백그라운드 방식으로 열린주소창 검색(dns3.ktguide.com)을 주기적으로 연결하는 검색 도우미 OpenSearchGT 프로그램에 대해 살펴보도록 하겠습니다.
해당 프로그램의 설치 파일(MD5 : 2da921db186780815d2df9cdc561f3f1)에 대하여 AhnLab V3 보안 제품에서는 PUP/Win32.Enumerate (VT : 6/46) 진단명으로 진단되고 있습니다.
▷ 제휴(스폰서) 프로그램 : Toppilot (2013.2.25)
확인된 배포 방식은 Toppilot 프로그램(Toppilot.exe)의 업데이트 기능을 통해 설치 파일을 다운로드하여 "C:\Documents and Settings\(사용자 계정)\Templates\opensearchGT_05_hinst.exe" 파일로 생성하여 프로그램을 설치한 후 자가 삭제 처리가 됩니다.
C:\Documents and Settings\(사용자 계정)\Application Data\opensearchGT
C:\Documents and Settings\(사용자 계정)\Application Data\opensearchGT\opensearchgt.dll :: BHO 등록 파일
C:\Documents and Settings\(사용자 계정)\Application Data\opensearchGT\opensearchgt.exe :: 시작 프로그램(opensearchGT) 등록 파일 / 메모리 상주 프로세스
C:\Documents and Settings\(사용자 계정)\Application Data\opensearchGT\opensearchgtu.exe :: 시작 프로그램(opensearchGTupdate) 등록 파일
C:\Documents and Settings\(사용자 계정)\Application Data\opensearchGT\uninstall.exe :: 프로그램 삭제 파일
C:\Documents and Settings\(사용자 계정)\Application Data\opensearchGT\uninstall.exe
- MD5 : 133e20f93497816aba9c99b11354d888
- AhnLab V3 : PUP/Win32.Enumerate (VT : 3/46)
해당 프로그램은 "C:\Documents and Settings\(사용자 계정)\Application Data\opensearchGT" 폴더에 파일을 생성하며, 프로그램 설치 완료 후 다음과 같은 동작을 수행합니다.
OpenSearchGT 프로그램 설치 후 opensearchgt.exe 프로세스를 메모리에 상주시키며, 백그라운드 방식으로 웹 브라우저(iexplore.exe)를 실행하여 주기적으로 열린주소창 검색(dns3.ktguide.com)을 시도합니다.
연결되는 정보를 살펴보면 opensearchgt.exe 파일이 특정 서버에서 정보를 받아와 열린주소창 검색(dns3.ktguide.com)으로 연결을 시도하는 모습을 확인할 수 있습니다.
이를 통해 화면 상에는 표시되지 않지만 다양한 검색 키워드 값을 이용하여 열린주소창 검색(dns3.ktguide.com)이 이루어지며, 사용자가 웹 브라우저 실행을 통해 인터넷을 이용하는 과정에서도 지속적으로 해당 동작은 이루어집니다.
이와 같은 연결 행위는 웹 브라우저 속도 저하 및 불필요한 트래픽을 유발하며, OpenSearchGT 프로그램 설치 후 시스템 재부팅 이후에는 해당 동작이 확인되는 제한적인 조건에서만 동작하는 것으로 보입니다.
이름 : OpenSearchGT SubTap
게시자 : OpenSearch GT
유형 : 브라우저 도우미 개체
CLSID : {F48F659E-88A3-4EFA-804E-833609E15AD6}
파일 : C:\Documents and Settings\(사용자 계정)\Application Data\opensearchGT\opensearchgt.dll
Internet Explorer 웹 브라우저 동작시 opensearchgt.dll 파일을 브라우저 도우미 개체(BHO)로 등록하여 열린주소창 검색(dns3.ktguide.com)을 연결하도록 되어 있는 것을 확인할 수 있습니다.
