울지않는벌새 : Security, Movie & Society

"Internet Explorer ISafesvc" 유해 사이트 차단 프로그램을 이용한 광고 주의 (2013.6.8)

벌새::Analysis

확인되지 않은 배포 파일을 통해 설치되는 아이세이프플러스(iSafePlus) 유해 사이트 차단 프로그램을 통해 인터넷 이용시 사용자가 원치 않는 광고창을 생성하는 "Internet Explorer ISafesvc" 프로그램(MD5 : a4545734138c8806a904d6a1b052b9b7)에 대해 살펴보도록 하겠습니다.

 

  "Windows InternetSafer" 유해 차단 프로그램에 포함된 intsfad.exe 광고 파일 (2013.2.3)

 

해당 프로그램은 기존의 인터넷세이퍼(InternetSafer) 유해 사이트 차단 프로그램과 유사성이 강하므로 참고하시기 바랍니다.

3. 소프트웨어의 기본 기능

 

2) 본 "소프트웨어"는 사용자 편의를 위하여, 본 "소프트웨어"의 검색창 또는 국내 주요 포탈사이트의 검색창과 인터넷브라우저의 주소창에 영문, 한글 또는 기타 언어로 키워드나 웹사이트 url 입력 시, 해당 사이트 또는 관련사이트로 연결되거나 사용자의 검색어나 사용자가 방문하려는 사이트와 관련된 다른 사이트를 팝업, 팝언더, 후팝업, 웹브라우저 탭, 바탕화면 아이콘, 즐겨찾기 아이콘, 퀵런치 아이콘등의 다양한 방식으로 보여주거나 또는 "소프트웨어" 고유의 검색 결과를 보여주는 서비스를 기본적으로 제공하는 프로그램입니다. 이 서비스는 상업적인 내용이 포함 될 수 있으며 사용자가 인터넷 정보 활용 시 사용자에게 더욱 다양한 정보를 제공하여 선택의 폭을 넓히도록 하기 위함입니다. 만약 이런 서비스를 원치 않으실 경우 본 프로그램을 설치하지 않으시거나 설치 후에도 사용자의 컴퓨터 제어판에서 언제든지 본 소프트웨어를 삭제할 수 있습니다.

iSafePlus 프로그램을 수동으로 설치를 진행할 경우에는 이용약관을 통해 필수 항목으로 광고 기능이 추가되는 부분을 확인할 수 있는 반면, 실제 프로그램 배포시에는 사용자의 부주의한 동의 과정을 통해 이용약관을 제대로 확인하지 못할 수 있다고 판단됩니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Program Files\ISafesvc
C:\Program Files\ISafesvc\category.dt
C:\Program Files\ISafesvc\gdata.dat
C:\Program Files\ISafesvc\isafe.dll
C:\Program Files\ISafesvc\isvch.exe
C:\Program Files\ISafesvc\isvex.exe :: 시작 프로그램 등록 파일 / 메모리 상주 프로세스
C:\Program Files\ISafesvc\isvloc.dat
C:\Program Files\ISafesvc\isvmgr.exe
C:\Program Files\ISafesvc\isvnk.exe :: 메모리 상주 프로세스
C:\Program Files\ISafesvc\isvsetting.exe
C:\Program Files\ISafesvc\isvsf.dll
C:\Program Files\ISafesvc\isvsrv.exe :: 서비스(Internet Security ISvrAuthService) 등록 파일
C:\Program Files\ISafesvc\isvuninst.exe :: 프로그램 삭제 파일
C:\Program Files\ISafesvc\napclt.exe :: 메모리 상주 프로세스
C:\Program Files\ISafesvc\napset.exe
C:\Program Files\ISafesvc\napsvc.exe :: 서비스(napsvc) 등록 파일 / 메모리 상주 프로세스
C:\Program Files\ISafesvc\nhopen.dll
C:\Program Files\ISafesvc\sdata.dat


C:\Program Files\Windows NAP

 

[생성 파일 진단 정보]

 

C:\Program Files\ISafesvc\isvex.exe
 - MD5 : b905dd737a02f703fc2f6b5111d52855
 - AhnLab V3 : PUP/Win32.URLHelper (VT : 17/47)

"Internet Explorer ISafesvc" 프로그램은 "C:\Program Files\ISafesvc" 폴더에 파일을 생성하며, 설치 과정에서 "C:\Program Files\Windows NAP" 폴더를 추가로 생성하지만 내부에는 파일이 생성되지는 않고 있습니다.

 

"C:\Program Files\ISafesvc" 폴더 내부를 확인해보면 크게 3가지 기능을 가진 프로그램으로 구성되어 있습니다.

  1. 아이세이프플러스(iSafePlus) : 유해 사이트 차단 프로그램
  2. 오픈매치(OpenMatch) : 광고창 생성 프로그램
  3. Windows NAP : 광고창 생성 프로그램

"Internet Explorer ISafesvc" 프로그램이 설치된 환경에서 사용자가 "C:\Program Files\ISafesvc\isvsetting.exe" 파일을 직접 찾아서 실행한 경우에만 iSafePlus 유해 사이트 차단 프로그램 설정을 통해 사용이 가능하며, 사용자의 설정이 없는 경우에는 iSafePlus 프로그램 동작은 없으며 광고 기능만 수행됩니다.


