울지않는벌새 : Security, Movie & Society

검색 도우미 : Revealing Top Search App

벌새::Analysis

웹 브라우저 상단에 광고바 생성(추정) 및 시스템 시작시 업데이트 창 생성을 통해 추가적인 수익성 프로그램들의 설치를 유도하는 검색 도우미 "Revealing Top Search App" 프로그램에 대해 살펴보도록 하겠습니다.

 

해당 프로그램의 설치 파일(MD5 : 11f31ed0373d3166a320f40f31025838)에 대하여 AhnLab V3 보안 제품에서는 PUP/Win32.Enumerate (VT : 10/46) 진단명으로 진단되고 있습니다.

 

  검색 도우미 : Revealing Top Search (2013.1.29)

 

이 프로그램은 기존의 유사한 기능을 가진 "Revealing Top Search" 검색 도우미 프로그램의 변형된 버전이므로 참고하시기 바랍니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Documents and Settings\(사용자 계정)\Application Data\revealer
C:\Documents and Settings\(사용자 계정)\Application Data\revealer\revealer.exe :: 시작 프로그램(revealerApp) 등록 파일
C:\Documents and Settings\(사용자 계정)\Application Data\revealer\revealertop.dll :: BHO 등록 파일
C:\Documents and Settings\(사용자 계정)\Application Data\revealer\revealerul.exe :: 시작 프로그램(revealerApps) 등록 파일
C:\Documents and Settings\(사용자 계정)\Application Data\revealer\uninstall.exe :: 프로그램 삭제 파일

 

[생성 파일 진단 정보]

 

C:\Documents and Settings\(사용자 계정)\Application Data\revealer\uninstall.exe
 - MD5 : c14a1cf1a72061678bee13392a569cd0
 - AhnLab V3 : PUP/Win32.Enumerate (VT : 5/47)

해당 프로그램은 "C:\Documents and Settings\(사용자 계정)\Application Data\revealer" 폴더에 파일을 생성하며, Windows 시작시 다음의 2개의 파일을 시작 프로그램으로 등록하여 자동 실행하도록 구성되어 있습니다.

 

1. ["C:\Documents and Settings\(사용자 계정)\Application Data\revealer\revealer.exe" Runcmd] 시작 프로그램

"revealerApp" 시작 프로그램은 특정 서버에서 프로그램 업데이트 체크를 한 후 자동으로 종료됩니다.

 

2. "C:\Documents and Settings\(사용자 계정)\Application Data\revealer\revealerul.exe" 시작 프로그램

"revealerApps" 시작 프로그램은 특정 서버에서 제휴(스폰서) 프로그램 정보를 체크하여 "Revealing Top Search App" 업데이트 창 생성 행위를 수행합니다.

생성된 업데이트 창에서는 Revealing 업데이트(필수)와 함께 다수의 수익성 프로그램들을 등록한 "권장 프로그램"이 포함되어 있습니다.

 

해당 업데이트 창 종료를 위해 우측 상단의 "닫기(X)" 버튼을 클릭할 경우 "프로그램 업데이트 후 종료합니다."라는 메시지를 통해 사용자가 실수로 "예(Y)"를 클릭할 경우 등록된 수익성 프로그램들이 백그라운드 방식으로 자동 설치되므로 매우 주의하시기 바랍니다.

 

3. "C:\Documents and Settings\(사용자 계정)\Application Data\revealer\revealertop.dll" 브라우저 도우미 개체(BHO) 파일

[추가 기능 관리 : 도구 모음 및 확장 프로그램]

 

이름 : Revealing Top Search App

유형 : 브라우저 도우미 개체

CLSID : {A1B22260-52C2-47C1-B497-1971BE481DC1}

파일 : C:\Documents and Settings\(사용자 계정)\Application Data\revealer\revealertop.dll

 

해당 프로그램은 웹 브라우저 동작시 revealertop.dll 파일을 브라우저 도우미 개체(BHO)로 등록하여 인터넷 검색을 이용하는 과정에서 웹 브라우저 상단에 광고바가 생성될 것으로 추정됩니다.

 

그러므로 광고바 생성 중지를 위해서는 웹 브라우저의 추가 기능 관리에 등록된 "Revealing Top Search App" 항목을 선택하여 "사용 안 함"으로 변경하시기 바랍니다.

