본문 바로가기

벌새::Analysis

검색 도우미 : RollingPop 1.0

인터넷 검색시 추가적인 광고창 생성 및 차후 업데이트 창 생성을 통해 수익성 프로그램의 설치를 유도할 수 있을 것으로 추정되는 "RollingPop 1.0" 프로그램(MD5 : efae3dd5edd83a16eace4febb9300366)에 대해 살펴보도록 하겠습니다.

 

  검색 도우미 : HipPop (2013.6.21)

 

해당 프로그램은 기존의 HipPop 검색 도우미 프로그램과 유사성이 강하므로 참고하시기 바랍니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Users\(사용자 계정)\AppData\Roaming\RollingPop
C:\Users\(사용자 계정)\AppData\Roaming\RollingPop\NTVBSvc.tlb
C:\Users\(사용자 계정)\AppData\Roaming\RollingPop\RollingPop_E.exe :: 메모리 상주 프로세스
C:\Users\(사용자 계정)\AppData\Roaming\RollingPop\RollingPop_R.exe
C:\Users\(사용자 계정)\AppData\Roaming\RollingPop\RollingPop_S.exe :: 서비스(RollingPop_Service) 등록 파일, 메모리 상주 프로세스
C:\Users\(사용자 계정)\AppData\Roaming\RollingPop\RollingPop_U.exe
C:\Users\(사용자 계정)\AppData\Roaming\RollingPop\uninst.exe :: 프로그램 삭제 파일
C:\Users\(사용자 계정)\AppData\Roaming\RollingPop\UpdateTemp
C:\Windows\System32\Base64.dll
C:\Windows\System32\MSINET.OCX
C:\Windows\System32\VB6KO.DLL

해당 프로그램은 "C:\Users\(사용자 계정)\AppData\Roaming\RollingPop" 폴더에 파일을 생성하며, 시스템 시작시 다음과 같은 동작을 통해 프로그램을 실행하도록 제작되어 있습니다.

RollingPop_Service 서비스 항목을 등록하여 시스템 시작시 [C:\Users\(사용자 계정)\AppData\Roaming\RollingPop\RollingPop_S.exe ROLL02] 파일을 자동 실행하도록 구성되어 있습니다.

 

자동 실행된 서비스 파일(RollingPop_S.exe)은 "C:\Users\(사용자 계정)\AppData\Roaming\RollingPop\RollingPop_U.exe" 파일을 로딩하여 프로그램 업데이트 체크를 수행한 후, "C:\Users\(사용자 계정)\AppData\Roaming\RollingPop\RollingPop_E.exe" 파일을 실행하여 광고 구성값 및 사용자 IP 정보를 체크하여 메모리에 상주합니다.

이 과정에서 테스트 시점에서는 동작하지 않았지만, 차후 특정 시점에서는 특정 업데이트 정보를 체크하여 drwtsn32.exe 파일을 "C:\Users\(사용자 계정)\AppData\Roaming\RollingPop\UpdateTemp" 폴더에 다운로드 및 실행하여 업데이트 창 생성을 통한 추가적인 수익성 프로그램을 설치할 수 있으리라 추정됩니다.

RollingPop 1.0 프로그램의 광고 기능을 살펴보면 사용자가 인터넷 검색시 특정 광고 서버로부터 정보를 받아 사용자가 이용하는 웹 브라우저 뒷면에 광고창을 생성하도록 제작되어 있습니다.

  검색 도우미 : FindLock (2012.4.2)

 

연결되는 광고 서버는 기존에 알려진 FindLock 광고 서버와 일치하므로 참고하시기 바랍니다.

광고 동작 중지 및 프로그램 삭제를 위해서는 "명령 프롬프트""관리자 권한으로 실행"하여 [sc stop "RollingPop_Service"] 명령어를 통해 서비스 종료 및 Windows 작업 관리자를 실행하여 RollingPop_E.exe 프로세스를 찾아 수동으로 종료하시기 바랍니다.

프로그램 삭제는 제어판에 등록된 "RollingPop 1.0" 삭제 항목을 이용하여 삭제할 수 있으며, 프로그램 삭제 후에는 추가적으로 "C:\Users\(사용자 계정)\AppData\Roaming\RollingPop" 폴더를 찾아 수동으로 삭제하시기 바랍니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Base64Lib.Base64
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{28656ABB-8E12-11D2-950F-000000000000}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{28656ABA-8E12-11D2-950F-000000000000}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{3A8BB631-588F-4994-B5CE-5AA6BD0FAFE3}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{28656AB9-8E12-11D2-950F-000000000000}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\AppMainExe.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
RollingPop
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\RollingPop_Service

 

RollingPop 1.0 검색 도우미 프로그램은 광고창 생성 기능 이외에 차후 시스템 시작 과정에서 추가적인 파일 다운로드 및 업데이트 창 생성을 통해 불필요한 프로그램(PUP)을 설치하도록 유도할 수 있으므로 주의하시기 바랍니다.