해외에서 제작된 프로그램 내부에 포함된 제휴 프로그램을 통해 설치될 수 있는 "Delta Toolbar" 프로그램의 동작 방식과 삭제 방법에 대해 살펴보도록 하겠습니다.
테스트에서는 지워지지 않는 파일을 삭제할 수 있도록 지원하는 Unlocker 1.9.2 버전<MD5 : 1e02d6aa4a199448719113ae3926afb2 - ESET : a variant of Win32/Toolbar.Babylon.E (VT : 5/48)>에 포함된 "Delta Toolbar" 제휴 프로그램을 통해 확인하였습니다.
Unlocker 1.9.2 버전 설치 과정에서는 "Delta Toolbar" 설치와 관련하여 기본값으로 함께 설치되도록 체크되어 있으므로, 반드시 "Advanced" 항목에 체크하여 "Install Delta toolbar" 체크 박스를 해제하시고 설치를 진행하시기 바랍니다.
만약 기본값 그대로 Unlocker 1.9.2 버전 설치를 진행하게 되면 다음 설치 단계에서 Unlocker 프로그램 설치 이전에 Delta Toolbar 프로그램이 자동으로 설치되는 동작을 확인할 수 있습니다.(※ 뭐 그리 급하다고 Unlocker 프로그램보다 먼저 설치되고 그러는지... 
)
이 과정에서 Delta Toolbar 설치를 위해 생성된 "C:\Users\(사용자 계정)\AppData\Local\Temp\DeltaTB.exe" 파일(MD5 : eb2764885565b6c01cb32e5f51f213b3)에 대해 AhnLab V3 365 클리닉 3.0 제품에서 PUP/Win32.Babylon.C170830 (VT : 6/48) 진단명으로 차단이 이루어집니다.
Delta Toolbar 프로그램은 Internet Explorer, Mozilla Firefox, Google Chrome 웹 브라우저에 영향을 주며, 이 글에서는 Internet Explorer, Google Chrome 웹 브라우저 환경에서 테스트 하였습니다.
1. Internet Explorer 웹 브라우저 환경
C:\Program Files\Delta
C:\Program Files\Delta\delta
C:\Program Files\Delta\delta\1.8.24.6
C:\Program Files\Delta\delta\1.8.24.6\bh
C:\Program Files\Delta\delta\1.8.24.6\bh\delta.dll :: BHO 등록 파일
C:\Program Files\Delta\delta\1.8.24.6\deltaApp.dll
C:\Program Files\Delta\delta\1.8.24.6\deltaEng.dll
C:\Program Files\Delta\delta\1.8.24.6\deltasrv.exe
C:\Program Files\Delta\delta\1.8.24.6\deltaTlbr.dll :: Delta Toolbar 등록 파일(도구 모음)
C:\Program Files\Delta\delta\1.8.24.6\GUninstaller.exe :: Delta toolbar 프로그램 삭제 파일
C:\Program Files\Delta\delta\1.8.24.6\uninstall.exe
Delta Toolbar 프로그램은 "C:\Program Files\Delta" 폴더 내부에 파일을 생성하며, Internet Explorer 웹 브라우저의 홈 페이지, 검색 공급자, Delta Toolbar 추가 행위 등을 수행합니다.
(1) 홈 페이지 변경
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
- Start Page = (사용자 지정 홈 페이지 URL 주소) :: 변경 전
- Start Page = http://www.delta-search.com/?babsrc=HP_ss&mntrId=723600FFA68F4D8B&affID=122471&tt=02102013_ctrl1&tsp=5032 :: 변경 후
홈 페이지 주소를 사용자가 지정한 주소에서 "delta-search.com"으로 변경하여, 다음과 같은 "Delta Search" 검색 사이트가 오픈되는 것을 확인할 수 있습니다.
(2) 검색 공급자 변경
프로그램 설치 후 Internet Explorer 웹 브라우저의 기본 검색 공급자를 사용자가 지정한 값에서 "Delta Search (www.delta-search.com)"으로 변경을 시도합니다.
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes
- DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A} :: 변경 전(기본값 : Bing)
- DefaultScope = {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} :: 변경 후
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}
정상적으로 기본 검색 공급자가 Delta Search로 변경된 경우 "delta-search.com/?q={searchTerms}&babsrc=SP_ss&mntrId=723600FFA68F4D8B&affID=122471&tt=02102013_ctrl1&tsp=5032" 검색 주소를 이용하여 검색이 이루어집니다.
