.
    저도 이러한 현상때문에 해결책을 찾고 있는데 추가 문의드립니다.

    우선 제어판에서도 확인 안되고 프로세스에서도 IProtect.exe 가 확인되지 않습니다.
    파일 검색으로 unins000.exe 를 찾았더니 실행하겠냐고 하길래 실행했더니 Delfono-X86 을 삭제하겠냐고 나옵니다..
    일단 과감하게 삭제를 하긴 했는데...

    어떠한 관계가 있는 것일까요?
    저도 문제가 해결되었으면 좋겠지만 너무 아는 것이 없네요..

    • Delfono-X86 프로그램은 정상적인 다른 프로그램이며, IProtect에서 사용하는 삭제 파일명과 동일하기 때문에 아마 잘못 삭제하신 것 같습니다.

      이 글에서 언급하는 C: \ Program Files \ IProtect 폴더 내의 unins000.exe 파일이 아닌 경우에는 실행하지 마시기 바랍니다.

    • 이미 삭제했는데..ㅋㅋ
      자동으로 설치되는 프로그램이겠죠?
      사용하는데 문제는 없는거 보면요..
      해답을 찾을 수 있을까 고민햇는데 전 아직 못찾고 있네요.

    • 이미 삭제했는데..ㅋㅋ
      자동으로 설치되는 프로그램이겠죠?
      사용하는데 문제는 없는거 보면요..
      해답을 찾을 수 있을까 고민햇는데 전 아직 못찾고 있네요.