본문 바로가기

벌새::Analysis

검색 도우미 : ISU

시스템 시작시 "인터넷 연결 관리자"를 생성하여 임시 파일 삭제를 유도하며, 인터넷 검색시 자동으로 광고창을 생성하는 검색 도우미 ISU 프로그램에 대해 살펴보도록 하겠습니다.

 

해당 프로그램의 설치 파일(MD5 : 7265e27c31643e6460b21eec92c73fc0)에 대하여 AhnLab V3 보안 제품에서는 Win-PUP/Helper.WindowsNas.260026 (VT : 20/48) 진단명으로 진단되고 있습니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Program Files\isu
C:\Program Files\isu\infoview3.exe :: 메모리 상주 프로세스
C:\Program Files\isu\isu.exe :: 인터넷 연결 관리자 생성 파일
C:\Program Files\isu\isus.exe :: 서비스(ISU) 등록 파일, 메모리 상주 프로세스
C:\Program Files\isu\Uninstall.exe :: 프로그램 삭제 파일
C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch인터넷 연결 관리자
C:\Users\(사용자 계정)\Desktop인터넷 연결 관리자

 

[생성 파일 진단 정보]

 

C:\Program Files\isu\isu.exe
 - MD5 : d9832c32cc755d5f850a46c3b4083d3d
 - AhnLab V3 : PUP/Win32.WindowsNAS (VT : 2/48)

해당 프로그램은 "C:\Program Files\isu" 폴더에 "SAMJUNG TECHNOLOGY Co., Ltd" 디지털 서명이 추가된 파일을 생성하며 시스템 시작시 다음과 같은 동작을 수행합니다.

 

  검색 도우미 : Windows NAS (2013.3.19)

 

  검색 도우미 : Windows ISM + Windows VOA (2013.5.8)

 

  검색 도우미 : winfo2 (2013.10.10)

 

ISU 프로그램에 포함된 파일 속성 정보에서는 기존의 Windows VOA 검색 도우미 계열과 관련이 있으므로 참고하시기 바랍니다.

"ISU" 서비스 항목을 등록하여 시스템 시작시 "C:\Program Files\isu\isus.exe" 파일을 자동 실행하도록 구성되어 있으며, 자동 실행된 서비스 파일(isus.exe)은 "C:\Program Files\isu\isu.exe" 파일을 로딩하여 프로그램 업데이트 체크 및 다음과 같은 "인터넷 연결 관리자" 프로그램을 실행합니다.

생성된 "인터넷 연결 관리자" 프로그램은 임시 파일 삭제 기능을 가지고 있으며, 이를 통해 사용자로 하여금 광고 프로그램으로 오해하지 않도록 하려는 목적으로 보입니다.

또한 "C:\Program Files\isu\isu.exe" 파일은 시스템 시작시마다 특정 서버로부터 infoview3.exe 파일(MD5 : 4687f525c433d02424b42af2985660e8)을 다운로드하여 메모리에 상주시키며, 이를 통해 광고 구성값(검색 키워드, URL 정보 등)을 체크합니다.

프로그램이 설치된 환경에서 사용자가 특정 검색 키워드를 이용하여 인터넷 검색을 시도할 경우 다음과 같은 동작을 수행합니다.

검색 키워드 당 2개의 광고창을 자동으로 생성하며, 일부 광고는 불법 도박 관련 사이트를 오픈하는 부분도 발견할 수 있습니다.

또한 사용자가 입력한 검색 키워드 값을 기반으로 백그라운드 방식으로 네이트(Nate) 검색을 수행할 수 있습니다.

프로그램이 실행되면 isus.exe, infoview3.exe 2개의 프로세스가 생성되므로, 광고 동작 중지 및 프로그램 삭제시에는 다음과 같은 방식으로 서비스 및 프로세스 종료 후 프로그램을 삭제하시기 바랍니다.

"보조 프로그램 → 명령 프롬프트" 메뉴를 마우스 우클릭하여 "관리자 권한으로 실행"한 후 [sc stop "ISU"] 명령어를 통해 isus.exe 서비스 프로세스를 자동 종료하시기 바라며, 그 후 Windows 작업 관리자를 실행하여 infoview3.exe 프로세스를 찾아 수동으로 종료하시기 바랍니다.

프로그램 삭제는 제어판에 등록된 "isu" 삭제 항목을 이용하여 삭제할 수 있으며, 프로그램 삭제 후에는 추가적으로 다음의 파일들은 찾아 수동으로 삭제하시기 바랍니다.

  • C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch인터넷 연결 관리자
  • C:\Users\(사용자 계정)\Desktop인터넷 연결 관리자
[생성 레지스트리 등록 정보]

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\infoview3
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\isu
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\isu
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\ISU

 

일부 광고 프로그램의 경우에는 광고 팝업창 생성 동작을 지속적으로 노출시키기 위하여 마치 유용한 기능을 제공하는 프로그램과 같은 기능을 함께 포함하는 경우가 있습니다.

 

그러므로 사용자가 직접 설치한 프로그램이 아닌 경우에는 부가적인 기능이 포함되어 있을 수 있다는 점을 명심하시고 이용하지 않도록 하시기 바랍니다.