(3) Delta Toolbar 생성
Internet Explorer 웹 브라우저의 도구 모음에 "Delta Toolbar"를 생성하여 다양한 광고를 비롯한 검색 툴바(Toolbar)를 추가합니다.
이름 : Delta Toolbar
게시자 : Montiera Technologies LTD
유형 : 도구 모음
CLSID : {82E1477C-B154-48D3-9891-33D83C26BCD3}
파일 : C:\Program Files\Delta\delta\1.8.24.6\deltaTlbr.dll
이름 : delta Helper Object
게시자 : Montiera Technologies LTD
유형 : 브라우저 도우미 개체
CLSID : {C1AF5FA5-852C-4C90-812E-A7F75E011D87}
파일 : C:\Program Files\Delta\delta\1.8.24.6\bh\delta.dll
Delta Toolbar 프로그램은 Internet Explorer 웹 브라우저 동작시 deltaTlbr.dll 파일을 도구 모음에 추가하여 툴바(Toolbar)를 생성하며, delta.dll 파일을 브라우저 도우미 개체(BHO)로 등록하여 특정 조건에 따라 검색을 통한 광고 생성 동작이 있을 것으로 추정됩니다.
그러므로 프로그램 삭제시에는 Internet Explorer 웹 브라우저의 추가 기능 관리에 등록된 "Delta Toolbar", "delta Helper Object" 2개의 항목을 선택하여 "사용 안 함"으로 변경하시기 바랍니다.
2. Google Chrome 웹 브라우저 환경
C:\Users\(사용자 계정)\AppData\Roaming\BabSolution
C:\Users\(사용자 계정)\AppData\Roaming\BabSolution\CR
C:\Users\(사용자 계정)\AppData\Roaming\BabSolution\CR\Delta.crx :: Delta Toolbar 확장 프로그램
C:\Users\(사용자 계정)\AppData\Roaming\BabSolution\Shared
C:\Users\(사용자 계정)\AppData\Roaming\BabSolution\Shared\BabMaint.exe :: 예약 작업(EPUpdater) 등록 파일
C:\Users\(사용자 계정)\AppData\Roaming\BabSolution\Shared\BUSolution.dll
C:\Users\(사용자 계정)\AppData\Roaming\BabSolution\Shared\Delta.ico
C:\Users\(사용자 계정)\AppData\Roaming\BabSolution\Shared\GUninstaller.exe :: Delta Chrome Toolbar 프로그램 삭제 파일
C:\Users\(사용자 계정)\AppData\Roaming\BabSolution\Shared\SetupParams.ini
C:\Users\(사용자 계정)\AppData\Roaming\BabSolution\Shared\sqlite3.dll
C:\Windows\System32\Tasks\EPUpdater
Google Chrome 웹 브라우저가 설치된 환경에서는 "Delta Chrome Toolbar" 프로그램을 추가로 생성하여 "C:\Users\(사용자 계정)\AppData\Roaming\BabSolution" 폴더 내부에 파일을 생성합니다.
(1) 예약 작업 등록
예약 작업에 "EPUpdater" 작업 스케줄러를 등록하여 시스템 시작시 "C:\Users\(사용자 계정)\AppData\Roaming\BabSolution\Shared\BabMaint.exe" 파일이 자동 실행하도록 구성되어 있습니다.
(2) 확장 프로그램 추가
HKEY_LOCAL_MACHINE\SOFTWARE\Google\Chrome\Extensions\
eooncjejnppfjjklapaamhcdmjbilmde
Google Chrome 웹 브라우저의 확장 프로그램에 웹 사이트 데이터 액세스, 탭 및 탐색 활동 액세스 권한을 가진 "Delta Toolbar" 확장 프로그램<C:\Users\(사용자 계정)\AppData\Roaming\BabSolution\CR\Delta.crx>을 추가합니다.
(3) 홈 페이지 및 검색 엔진 변경
Internet Explorer 웹 브라우저와 마찬가지로 홈 페이지, 시작 그룹, 검색 엔진을 "delta-search.com"으로 변경합니다.
