본문 바로가기

벌새::Analysis

검색 도우미 : AppIs(앱이즈) 1.0.4.2

728x90
반응형

인터넷 검색을 통해 웹 사이트 접속시 웹 브라우저 상단에 광고바를 생성하는 검색 도우미 AppIs(앱이즈) 프로그램<SHA-1 : e94166525d7e8309151918589f857f9e39d7e4f3 - AhnLab V3 : PUP/Win32.GoodComms (VT : 2/46)>에 대해 살펴보도록 하겠습니다.

 

  검색 도우미 : 앱이즈(AppIs) 1.0.0.1 (2012.1.6)

 

앱이즈(AppIs) 프로그램은 2012년 초부터 현재까지 버전 업데이트를 통해 배포가 이루어지고 있는 광고 프로그램이므로 참고하시기 바랍니다.

배포 파일을 통해 설치가 시작되면 특정 서버로부터 앱이즈(AppIs) 설치 파일<SHA-1 : 9fedf1bb787040629f29f53cc2cf679fff466c59 - AhnLab V3 : PUP/Win32.AppIs (VT : 2/47)>을 다운로드하여 임의의 폴더에 ISzumin.exe 파일명으로 생성 및 실행되어 설치가 진행됩니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Users\(사용자 계정)\AppData\Local\AppIs
C:\Users\(사용자 계정)\AppData\Local\AppIs\appis.exe :: 시작 프로그램(appis.exe) 등록 파일, 예약 작업(AppIs) 등록 파일, 메모리 상주 프로세스
C:\Users\(사용자 계정)\AppData\Local\AppIs\free.exe
C:\Users\(사용자 계정)\AppData\Local\AppIs\Log.txt
C:\Users\(사용자 계정)\AppData\Local\AppIs\observer.dll
C:\Users\(사용자 계정)\AppData\Local\AppIs\pintotask.vbs
C:\Users\(사용자 계정)\AppData\Local\AppIs\unins000.dat
C:\Users\(사용자 계정)\AppData\Local\AppIs\unins000.exe :: 프로그램 삭제 파일
C:\Users\(사용자 계정)\AppData\Local\AppIs\update.dat
C:\Users\(사용자 계정)\AppData\Local\AppIs\update.exe :: 시작 프로그램(update.exe) 등록 파일, 예약 작업(AppIsUpdate) 등록 파일
C:\Windows\System32\Tasks\AppIs
C:\Windows\System32\Tasks\AppIsUpdate

"goodcomms Inc." 디지털 서명이 포함된 AppIs(앱이즈) 프로그램은 "C:\Users\(사용자 계정)\AppData\Local\AppIs" 폴더에 파일을 생성하며, Windows 시작시 다음과 같은 2개의 시작 프로그램 항목을 등록하여 자동 실행되도록 구성되어 있습니다.

 

  • appis.exe = C:\Users\(사용자 계정)\AppData\Local\AppIs\appis.exe
  • update.exe = C:\Users\(사용자 계정)\AppData\Local\AppIs\update.exe

또한 예약 작업 영역에 AppIs(C:\Users\(사용자 계정)\AppData\Local\AppIs\appis.exe), AppIsUpdate(C:\Users\(사용자 계정)\AppData\Local\AppIs\update.exe admin) 2개의 작업 스케줄러를 등록하여 시스템 시작시 자동 실행되도록 구성되어 있습니다.

 

이를 통해 자동 실행된 update.exe 파일은 프로그램 업데이트 체크를 수행하며, appis.exe 파일은 메모리에 상주합니다.

프로그램이 설치된 환경에서는 사용자가 인터넷 검색을 통해 접속한 웹 사이트의 상단에 2가지 형태의 광고바를 생성합니다.

해당 광고 동작은 메모리에 상주하는 appis.exe 프로세스를 통해 이루어지므로, 광고 동작 중지 및 프로그램 삭제시에는 Windows 작업 관리자를 실행하여 appis.exe 프로세스를 찾아 종료하시기 바랍니다.

프로그램 삭제는 제어판에 등록된 "AppIs(앱이즈)" 삭제 항목을 이용하여 삭제할 수 있습니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\AppIs
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - appis.exe = C:\Users\(사용자 계정)\AppData\Local\AppIs\appis.exe
 - update.exe = C:\Users\(사용자 계정)\AppData\Local\AppIs\update.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\AppIs(앱이즈)_is1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{5F030F25-FCC8-4E15-AB7E-C5F0078B9E92}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{E6323635-BF83-48A1-8AF2-D4F52D2394BD}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\AppIs
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\AppIsUpdate

 

AppIs(앱이즈) 검색 도우미 프로그램은 업데이트를 통해 지속적으로 파일 교체가 이루어질 수 있으며, 운영 체제에 따라서는 11번가, G마켓, 옥션 바로가기 아이콘 생성이 이루어질 수 있습니다.

 

728x90
반응형