본문 바로가기

벌새::Security

Internet Explorer 추가 기능 알림을 우회하는 국내 광고 프로그램 사례 (2013.11.15)

반응형

소프트웨어 중에서 Internet Explorer 웹 브라우저를 사용하는 과정에서 함께 동작하도록 구현하기 위해 확장 프로그램으로 등록할 경우 기본적으로 설치 완료 후에는 다음과 같은 알림바를 생성하여 사용자로부터 사용 여부를 묻도록 되어 있습니다.

예를 들어 알툴바(ALToolbar) 프로그램을 설치 완료한 후 Internet Explorer 웹 브라우저를 실행하면 하단 영역에 노란색 알림바를 생성하여 ['ESTsoft Corp.'의 'ALToolBar' 추가 기능을 사용할 준비가 되었습니다.]라는 메시지를 통해 알툴바(ALToolbar)를 Internet Explorer 웹 브라우저 동작시 자동으로 사용할지를 사용자가 결정하도록 하고 있습니다.

이를 통해 사용자가 알툴바(ALToolbar) 프로그램의 사용을 허용할 경우에만 Internet Explorer 웹 브라우저의 도구 모음에 알툴바(ALToolbar)가 표시되어 프로그램을 사용할 수 있도록 하고 있습니다.

 

위와 같은 절차를 준수하도록 한 이유는 일부 악성 프로그램이 설치되어 Internet Explorer 웹 브라우저의 확장 프로그램에 등록되는 과정에서 사용자 몰래 설치되는 일이 없도록 사용자에게 정확하게 인지시켜 사용자의 사용 여부를 결정하도록 하기 위함으로 풀이됩니다.

 

  <Microsoft Malware Protection Center> Febipos for Internet Explorer (2013.11.14)

 

근래 마이크로소프트(Microsoft)에서는 악성 웹 브라우저 확장 프로그램으로 "MicrosoftSecurityPlugin" 항목을 등록하는 Trojan:Win32/Febipos.B!dll 악성코드에 대한 정보를 공개하였습니다.

 

해당 분석 내용을 읽어보면 감염되어 확장 프로그램을 등록하는 동작에서 Internet Explorer 웹 브라우저의 알림 기능을 비활성화하도록 레지스트리 값을 조작하는 방법에 대해 설명(The following registries entries are also created to disable some Internet Explorer notifications)하는 부분이 있습니다.

 

그런데 이같은 유사 방식을 최근 국내에서 배포 중인 광고 기능이 필수적으로 포함된 "Window Boan Patch v1.1" 프로그램에서 우연히 발견하여 정보를 공개해 드립니다.

 

  "Window Boan Patch v1.1" 보안 패치 프로그램에 추가된 광고 기능 주의 (2013.11.14)

원래 "Window Boan Patch v1.1" 프로그램이 설치된 후 사용자가 Internet Explorer 웹 브라우저를 실행할 경우에는 위에서 설명한 것처럼 하단 영역에 ['Everyzone Inc.'의 'PatchHelper' 추가 기능을 사용할 준비가 되었습니다.]라는 알림바가 생성되어 사용자가 사용 여부를 결정해야 하며, 결정되기 이전까지는 확장 프로그램에 등록된 "PatchHelper" 항목의 상태는 사용 여부가 결정되지 않은 상태를 유지됩니다.

그런데 실제 "Window Boan Patch v1.1" 프로그램이 설치된 이후 Internet Explorer 웹 브라우저를 실행할 경우에는 노란색 알림바를 통해 "PatchHelper" 확장 프로그램이 등록되었음을 표시하지 않으며, 자동으로 "사용 함"으로 지정되어 사용자가 인터넷 검색을 시도할 경우 검색 키워드 값을 수집하여 웹 브라우저 상단에 광고바를 생성하는 기능을 수행합니다.

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Ext
 - "IgnoreFrameApprovalCheck" = dword:00000001

해당 원인을 찾아보면 "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\
Ext"
키값에 "IgnoreFrameApprovalCheck" 값을 추가하여 Internet Explorer 웹 브라우저의 확장 프로그램이 설치될 경우 알림바가 표시되지 않도록 조작한 것을 확인할 수 있습니다.