3. BitGuard 프로그램 정보
C:\ProgramData\BitGuard
C:\ProgramData\BitGuard\2.6.1694.246
C:\ProgramData\BitGuard\2.6.1694.246\{c16c1ccb-1111-4e5c-a2f3-533ad2fec8e8}
C:\ProgramData\BitGuard\2.6.1694.246\{c16c1ccb-1111-4e5c-a2f3-533ad2fec8e8}\BitGuard.dll
C:\ProgramData\BitGuard\2.6.1694.246\{c16c1ccb-1111-4e5c-a2f3-533ad2fec8e8}\BitGuard.exe :: 서비스(BitGuard) 등록 파일, 메모리 상주 프로세스
C:\ProgramData\BitGuard\2.6.1694.246\{c16c1ccb-1111-4e5c-a2f3-533ad2fec8e8}\BitGuard.settings
C:\ProgramData\BitGuard\2.6.1694.246\{c16c1ccb-1111-4e5c-a2f3-533ad2fec8e8}\bl
C:\ProgramData\BitGuard\2.6.1694.246\{c16c1ccb-1111-4e5c-a2f3-533ad2fec8e8}\dm
C:\ProgramData\BitGuard\2.6.1694.246\{c16c1ccb-1111-4e5c-a2f3-533ad2fec8e8}\FirefoxExtension
C:\ProgramData\BitGuard\2.6.1694.246\{c16c1ccb-1111-4e5c-a2f3-533ad2fec8e8}\traking_settings
C:\ProgramData\BitGuard\2.6.1694.246\{c16c1ccb-1111-4e5c-a2f3-533ad2fec8e8}\uninstall.exe :: BitGuard 프로그램 삭제 파일
C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\BitGuard
C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\BitGuard\Uninstall BitGuard.lnk
Delta Toolbar 프로그램 설치시 자동으로 함께 설치되는 BitGuard 프로그램은 "C:\ProgramData\BitGuard" 폴더 내부에 파일을 생성합니다.(※ 추가 조사를 해보면 기존에 "BrowserProtect" 프로그램 이름으로 배포된 적이 있는 것으로 보입니다.)
BitGuard 프로그램은 "BitGuard" 서비스 항목을 등록하여 시스템 시작시 "C:\ProgramData\BitGuard\2.6.1694.246\{c16c1ccb-1111-4e5c-a2f3-533ad2fec8e8}\BitGuard.exe" 파일을 자동 실행하도록 구성되어 있습니다.
이를 통해 자동 실행된 서비스 파일(BitGuard.exe)은 메모리에 상주하며, 사용자에 의한 강제 종료를 하지 못하도록 프로세스, 레지스트리 자체 보호 기능을 수행합니다.
BitGuard 프로그램이 몰래 설치된 이유를 조사해보면 "HKEY_CURRENT_USER\Software\5c4dddfbd35e512\2.6.1694.246" 레지스트리 값에서 발견할 수 있는데, 서비스에 등록된 "Your browser protector service" 설명처럼 Google Chrome 웹 브라우저의 홈 페이지, 검색 엔진, 시작 그룹과 관련된 설정을 사용자가 변경을 하여도 복구하는 기능을 가지고 있습니다.
이로 인하여 실제 "Delta Chrome Toolbar" 프로그램을 삭제한 이후에도 BitGuard 프로그램으로 인하여 지속적으로 Delta Toolbar 설정값이 유지되는 문제를 유발합니다.
4. Search 바탕 화면 바로가기 아이콘
C:\ProgramData\DSearchLink
C:\ProgramData\DSearchLink\DSearchLink.exe :: Search 바탕 화면 바로가기 아이콘 실행 파일
C:\Users\(사용자 계정)\Desktop\Search.lnk
Delta Toolbar 프로그램이 설치된 환경에서는 삭제 기능을 제공하지 않는 "Search" 바탕 화면 바로가기 아이콘을 추가합니다.
해당 바로가기 아이콘을 실행할 경우 "C:\ProgramData\DSearchLink\DSearchLink.exe -url http://www.delta-search.com/?babsrc=DT_ss&mntrId=723600FFA68F4D8B&affID=122471&tt=02102013_ctrl1&tsp=5032 -wbr 4" 연결값을 통해 기본 웹 브라우저로 등록된 웹 브라우저를 통해 "Delta Search" 웹 사이트가 오픈됩니다.
5. Delta Toolbar 프로그램 삭제 방법
Delta Toolbar 프로그램이 설치된 환경에서는 우선적으로 제어판에서 Google Chrome 웹 브라우저의 설정 변경을 보호하는 "BitGuard" 프로그램을 삭제하시기 바랍니다.