그러므로 차후 인터넷 검색 등의 동작 중 열린주소창 검색(dns3.ktguide.com)이 이루어지는 광고 동작의 중지를 위해서는 웹 브라우저의 추가 기능 관리에 등록된 "OpenSearchGT SubTap" 항목을 선택하여 "사용 안 함"으로 변경하시기 바랍니다.
1. 시작 프로그램 정보
OpenSearchGT 프로그램은 Windows 시작시 2개의 파일을 시작 프로그램으로 등록하여 자동 실행하도록 구성되어 있습니다.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- opensearchGT = "C:\Documents and Settings\(사용자 계정)\Application Data\opensearchGT\opensearchgt.exe" Runcmd
- opensearchGTupdate = C:\Documents and Settings\(사용자 계정)\Application Data\opensearchGT\opensearchgtu.exe
(1) opensearchGT 시작 프로그램 등록값
해당 등록값은 시스템 시작시 ["C:\Documents and Settings\(사용자 계정)\Application Data\opensearchGT\opensearchgt.exe" Runcmd] 파일을 시작 프로그램으로 등록하여 자동 실행되어 특정 서버에서 업데이트 체크를 한 후 종료되도록 구성되어 있습니다.
(2) opensearchGTupdate 시작 프로그램 등록값
해당 등록값은 시스템 시작시 "C:\Documents and Settings\(사용자 계정)\Application Data\opensearchGT\opensearchgtu.exe" 파일을 시작 프로그램으로 등록하여 자동 실행되어, 또 다른 서버에서 업데이트 체크를 하도록 구성되어 있습니다.
이를 통해 현재에는 확인되지 않고 있지만 이들 업데이트 체크를 통해 특정 시점에서 위와 같은 업데이트 창 생성을 통해 수익성 프로그램 설치를 유도하는 행위가 있을 수 있습니다.
2. 웹 브라우저 설정값 변경
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows
- PopupMgr = 1 :: 변경 전
- PopupMgr = no :: 변경 후
OpenSearchGT 프로그램 설치를 통해 웹 브라우저의 일부 설정값을 변경하며, 그 중에서 팝업 차단 기능을 OFF 상태로 수정하여 인터넷 이용시 팝업창이 생성되는 문제가 발생합니다.
3. 프로그램 삭제
프로그램 삭제시에는 Internet Explorer 웹 브라우저 종료 및 Windows 작업 관리자를 실행하여 opensearchgt.exe 프로세스가 존재할 경우 수동으로 종료한 후 제어판에 등록된 "opensearchGT" 삭제 항목을 이용하여 삭제할 수 있습니다.
HKEY_CURRENT_USER\Software\kilorsy
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- opensearchGT = "C:\Documents and Settings\(사용자 계정)\Application Data\opensearchGT\opensearchgt.exe" Runcmd
- opensearchGTupdate = C:\Documents and Settings\(사용자 계정)\Application Data\opensearchGT\opensearchgtu.exe
HKEY_CURRENT_USER\Software\opensearchgt
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\{E9415B89-BE1E-4738-BC92-DD356C26B1A5}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\opensearchgt_dll.DLL
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F48F659E-88A3-4EFA-804E-833609E15AD6}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{F4722AC6-E431-4E2D-8764-2A5C6921BFE3}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\opensearchgt_dll.opensearchgt_Obj
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\opensearchgt_dll.opensearchgt_Obj.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{976A91C1-F4C0-4A74-BA58-5815EC0A53CE}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{F48F659E-88A3-4EFA-804E-833609E15AD6}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\opensearchGT uninstall
해당 프로그램은 외형적으로는 크게 사용자가 프로그램 설치 여부를 제대로 인지할 수 없지만, 차후 시스템 시작시 업데이트 창을 통해 원치 않는 수익성 프로그램의 설치를 유도할 수 있으므로 주의하시기 바랍니다.
☞ 검색 도우미 : revealing (ts) (2010.7.21)
☞ 검색 도우미 : revealing_ts (2010.10.7)
☞ 검색 도우미 : Enumerate Top Search - gt (2012.7.27)
☞ 검색 도우미 : Enumerate-nm (2012.10.1)