 

4. 프로그램 삭제 정보

프로그램 삭제시에는 Internet Explorer 웹 브라우저를 종료한 상태에서 제어판에 등록된 "Revealing Top Search App" 삭제 항목을 이용하여 삭제할 수 있습니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\featiel
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - revealerApp = "C:\Documents and Settings\(사용자 계정)\Application Data\revealer\revealer.exe" Runcmd
 - revealerApps = C:\Documents and Settings\(사용자 계정)\Application Data\revealer\revealerul.exe
HKEY_CURRENT_USER\Software\revealerapp
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\{50FB8DDF-1F59-4AF8-8247-B68AB9FEBF6D}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\revealertop.DLL
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A1B22260-52C2-47C1-B497-1971BE481DC1}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{FF902450-1074-4D40-9710-5FCEEC5EDCE2}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\revealertop.revealertopSO
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\revealertop.revealertopSO.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{91B63983-9112-4A1F-97C1-0C84EBFB6C61}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{A1B22260-52C2-47C1-B497-1971BE481DC1}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
revealerApp_uninstall

 

5. 권장 프로그램 : 제휴(스폰서) 프로그램 정보

현재 테스트 시점에서 등록된 프로그램은 중복 및 다운로드 불가 제외하고 총 16종이 포함되어 있습니다.

 

(1) 검색 도우미 : Enumerate Top Search - GT (2013.4.24)

  • h**p://down.enumst***.co.kr/download/enumerate_gt_epinst10.exe (MD5 : 9a7c9a8ab07bc0a39a90062605d434b5)
  • h**p://down.enumst****.co.kr/download/Enumerate_gt_utiland_hinst.exe (MD5 : 743ce841b19e4a9ba1493b4adb2e7587) - AhnLab V3 : PUP/Win32.Enumerate (VT : 15/47)

해당 프로그램은 배포 파일(enumerate_gt_epinst10.exe) 실행시 설치 파일(Enumerate_gt_utiland_hinst.exe)을 추가 다운로드하여 설치가 진행됩니다.

 

(2) 검색 도우미 : Topspace5 Windows IE Platform (2013.5.24)

  • h**p://download.***space.co.kr/setup-topspace5.exe (MD5 : 45e5f9e6503f198d89740bb9e000c066)

(3) 다운로드 도우미 : 스피드다운로드(SpeedDownload) - Windows SpeedDownload (2012.11.16)

  • h**p://down.spe**down****.co.kr/down/SpeedDownload_srank001.exe (MD5 : e227f157244fa4c641b128048b240655) - AhnLab V3 : PUP/Win32.SpeedDownload (VT : 15/47)

해당 프로그램이 설치된 환경에서는 특정 시점에서 추가적인 수익성 프로그램 설치 유도 행위가 존재할 수 있습니다.

 

(4) 검색 도우미 : Winsearch - Winsearchkhs (2013.6.3)

  • h**p://121.**.93.**/down/winsearchksinst.exe (MD5 : 7e2ffd3b9ab21bd5fa85a6c3b6b6f62f) - Kaspersky : Trojan-Downloader.Win32.Agent.xtrx (VT : 23/47)

해당 프로그램은 "열린 주소창 검색" 결과를 생성하는 기존의 "검색 도우미 : Winsearch - Winsearchone (2013.5.1)" 프로그램의 변종 프로그램이며, 광고 생성 및 추가적인 다운로드 기능이 포함되어 있습니다.

 

(5) 악성코드 제거 프로그램 : 백신시큐어(VaccineSecure) (2013.1.13)

  • h**p://down.***cine**cure.co.kr/app/partner/vaccinesecure_topbar.exe (MD5 : ef09f294ab8f828503cbfd2137e00626) - MSE : Rogue:Win32/Vakcune (VT : 35/47)

(6) 개인정보 보안 솔루션 : 인포세이브(InfoSave, Info-Save) (2013.4.8)

  • h**p://down.in**-sa**.co.kr/process/nac/InfoSave_topbar.exe (MD5 : 9d820f8f2edb0a286461e15385c64c22) - MSE : Rogue:Win32/Vakcune (VT : 29/47)

(7) 검색 도우미 : INIWebLink (2013.3.28)

  • h**p://file.***get***word.co.kr/app/iniweblink/INIWebLinkSetup_P026_1.exe (MD5 : ae2e543cfbf1a00f46d4845a7b6b20c4)

해당 프로그램은 "타켓 키워드(Target Keyword)"라는 검색 도우미 프로그램으로 많이 배포되고 있습니다.

