인터넷 검색을 통해 웹 사이트에 접속시 웹 브라우저 상단에 광고바를 생성하는 검색 도우미 "Enumerate Top Search - GT" 프로그램에 대해 살펴보도록 하겠습니다.
해당 프로그램의 설치 파일(MD5 : fc6bf6b3fad9418eb31a85a3ea40a913)에 대하여 AhnLab V3 보안 제품에서는 Win-PUP/Helper.Enumerate.149121 (VT : 17/46) 진단명으로 진단되고 있습니다.
▷ 검색 도우미 : Enumerate Top Search - gt (2012.7.27)
또한 기존에 동일한 이름으로 배포되었던 "Enumerate Top Search - gt" 검색 도우미 프로그램의 변종이므로 참고하시기 바랍니다.
프로그램 설치 과정에서는 특정 서버로부터 설치 파일(MD5 : 4bb6689517dfca6d3d45196f5b276a17)을 다운로드하여 진행되며, 다운로드된 파일은 "C:\Documents and Settings\(사용자 계정)\Application Data\Enumerate_gt7_hinst.exe" 형태로 생성되어 설치 후 자가 삭제되도록 구성되어 있습니다.
참고로 해당 파일에 대하여 AhnLab V3 보안 제품에서는 PUP/Win32.Enumerate (VT : 29/46) 진단명으로 진단되고 있습니다.
또한 프로그램 설치 이후 생성된 "C:\Program Files\enumerate\gt\enumerate_gtu.exe" 파일은 추가 다운로드를 통해 "C:\Documents and Settings\(사용자 계정)\Application Data\Enumerate_gt7_setup_20130417.exe" 파일(MD5 : ea2d6409b33295b0ca04c728481bdefc)을 생성하여 업데이트를 진행한 후 자가 삭제 처리됩니다.
참고로 해당 파일에 대하여 AhnLab V3 보안 제품에서는 PUP/Win32.Enumerate (VT : 26/46) 진단명으로 진단되고 있습니다.
C:\Program Files\enumerate
C:\Program Files\enumerate\gt
C:\Program Files\enumerate\gt\enumerate_gt.dll :: BHO 등록 파일
C:\Program Files\enumerate\gt\enumerate_gtu.exe :: 시작 프로그램(Enumerate_gt) 등록 파일
C:\Program Files\enumerate\gt\enumst.exe :: 시작 프로그램(Enumerate_gtst) 등록 파일
C:\Program Files\enumerate\gt\uninstall.exe :: 프로그램 삭제 파일
C:\Program Files\enumerate\gt\enumerate_gt.dll
- MD5 : ce64ddfb7f903287e0f75b852814ce43
- AhnLab V3 : PUP/Win32.Enumerate (VT : 12/46)
C:\Program Files\enumerate\gt\enumerate_gtu.exe
- MD5 : 9846cb7607d6a5c27529b69e74fabbc2
- AhnLab V3 : PUP/Win32.Enumerate (VT : 19/46)
C:\Program Files\enumerate\gt\enumst.exe
- MD5 : dccb74175bb2af3294f5a83ba1f42480
- AhnLab V3 : PUP/Win32.Enumerate (VT : 26/46)
C:\Program Files\enumerate\gt\uninstall.exe
- MD5 : 50374f172200a3f25ff596d92de2581b
- AhnLab V3 : PUP/Win32.Enumerate (VT : 11/46)
해당 프로그램은 "C:\Program Files\enumerate\gt" 폴더에 파일을 생성하며, Windows 시작시 ["C:\Program Files\enumerate\gt\enumerate_gtu.exe" Runcmd], ["C:\Program Files\enumerate\gt\enumst.exe" Runcmd] 2개의 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.
자동 실행된 enumerate_gtu.exe 파일은 프로그램 업데이트 체크를 수행하며, 추가적으로 등록된 enumst.exe 파일은 또 다른 업데이트 정보를 체크하는 것을 확인할 수 있습니다.
▷ 검색 도우미 : Revealing Top Search (2013.1.29)
▷ 검색 도우미 : OpenSearchGT (2013.4.13)
특히 enumst.exe 파일은 기존의 "Revealing Top Search" 검색 도우미 프로그램과 유사하게 특정 시점에서 업데이트 창 생성(revealingdc.exe)을 통해 추가적인 수익성 프로그램의 설치를 유도할 가능성이 존재합니다.
프로그램의 광고 기능을 살펴보면 사용자가 입력한 검색 키워드 값을 기반으로 웹 브라우저 상단에 광고바를 생성하는 동작을 확인할 수 있습니다.
이름 : Enumerate Top Search - GT
유형 : 브라우저 도우미 개체
CLSID : {D128F178-5FD2-4DF6-8BE9-D001B5382AB5}
파일 : C:\Program Files\enumerate\gt\enumerate_gt.dll
해당 광고 동작은 웹 브라우저 실행시 enumerate_gt.dll 파일을 브라우저 도우미 개체(BHO)로 등록하여 키워드 감시를 통해 광고바를 생성하므로, 광고 동작 중지 및 프로그램 삭제시에는 웹 브라우저의 추가 기능 관리에 등록된 "Enumerate Top Search - GT" 항목을 선택하여 "사용 안 함"으로 변경하시기 바랍니다.
그 외에도 인터넷 검색 시도시 iexplore.exe 프로세스 하위에 enumerate_gtu.exe 프로세스를 실행하여 특정 연결을 시도하는 동작을 확인할 수 있습니다.
프로그램 삭제시에는 Internet Explorer 웹 브라우저를 종료한 상태에서 제어판에 등록된 "Enumerate Top Search - gt" 삭제 항목을 이용하여 삭제할 수 있습니다.
HKEY_CURRENT_USER\Software\enumerate_gt
HKEY_CURRENT_USER\Software\kcodePlugins
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- Enumerate_gt = "C:\Program Files\enumerate\gt\enumerate_gtu.exe" Runcmd
- Enumerate_gtst = "C:\Program Files\enumerate\gt\enumst.exe" Runcmd
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\{19624B86-FAD9-4D87-915B-597F364B9E0B}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\enumerate_gt_enterjoy.DLL
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D128F178-5FD2-4DF6-8BE9-D001B5382AB5}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{4D9FA3A9-FC2F-4440-A2BB-7D3B39CFB21F}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{EF48A109-D45A-4975-B5D3-04C102F256A8}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\enumerate_gt_enterjoy.enumerate_gt_en.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\enumerate_gt_enterjoy.enumerate_gt_ente
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{75AE2228-E06B-4955-8C3F-BF0D5636DC50}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D128F178-5FD2-4DF6-8BE9-D001B5382AB5}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Enumerate_gt uninstall
"Enumerate Top Search - GT" 프로그램은 기본적으로 광고바 생성 기능을 수행하지만, 차후 시스템 시작시 원치 않는 창을 통해 추가적인 수익성 프로그램 설치 행위가 있을 수 있으므로 주의하시기 바랍니다.