(1) BitGuard 프로그램 삭제
BitGuard 프로그램은 자체 보호 기능을 가지고 있으므로 제어판을 통한 삭제("C:\ProgramData\BitGuard\2.6.1694.246\{c16c1ccb-1111-4e5c-a2f3-533ad2fec8e8}\uninstall.exe" /Uninstall /{15D2D75C-9CB2-4efd-BAD7-B9B4CB4BC693} /um)를 진행하시기 바라며, 프로그램 삭제 후에는 반드시 시스템 재부팅을 진행하시기 바랍니다.
(2) Internet Explorer용 "Delta toolbar" 프로그램 삭제
그 이후에는 Internet Explorer 웹 브라우저를 모두 종료한 상태에서 제어판에 등록된 "Delta toolbar" 삭제 항목을 통해 프로그램을 삭제("C:\Program Files\Delta\delta\1.8.24.6\GUninstaller.exe" -uprtc -ask -rmbus "Delta toolbar" -nontfy -bname=dlt -key "delta")하시기 바랍니다.
프로그램 삭제 이후에는 다음과 같은 추가적인 변경을 통해 사용자가 원하는 값으로 수정하시기 바랍니다.
■ 홈 페이지 변경
인터넷 옵션을 실행하여 "일반 → 홈 페이지"에 등록되어 있는 "delta-search.com" 주소를 사용자가 원하는 주소로 변경하시기 바랍니다.
■ 검색 공급자 변경
Internet Explorer 웹 브라우저의 "추가 기능 관리 → 검색 공급자" 메뉴를 선택하여 사용자가 원하는 검색 공급자를 선택한 후 "기본값으로 설정" 버튼을 클릭한 후, "Delta Search" 검색 공급자를 선택하여 "제거" 버튼을 클릭하시기 바랍니다.
(3) Google Chrome용 "Delta Chrome Toolbar" 프로그램 삭제
Google Chrome 웹 브라우저를 종료한 상태에서 제어판에 등록된 "Delta Chrome Toolbar" 삭제 항목을 이용하여 프로그램을 삭제("C:\Users\(사용자 계정)\AppData\Roaming\BabSolution\Shared\GUninstaller.exe" -key "Delta Chrome Toolbar" -rmkey -rmbus "Delta Chrome Toolbar" -ask -plgdll enhancedNT -nontfy)하시기 바랍니다.
프로그램 삭제 후에는 Google Chrome 웹 브라우저의 "Chrome 맞춤설정 및 제어 → 도구 → 확장 프로그램" 메뉴(chrome://extensions/)를 실행하시기 바랍니다.
만약 확장 프로그램에 "Delta Toolbar" 항목이 여전히 존재한다면 휴지통 아이콘을 클릭하여 "Delta Toolbar" 프로그램을 삭제하시기 바랍니다.
그 후 Google Chrome 웹 브라우저의 "Chrome 맞춤설정 및 제어 → 설정" 메뉴(chrome://settings/)를 실행하여 다음과 같은 추가적인 수정을 진행하시기 바랍니다.
■ 시작 그룹 변경
"시작 그룹 → 특정 페이지 또는 페이지 집합 열기" 메뉴의 "페이지 설정" 항목을 클릭하시기 바랍니다.
"시작 페이지"에 등록된 "Delta Search" 값을 찾아 "삭제(X)" 버튼을 클릭 후 "확인" 버튼을 클릭하시기 바라며, 설정 페이지의 "시작 그룹"을 사용자가 원하는 설정(※ 기본값 : 새 탭 페이지 열기)으로 변경하시기 바랍니다.
■ 홈 페이지 변경
Google Chrome 웹 브라우저에 홈 버튼을 표시하게 한 경우, 홈 버튼을 클릭할 경우 "Delta Search" 페이지로 자동 연결이 이루어지므로 "홈 버튼 표시" 항목에 추가된 "변경" 버튼을 클릭하시기 바랍니다.
"홈 페이지" 항목의 "다음 페이지"에 등록된 delta-search.com 주소를 삭제한 후, "새 탭 페이지" 항목에 체크하시고 "확인" 버튼을 클릭하시기 바랍니다.
■ 검색 엔진 변경
"Delta Search" 검색 엔진으로 변경된 부분을 수정하기 위해서는 설정 페이지의 "검색 → 검색엔진 관리..." 버튼을 클릭하시기 바랍니다.
