울지않는벌새 : Security, Movie & Society

검색 도우미 : TabStation - promoder (2013.11.20)

벌새::PUP Info

 

다양한 변종 프로그램을 이용하여 인터넷 검색시 자동으로 광고창을 생성하는 SubShop 광고 프로그램의 변종으로 알려진 TabStation 프로그램이 실제 사용자가 PC에서 설치되어 동작하는 정보가 확인되어 정보를 공유해 드립니다.

 

  검색 도우미 : TabStation (2013.8.18)

 

TabStation 프로그램의 존재는 2013년 8월 중순경 확인되었으며, 당시 분석을 위한 설치에서는 광고 동작을 위한 조건이 이루어지지 않도록 설치되어 실제 동작과 관련된 정보를 제공해 드리지 못하였습니다.

 

하지만 해당 프로그램이 다양한 사용자 PC에 설치되어 동작하는 모습을 확인해보면 기존의 SubShop 프로그램과 마찬가지로 사용자가 제어판을 통한 프로그램 삭제를 할 수 없도록 방해한다는 점과 다양한 이름으로 설치되어 자신을 숨기고 있다는 공통점을 발견할 수 있습니다.

 

■ TabStation 변종 프로그램(promoder) 정보

 

이번에 확인된 변종 프로그램은 "C:\Users\(사용자 계정)\AppData\Roaming\promoder" 폴더에 파일을 생성하여 동작하도록 제작되어 있습니다.

 

파일 경로

 C:\Users\(사용자 계정)\AppData\Roaming\promoder\PCOlib.dll

MD5

 2D264FC068A6AFC1A8C4F13C44C42F77

진단명

 Adware/W32.KrAdword.942280 (nProtect)

디지털 서명

 Adwill Communications Co., LTD.

파일 설명

 PC Clean Optimizer 프로그램

비고

 메모리 상주 파일

 

파일 경로

 C:\Users\(사용자 계정)\AppData\Roaming\promoder\portal.exe

MD5

 A511138A696A5A85CF0706B73B471FC8

진단명

 PUP/Win32.MWManager (AhnLab V3)

파일 설명

 MWMToolbar 에이전트 프로그램

비고

 메모리 상주 프로세스

 

파일 경로

 C:\Users\(사용자 계정)\AppData\Roaming\promoder\promoder.exe

MD5

 DC41889FE4FF4AAC42A60B51CDF01F5C

진단명

 Win32:Tabstation-A [Trj] (avast!)

디지털 서명

 yearsoft

파일 설명

 Tab Station Apply

비고

 메모리 상주 프로세스

 

파일 경로

 C:\Users\(사용자 계정)\AppData\Roaming\promoder\promoders.exe

MD5

 C53CFAD12EC1F953A7437554C171675D

디지털 서명

 yearsoft

파일 설명

 Tab Station Apply

제품 이름

 Tab Station

레지스트리

등록값

 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\promoders

비고

 서비스(promoders, 표시 이름 : Tab Station Apply) 등록 파일


시스템 시작시 "promoders (표시 이름 : Tab Station Apply)" 서비스 항목을 등록하여 "C:\Users\(사용자 계정)\AppData\Roaming\promoder\promoders.exe" 파일을 자동 실행한 후 프로그램 업데이트 체크 및 TabStation 광고 프로그램의 핵심적인 광고 기능을 수행하는 파일을 실행하여 동작이 이루어집니다.

 

최근 "Now Dream Service Application" 프로그램을 소개하면서 SubShop, TabStation, Now Dream Service Application 프로그램의 역할 분담에 대해 언급한 적이 있는데, TabStation 프로그램의 디지털 서명을 기준으로 보면 다음과 같이 분류할 수 있습니다.

  • promoders.exe, promoder.exe (디지털 서명 : yearsoft) : 다중 광고 모듈 탑재 프로그램 구동 파일
  • PCOlib.dll (디지털 서명 : Adwill Communications Co., LTD.) : PC Clean Optimizer 광고 모듈
  • portal.exe : WingGo 툴바 계열 광고 모듈

이처럼 TabStation 프로그램 내부에는 외부 광고 모듈이 1~2종 포함되어 있는 통합 광고 배포 프로그램으로 볼 수 있으며, 외부 분석을 방해할 목적으로 특정 조건에서 설치시에만 정상적으로 동작하도록 설치되는 것으로 추정됩니다.

 

설치된 프로그램의 대부분은 제어판의 설치 프로그램 목록에는 표시되지 않기 때문에 사용자는 프로그램을 손쉽게 삭제하기 매우 어렵도록 방해하고 있으며, 특히 국내 보안 제품의 진단을 우회할 목적으로 프로그램 설치 폴더 내부에는 삭제 파일(uninstall.exe 파일 추정)을 배치하는 꼼꼼함도 보이고 있습니다.

 

■ 프로그램 삭제 방법

 

프로그램 삭제를 위해서는 폴더 옵션에서 "숨김 파일, 폴더 및 드라이브 표시" 항목에 체크하시고 다음의 내용대로 수행하시기 바랍니다.

 

(1) "C:\Users\(사용자 계정)\AppData\Roaming\promoder\uninstall.exe" 파일이 존재하는 경우

 

Windows 탐색기를 통해 "C:\Users\(사용자 계정)\AppData\Roaming\promoder\uninstall.exe" 파일이 존재할 경우에는 직접 실행하여 프로그램을 삭제할 수 있습니다.

 

(2) 삭제 파일(uninstall.exe)이 존재하지 않는 경우

 

a. "보조 프로그램 → 명령 프롬프트" 메뉴를 "관리자 권한으로 실행"하여 생성된 명령 프롬프트 창에 [sc delete "promoders"] 명령어를 입력 및 실행하여 서비스 등록값을 삭제할 수 있습니다.

b. Windows 작업 관리자를 실행하여 portal.exe, promoder.exe 프로세스를 찾아 "프로세스 끝내기"를 하시기 바랍니다.

 

c. Internet Explorer 웹 브라우저를 종료한 상태에서 "C:\Users\(사용자 계정)\AppData\Roaming\promoder" 폴더를 찾아 삭제하시기 바랍니다.

 

최근까지도 SubShop, TabStation, Now Dream Service Application 등의 다양한 변종 프로그램이 제어판에는 등록하지 않는 배포 방식으로 사용자 PC에 설치되어 지속적인 수익 활동을 진행하고 있으며, 광고창이 수시로 생성되는 경우 일반적으로 제어판에 등록된 프로그램만 삭제하는 사용자의 습관을 교묘하게 비웃는 광고 프로그램이 있다는 점을 명심하시기 바랍니다.