시스템 시작 및 인터넷 이용시 추가적인 광고창이 생성되는 검색 도우미 IProtect 프로그램에 대해 살펴보도록 하겠습니다.
해당 프로그램의 설치 파일(MD5 : 3bfe33e218536762b93b717877e87129)에 대하여 AhnLab V3 보안 제품에서는 PUP/Win32.Helper (VT : 3/46) 진단명으로 진단되고 있습니다.
▶ <2011년 관련 정보> 검색 도우미 : Window network SafeTerra + TSolution (2011.10.17) 외 3종
▶ <2012년 관련 정보> 검색 도우미 : GGreenSvc2 (2012.12.6) 외 4종
▷ 검색 도우미 : InternetSafeZone (2013.1.22)
▷ 국내 악성코드 : KeywordYac (2013.2.26)
또한 해당 프로그램은 기존부터 다양한 이름으로 배포가 이루어지고 있으므로 참고하시기 바랍니다.
- h**p://down.search***.co.kr/IProtectInstall_1_172.exe (MD5 : 98ceca0dbdbb42c861a10523cbd72cea)
- h**p://down.search***.co.kr/IProtectInstall_2_173.exe (MD5 : 4872891ba84505c79d2b71be05ab87f8)
프로그램 설치 과정에서는 특정 서버에서 IProtect 프로그램의 설치 파일을 다운로드하여 "C:\Documents and Settings\(사용자 계정)\Templates\IProtectInstall_2_173.exe" 파일로 생성한 후 설치가 이루어지도록 되어 있습니다.
C:\Program Files\IProtect
C:\Program Files\IProtect\category.dt
C:\Program Files\IProtect\IProtect.exe :: 메모리 상주 프로세스
C:\Program Files\IProtect\IProtectUpdate.exe :: 시작 프로그램 등록 파일
C:\Program Files\IProtect\nhopen.dll
C:\Program Files\IProtect\TerraInfo.STR
C:\Program Files\IProtect\timeAdd.dll
C:\Program Files\IProtect\unins000.dat
C:\Program Files\IProtect\unins000.exe :: 프로그램 삭제 파일
C:\Program Files\IProtect\IProtect.exe
- MD5 : e610053ac60d1d4bd52c8179b06371f6
- AhnLab V3 : PUP/Win32.Helper (VT : 1/46)
C:\Program Files\IProtect\IProtectUpdate.exe
- MD5 : b7b5c4f5fdc3362aa0bdf88513b2db1e
- AhnLab V3 : PUP/Win32.Helper (VT : 1/46)
해당 프로그램은 Windows 시작시 "C:\Program Files\IProtect\IProtectUpdate.exe" 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.
자동 실행된 IProtectUpdate.exe 파일은 업데이트 체크 및 P2P, 메신저, 게임 리스트 정보를 체크하여 특정 응용 프로그램 동작시 광고 노출을 제한하며, IProtect.exe 파일을 로딩하여 메모리에 상주시킵니다.
1. OpenPot 또는 오픈매치(OpenMatch) 광고 기능 : nhopen.dll, timeAdd.dll 파일
프로그램이 설치된 환경에서 인터넷 검색을 통해 웹 사이트에 접속할 경우 추가적인 광고창을 생성하는 동작을 확인할 수 있습니다.
▶ <2012년 관련 정보> 제휴(스폰서) 프로그램 : Windows NCast Provide Engine (2012.12.1) 외 7종
▷ "Windows InternetSafer" 유해 차단 프로그램에 포함된 intsfad.exe 광고 파일 (2013.2.3)
▷ 검색 도우미 : Windows Internet displaylink (2013.4.6)
해당 광고는 다양한 프로그램에 추가되어 오픈매치(OpenMatch) 제휴 코드를 추가하는 방식으로 수익을 창출하고 있는 것으로 확인되고 있습니다.
2. "C:\Program Files\IProtect\IProtect.exe" 파일
메모리에 상주하는 IProtect.exe 파일은 사용자가 시스템 시작시 또는 웹 브라우저 사용 종료시 사용자 검색 키워드 값을 기반으로 광고창을 자동으로 생성하는 동작을 합니다.
생성된 광고창은 특정 광고 코드(cl.ncclick.co.kr)가 추가되는 형태로 연결이 이루어지는 것을 확인할 수 있습니다.
3. 프로그램 삭제
프로그램 삭제시에는 Windows 작업 관리자를 실행하여 IProtect.exe 프로세스를 찾아 수동으로 종료한 후, 제어판에 등록된 "IProtect" 삭제 항목을 이용하여 삭제할 수 있습니다.
HKEY_CURRENT_USER\Software\IProtect
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- IProtect = C:\Program Files\IProtect\IProtectUpdate.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{3ED12C21-18E3-4401-B4DA-4D96F0565CFA}_is1
▷ 개인정보 보안 솔루션 : 아이프로텍트(iProtect) (2009.11.12)
현재는 서비스가 종료된 것으로 확인되고 있는 아이프로텍트(iProtect) 개인정보 보안 솔루션 프로그램과 이름이 동일하며, 프로그램 이름 자체가 광고창 생성 프로그램과는 거리가 멀게 등록되어 있으므로 주의하시기 바랍니다.