1. Internet Security ISvrAuthService(Internet Security ISafesvr Authorization Service) 서비스

"Internet Security ISvrAuthService(Internet Security ISafesvr Authorization Service)" 서비스 항목은 시스템 시작시 "C:\Program Files\ISafesvc\isvsrv.exe" 파일을 자동 실행하여 "C:\Program Files\ISafesvc\isvmgr.exe" 파일을 로딩하도록 구성되어 있습니다.

로딩된 파일(isvmgr.exe)은 특정 서버에서 프로그램 업데이트 체크 (vs.dat)및 다운로드, 이용약관 정보 체크를 수행합니다.

그 후 "C:\Program Files\ISafesvc\isvnk.exe", "C:\Program Files\ISafesvc\isvex.exe" 2개의 파일을 실행한 후 자동 종료 처리가 이루어집니다.

 

실행된 isvnk.exe 파일은 iSafePlus 설정값을 체크하며 함께 실행된 isvex.exe 파일은 오픈매치(OpenMatch) 광고 설정값을 체크합니다.

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - isvex = C:\Program Files\ISafesvc\isvex.exe

또한 "C:\Program Files\ISafesvc\isvex.exe" 파일은 자신을 시작 프로그램으로 등록하여 Windows 시작시 자동 실행되도록 등록되어 있습니다.

이렇게 메모리에 상주하는 "C:\Program Files\ISafesvc\isvex.exe" 파일은 사용자가 특정 검색 키워드 값을 통해 인터넷 검색을 통해 웹 사이트에 접속하는 과정에서 자동으로 광고창을 생성합니다.

  <2012년 관련 정보> 제휴(스폰서) 프로그램 : Windows NCast Provide Engine (2012.12.1) 외 7종

 

  "Windows InternetSafer" 유해 차단 프로그램에 포함된 intsfad.exe 광고 파일 (2013.2.3)

 

  검색 도우미 : Windows Internet displaylink (2013.4.6)

 

  검색 도우미 : IProtect (2013.4.8)

 

  검색 도우미 : Microsoft AD WS (2013.5.26)

 

이 과정에서 생성되는 광고창은 오픈매치(OpenMatch) 광고 서버를 경유하며, 과거부터 다양한 프로그램 내부에 추가되어 광고 동작을 수행하고 있습니다.

 

해당 광고 동작 중지 및 프로그램 삭제시에는 Windows 작업 관리자를 수행하여 isvex.exe, isvnk.exe 2개의 프로세스를 찾아 수동으로 종료하시기 바랍니다.

 

2. napsvc(Windows NAP) 서비스

"napsvc(Windows NAP)" 서비스 항목은 시스템 시작시 "C:\Program Files\ISafesvc\napsvc.exe" 파일을 자동 실행하여, "C:\Program Files\ISafesvc\napclt.exe" 파일을 로딩하도록 구성되어 있습니다.

 

하지만 프로그램 설치가 이루어진 환경에서 시스템 자동 실행 과정에서 실행 후 자동 종료가 이루어지는 문제로 실제적인 광고 기능은 정상적으로 수행하지 못하는 것으로 판단됩니다.

만약 정상적인 광고 기능을 수행한다고 가정하였을 경우 사용자가 특정 검색 키워드를 통해 인터넷 검색을 수행하면 자동으로 검색 키워드 값을 참조로 한 옥션(Auction) 광고창이 생성되는 동작을 확인할 수 있습니다.

이 과정에서 특정 제휴 코드가 추가되어 인터넷 쇼핑몰 사이트로 연결되는 부분을 확인할 수 있습니다.

 

  검색 도우미 : Windows NAS (2013.3.19)

 

이러한 "Windows NAP" 광고 기능은 기존의 "Windows NAS" 검색 도우미 프로그램과 유사성이 강한 것으로 판단되므로 참고하시기 바랍니다.

그러므로 일명 "Windows NAP" 광고 기능의 중지 및 프로그램 삭제시에는 실행창에 [sc stop "napsvc"] 명령어를 입력하여 실행 중인 서비스를 중지하시기 바랍니다.

 

3. 프로그램 삭제 방법

프로그램 삭제시에는 1, 2번의 프로세스 종료 및 서비스 중지를 한 후, 제어판에 등록된 "Internet Explorer ISafesvc" 삭제 항목을 이용하여 삭제할 수 있습니다.

 

프로그램 삭제 과정에서 제시되는 "ISafePlus Uninstall" 창의 "Delete program agreed" 체크 박스에 체크를 하시고 "Uninstall" 버튼을 클릭하여 삭제를 진행하시기 바랍니다.

 

프로그램 삭제 완료 후에는 추가적으로 다음의 폴더(파일)를 찾아 수동으로 삭제하시기 바랍니다.

  • C:\Program Files\ISafesvc
  • C:\Program Files\ISafesvc\isvuninst.exe
  • C:\Program Files\Windows NAP
[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\med002
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - isvex = C:\Program Files\ISafesvc\isvex.exe
HKEY_LOCAL_MACHINE\SOFTWARE\isafeplus
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
iSafePlus_is1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NAP
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_INTERNET_
SECURITY_ISVRAUTHSERVICE
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NAPSVC
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Internet Security ISvrAuthService
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\napsvc

 

해당 프로그램은 유해 사이트 차단 프로그램을 설치하지만 사용자에 의한 추가적인 설정이 없는 경우에는 필수적으로 추가된 광고 기능에 의하여 인터넷 이용시 원치 않는 광고창이 생성되므로 주의하시기 바랍니다.