 

이로 인하여 사용자는 Windows 보안 패치 기능을 가진 "Window Boan Patch v1.1" 프로그램 설치로 인하여 사용자가 제대로 인지하지 못하는 필수 광고 기능이 포함되는 과정에서 확장 프로그램(PatchHelper) 등록에서도 조차 사용자의 결정권을 우회하는 방식으로 취하고 있습니다.

 

단순히 위와 같은 등록 행위가 "Window Boan Patch v1.1" 프로그램에 제한적으로 적용되는 것이 아니라 이후 설치되는 모든 프로그램 중 Internet Explorer 웹 브라우저의 "도구 모음 및 확장 프로그램"에 등록되는 과정에서 알림바는 생성되지 않으며, 차후 "Window Boan Patch v1.1" 프로그램을 삭제한 이후에도 등록된 레지스트리 값으로 인해 지속적인 문제가 유발되고 있습니다.

 

해당 레지스트리 값 등록을 통해 정책을 변경하는 행위 자체가 악성 프로그램에서만 이루어지는 비정상적인 편법 행위인지는 알 수 없지만, 위와 같은 특정 소프트웨어 배포 편의를 위해 등록한 값 하나로 사용자는 자신도 모르게 등록될 수 있는 확장 프로그램으로 인해 불편 또는 위험에 노출될 수 있다는 점은 프로그램 제작사가 국내 보안 업체라는 점에서 의문이 가득합니다.

 

 

728x90
반응형
  • Antares 2013.11.17 19:13 댓글주소 수정/삭제 댓글쓰기

    window boan patch의 삭제에 관해서 질문드리겠습니다.
    해당 글의 삭제 방법을 서술하신 글의 지시사항을 따라가 보았는데,
    우선 명령 프롬프트를 우클릭해도 '관리자 기능으로 실행'기능이 없었습니다.
    대신'다음 계정으로 실행'이 있는데, 이미 사용중인 계정밖에 없고 별다른 관리자 기능 세팅은 찾을 수 없었습니다. 그래서 시작할 때 종료하라고 하신 프로세스에 종료명령을 입력해도 종료가 되지 않더군요. 일단 넘어가고 프로세스를 끄는데
    WBPatch.exe, WBPatchopen.exe 두개 중에 하나만 실행 중이었습니다.
    일단 그 하나는 껐지만 나머지 하나가 없어서 손대지 못했습니다.
    제어판에서 프로그램 삭제를 완료한 다음 "C:\Users\(사용자 계정)\AppData\Local\Temp\WindowBoanPatchSetup.exe" 말씀하신 경로를 찾아봤지만 제 컴퓨터에는 없었습니다.대신 appdata와 동일한 의미를 가진
    C:\Documents and Settings\All Users\Application Data
    라는 경로는 있었습니다.
    다만 해당 프로그램 관련 파일을 찾을 수는 없었습니다.

    완전히 삭제는 되지 않았는지 레지스트리가 남아서 그런지
    아직도 검색중에 드문드문 광고창이 뜨는군요.
    제가 지시사항을 추적하지 못해서 이런 건가요?
    어떤 부분이 잘못되어있는지, 레지스트리를 지우면(혹은 바꾸면)해결되는지,
    해당 프로그램의 레지스트리를 수정하는 방법/경로에 대해 알려주시면 감사하겠습니다.

    • 해당 분석 내용은 Windows 7 기반이며 Windows XP에서는 관리자 권한 기능 자체가 없습니다.

      그냥 시작 버튼 -> 실행창에 명령어를 입력하여 진행하시면 됩니다.

  • Antares 2013.11.17 22:24 댓글주소 수정/삭제 댓글쓰기

    HKEY_CURRENT_USER\Software\로컬 응용 프로그램 마법사에서 생성된 응용 프로그램\Window Boan Patch\Settings
    HKEY_CURRENT_USER\Software\로컬 응용 프로그램 마법사에서 생성된 응용 프로그램\Window Boan Patch\ControlBars-Summary

    올려주신 경로 중 이 두 개의 레지스트리를 찾았는데요,
    이거 지워버려도 괜찮나요?
    둘 다 빨간색 ab 마크에 (기본값) 종류 REG_SZ 데이터 (값 설정 안됨)
    이라고 되어 있습니다.