생성된 검색 엔진의 기본 검색 설정에서 사용자가 원하는 검색 엔진을 선택하여 "기본으로 설정" 버튼을 클릭한 후, "Delta Search" 검색 엔진을 선택하여 "삭제(X)" 버튼을 클릭하여 변경할 수 있습니다.
(4) Search 바탕 화면 바로가기 아이콘 삭제
바탕 화면에 등록된 Search 바로가기 아이콘은 삭제를 지원하지 않으므로 다음과 같은 파일을 찾아 수동으로 삭제하시기 바랍니다.
- C:\ProgramData\DSearchLink
- C:\ProgramData\DSearchLink\DSearchLink.exe
- C:\Users\(사용자 계정)\Desktop\Search.lnk
(5) 그 외 삭제 정보
Delta Toolbar 및 BitGuard 프로그램을 삭제한 이후 제거되지 않는 폴더 및 파일 정보는 다음과 같습니다.
- C:\Users\(사용자 계정)\AppData\Roaming\Babylon
- C:\Users\(사용자 계정)\AppData\Roaming\Babylon\log_file.txt
HKEY_CURRENT_USER\Software\5c4dddfbd35e512
HKEY_CURRENT_USER\Software\BabSolution
HKEY_CURRENT_USER\Software\DataMngr
HKEY_CURRENT_USER\Software\DataMngr_Toolbar
HKEY_CURRENT_USER\Software\Delta
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Approved Extensions
- {4D2D3B0F-69BE-477A-90F5-FDDB05357975}
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
- bProtector Start Page = http://www.delta-search.com/?babsrc=HP_ss&mntrId=723600FFA68F4D8B&affID=122471&tt=02102013_ctrl1&tsp=5032
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes
- bProtectorDefaultScope = {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\TabbedBrowsing
- bProtectNewTabPageShow = 1
- bProtectShowTabsWelcome = 0
HKEY_LOCAL_MACHINE\SOFTWARE\5c4dddfbd35e512
HKEY_LOCAL_MACHINE\SOFTWARE\DataMngr
HKEY_LOCAL_MACHINE\SOFTWARE\Delta
HKEY_LOCAL_MACHINE\SOFTWARE\Google\Chrome\Extensions\
eooncjejnppfjjklapaamhcdmjbilmde
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{348C2DF3-1191-4C3E-92A6-B3A89A9D9C85}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar
- {82E1477C-B154-48D3-9891-33D83C26BCD3} = Delta Toolbar
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{C1AF5FA5-852C-4C90-812E-A7F75E011D87}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
{15D2D75C-9CB2-4efd-BAD7-B9B4CB4BC693}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\delta
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Delta Chrome Toolbar
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{DA0B5317-7791-41BC-8C8F-59925C2EC21A}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\EPUpdater
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
- AppInit_DLLs = (공란) :: 변경 전
- AppInit_DLLs = c:\progra~2\bitguard\261694~1.246\{c16c1~1\bitguard.dll :: 변경 후
- LoadAppInit_DLLs = 0 :: 변경 전
- LoadAppInit_DLLs = 1 :: 변경 후
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\BitGuard
※ 해당 레지스트리 정보에는 "HKEY_LOCAL_MACHINE\SOFTWARE\Classes" 값 내부에 생성 및 변경된 값은 양이 많은 관계로 제외되었으며, 분석글에 포함된 레지스트리 값도 생략합니다.
"Delta Toolbar" 프로그램은 대부분 사용자가 영어를 제대로 읽지 않고 프로그램을 설치하는 과정에서 설치되는 것으로 추정되므로, 프로그램을 설치할 때에는 한글 및 영문을 꼼꼼하게 살펴보는 습관을 반드시기 가지시기 바랍니다.
특히 국내 광고 프로그램과 다르게 해외 광고 프로그램은 설치시 부가적으로 설치되는 항목이 많으며, 삭제 이후에도 사용자가 직접 수정해야 할 부분이 있기에 주의하시기 바랍니다.
☞ µTorrent 프로그램을 이용한 uTorrentControl_v2 Toolbar 프로그램 설치 주의 (2012.11.9)
☞ "searchnu.com" 홈 페이지 변경 Search-Results Toolbar 삭제하기 (2013.6.27)
☞ 네이버(Naver)에 광고를 생성하는 Lyrics Shout 프로그램 주의 (2013.7.2)