 

(8) 검색 도우미 : Microsoft AD WS (2013.5.26)

  • h**p://down.****search.co.kr/dream/d1/WingDSetup.exe (MD5 : ddc8d0e8fe5d6bec3b98637122ac1155)

해당 프로그램의 배포 이름은 "Wing Search"로 되어 있으며, 실제 설치된 프로그램은 마이크로소프트(Microsoft) 관련 프로그램처럼 위장된 형태입니다.

 

(9) 검색 도우미 : InternetSafeZone (2013.1.22)

  • h**p://dl.keyword****.co.kr/dl/ISZone/ISZoneSetup_93_hide.exe (MD5 : 1333bc23aa4d05129b0b7ae4d508263a) - AhnLab V3 : PUP/Win32.Helper (VT : 3/47)

(10) 검색 도우미 : Windows SRankingPopView (2013.5.30)

  • h**p://down.sran****.co.kr/file/SRankingPopView_06_hinst.exe (MD5 : 8a5f1e570741f76350689f427ef626ab)

해당 프로그램은 "스타일랭킹"으로 배포시 등록되어 있으며, 자동으로 팝업창 생성 및 추가적인 수익성 프로그램 설치 기능을 가지고 있습니다.

 

(11) 제휴(스폰서) 프로그램 : 클린메모리(CleanMemory) (2013.6.1)

  • h**p://down.**ean**mory.net/file/CleanMemory_hinst.exe (MD5 : 30dd0a2709784ffa2df269ec6b4828d8) - Hauri ViRobot : Adware.Agent.348113 (VT : 6/47)

해당 프로그램은 메모리 최적화 기능을 제공하는 프로그램이지만, 특정 시점에서 추가적인 수익성 프로그램 설치 유도 행위가 존재할 것으로 추정됩니다.

 

(12) 검색 도우미 : Windows kwinstart (2013.5.27)

  • h**p://down.**instart.com/setup_jamong_silent.exe (MD5 : ecc408f35aef9c81b11e6eaf7b448482)
  • h**p://down.kwin**.com/kwso1/ver3p/setup.exe (MD5 : 40cb6730538af09af16b96220d1cd7fe)

해당 프로그램은 "kwinstart Company"라는 배포 이름으로 등록되어 있으며, 기존의 "검색 도우미 : Windows iestart (2013.3.29)" 프로그램의 변종 프로그램으로 추정됩니다.

 

또한 설치시 추가 다운로드(setup.exe)를 통해 kwinso.dll, kwinso.exe, uninstall.exe 파일을 생성할 것으로 추정됩니다.

 

(13) 검색 도우미 : OpenSearchGT (2013.4.13)

  • h**p://down.****-search.kr/file/opensearchGT_12_hinst.exe (MD5 : b09a750e66911acbeeda26560e7e7b09) - AhnLab V3 : PUP/Win32.Enumerate (VT : 10/47)

해당 프로그램은 광고 행위 이외에 특정 시점에서 추가적인 수익성 프로그램 설치 유도 행위가 존재할 가능성이 있습니다.

 

(14) 검색 도우미 : 윈도우즈탭(WindowsTab) (2012.4.12)

  • h**p://file.m*u*.co.kr/app/windowstab/enterjoy1/ins.exe (MD5 : c6c2bc1ec2dbb9f966d8b4f5e0f56aa6)

(15) 윈도우뷰콘(Windowviewcon)에 추가된 Windows purchase helper 검색 도우미 프로그램 주의 (2013.4.14)

  • h**p://file.m*u*.co.kr/app/windowviewcon/WindowviewconSetup_enterjoy1.exe (MD5 : 79f1392889ad58f59f5cfddf76bbde22) - AhnLab V3 : PUP/Win32.WindowViewCon (VT : 3/47)

(16) 검색 도우미 : Milkcon 1.0 (2013.5.28)

  • h**p://www.milk***.co.kr/download/installer/Milkcon_installer_v01_32_utilq.exe (MD5 : cd525fe288a60d74086156484f9d2817)

해당 프로그램은 바탕 화면에 다양한 바로가기 아이콘을 생성하는 프로그램입니다.

 

이상과 같이 사용자의 부주의한 동의를 얻어 설치되는 다수의 수익성 프로그램들로 인하여 PC를 이용할 수 없을 정도로 불편을 유발하게 되므로, 업데이트 창 생성 동작시 주의하여 종료한 후 "Revealing Top Search App" 프로그램을 찾아 삭제하시기 바랍니다.