본문 바로가기

벌새::Analysis

검색 도우미 : STooli

웹 브라우저의 좌측 영역에 추천 사이트 사이드바 광고를 생성하는 검색 도우미 STooli 프로그램에 대해 살펴보도록 하겠습니다.

 

해당 프로그램의 배포용 파일(MD5 : 841ab8abe9ca8f8fad78e5c38ae2924b)에 대하여 AhnLab V3 보안 제품에서는 PUP/Win32.Helper (VT : 12/46) 진단명으로 진단되고 있습니다.

 

  검색 도우미 : STool (2013.5.22)

 

또한 기존에 유사한 기능을 가진 STool 검색 도우미 프로그램의 변종이므로 참고하시기 바랍니다.

배포 파일을 통해 프로그램이 설치되는 과정에서 특정 서버로부터 STooli 설치 파일(MD5 : 11bd5e4152e026ce88448a30f68abb21)을 다운로드하여 "C:\Users\(사용자 계정)\AppData\Local\Temp\STool_SD28.exe" 파일로 생성된 후 프로그램 설치가 진행되며, 해당 파일에 대하여 AhnLab V3 보안 제품에서는 PUP/Win32.Helper (VT : 20/46) 진단명으로 진단되고 있습니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Program Files\STooli
C:\Program Files\STooli\Stooli.dll :: BHO 등록 파일
C:\Program Files\STooli\Stooli.exe :: 시작 프로그램 등록 파일, 메모리 상주 프로세스
C:\Program Files\STooli\Uninstall.exe :: 프로그램 삭제 파일
C:\Users\(사용자 계정)\AppData\Local\Temp\STool_SD28.exe

 

[생성 파일 진단 정보]

 

C:\Program Files\STooli\Stooli.dll
 - MD5 : 7cb1b74681e8044ec1fb354af3ad698b
 - AhnLab V3 : PUP/Win32.Helper (VT : 9/46)

 

C:\Program Files\STooli\Stooli.exe
 - MD5 : 8f30d4af219cd813b03d89abed5c0a60
 - AhnLab V3 : Win-PUP/Helper.Stooli.39448 (VT : 21/46)

 

C:\Program Files\STooli\Uninstall.exe
 - MD5 : 587c0f71e6ebacc8aea14311aa7daa80
 - AhnLab V3 : PUP/Win32.Helper (VT : 6/45)

 

C:\Users\(사용자 계정)\AppData\Local\Temp\STool_SD28.exe
 - MD5 : 11bd5e4152e026ce88448a30f68abb21
 - AhnLab V3 : PUP/Win32.Helper (VT : 20/46)

해당 프로그램은 "C:\Program Files\STooli" 폴더에 파일을 생성하며, Windows 시작시 "C:\Program Files\STooli\STooli.exe" 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.

프로그램이 설치된 환경에서 사용자가 인터넷 검색을 통해 웹 사이트에 접속시 웹 브라우저 좌측 영역에 검색 키워드 값을 참조한 "검색" 사이드바 광고가 생성되는 것을 확인할 수 있습니다.

해당 사이드바 광고는 특정 광고 서버를 경유하여 Daum 클릭스 프리미엄 링크(ma.biz.daum.net) 제휴 코드가 추가되어 연결이 이루어지고 있습니다.

[추가 기능 관리 : 도구 모음 및 확장 프로그램]

 

이름 : STooliHelper

게시자 : nbiz Ltd.

유형 : 브라우저 도우미 개체

CLSID : {2DCB3994-4990-4AD6-852F-AADA158FAD04}

파일 : C:\Program Files\STooli\Stooli.dll

 

이름 : STooliBand

게시자 : nbiz Ltd.

유형 : 탐색창

CLSID : {2C4518F0-263D-4408-83D8-64B75D18254A}

파일 : C:\Program Files\STooli\Stooli.dll

 

해당 광고는 Internet Explorer 웹 브라우저 실행시 Stooli.dll 파일을 브라우저 도우미 개체(BHO) 및 탐색창으로 등록하여 검색 키워드 값을 감시하여 사이드바 광고를 생성합니다.

 

그러므로 광고 동작 중지 및 프로그램 삭제시에는 웹 브라우저의 추가 기능 관리에 등록된 "STooliHelper", "STooliBand" 2개의 항목을 선택하여 "사용 안 함"으로 변경하시기 바랍니다.

또한 프로그램 삭제시에는 Windows 작업 관리자를 실행하여 메모리에 상주하는 Stooli.exe 프로세스를 찾아 수동으로 종료하시기 바랍니다.

프로그램 삭제시에는 Internet Explorer 웹 브라우저를 종료한 상태에서 제어판에 등록된 "STooli" 삭제 항목을 이용하여 삭제할 수 있으며, 프로그램 삭제 후에는 추가적으로 "C:\Users\(사용자 계정)\AppData\Local\Temp\STool_SD28.exe" 파일을 찾아 수동으로 삭제하시기 바랍니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\STooli
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2C4518F0-263D-4408-83D8-64B75D18254A}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2DCB3994-4990-4AD6-852F-AADA158FAD04}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{33281EFA-4381-48A4-9A7C-FE320E2BD845}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{B6CC854F-2DBF-4601-9AB4-D2ED48F5641D}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Stooli.STooliBand
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Stooli.STooliBand.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Stooli.STooliHelper
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Stooli.STooliHelper.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{830FC455-C95C-4890-BD0A-46BD7ADCEB77}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{2DCB3994-4990-4AD6-852F-AADA158FAD04}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - STooli = C:\Program Files\STooli\STooli.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\STooli

 

해당 프로그램은 인터넷 검색시 원치 않는 사이드바 광고를 반복적으로 생성하여 불편을 유발할 수 있으므로 불필요한 프로그램(PUP)이 설치되지 않도록 주의하시기 바랍니다.