본문 바로가기

벌새::Analysis

해외 제휴 프로그램 : YoutubeAdblocker

728x90
반응형

해외에서 배포되는 파일 실행시 추가적으로 설치되는 제휴 프로그램 중 유튜브(YouTube) 광고를 차단할 수 있는 기능을 제공한다는 프로그램을 통해 광고 페이지로 자동 납치가 이루어지는 기능을 가진 YoutubeAdblocker 프로그램에 대해 살펴보도록 하겠습니다.(※ 해당 프로그램은 YoUTubeAdBlocke, YoutubeuAdBlocke, YYoutuubeAdBlocke 등의 다양한 이름으로 설치될 수 있습니다.)

 

해당 프로그램은 변종에 따라 "Block YouTube Ads" 이름으로 설치될 수 있는 것으로 보이며, 이전에 소개한 "Beat the Boss 3 크랙 파일(.apk)로 위장한 해외 광고 프로그램 유포 사례"를 통해 설치되는 것을 알 수 있었습니다.

YoutubeAdblocker 프로그램의 경우 EzDownloader, ggreatsiaver 프로그램과 함께 동반 설치가 이루어지는 방식으로 함께 설치가 되고 있으며, 러시아 도메인(.ru)으로 등록된 웹 서버로부터 설치 파일<SHA-1 : e8f28e77a5b7379dcf6685ed4cb4e7990fc108c8 - avast! : Win32:InstMonetizer-J [PUP] (VT : 24/47)>을 다운로드하여 설치가 진행됩니다.

 

[생성 폴더 / 파일 등록 정보 : 일부 정보만 게시]

 

C:\Program Files\YoutubeAdblocker
C:\Program Files\YoutubeAdblocker\GV8hPE.dat
C:\Program Files\YoutubeAdblocker\GV8hPE.dll :: BHO 등록 파일(32비트 기준)
C:\Program Files\YoutubeAdblocker\GV8hPE.tlb
C:\Program Files\YoutubeAdblocker\GV8hPE.x64.dll :: BHO 등록 파일(64비트 기준)
C:\ProgramData\YoutubeAdblocker
C:\ProgramData\YoutubeAdblocker\VCwmc_c.dat
C:\ProgramData\YoutubeAdblocker\VCwmc_c.exe :: 프로그램 삭제 파일
C:\Users\(사용자 계정)\AppData\Local\Comodo\Dragon\User Data\Default\Extensions\cofmjfhpfjjfjblnikkghplfeofhmafo
C:\Users\(사용자 계정)\AppData\Local\Google\Chrome SxS\User Data\Default\Extensions\cofmjfhpfjjfjblnikkghplfeofhmafo
C:\Users\(사용자 계정)\AppData\Local\Google\Chrome\User Data\Default\Extensions\cofmjfhpfjjfjblnikkghplfeofhmafo
C:\Users\(사용자 계정)\AppData\Local\Torch\User Data\Default\Extensions\cofmjfhpfjjfjblnikkghplfeofhmafo
C:\Users\(사용자 계정)\AppData\LocalLow\{6EA0D062-81FC-1A4C-E7AB-C9AFC2751CAA}
C:\Users\(사용자 계정)\AppData\LocalLow\{6EA0D062-81FC-1A4C-E7AB-C9AFC2751CAA}\YoutubeAdblocker.2.7.dat

 

[생성 파일 진단 정보]

 

C:\Program Files\YoutubeAdblocker\GV8hPE.dll
 - SHA-1 : 147fa4281120c99ba14dc5d5951c1a2972bde759
 - Kaspersky : not-a-virus:AdWare.Win32.MegaSearch.ax (VT : 30/47)

 

C:\Program Files\YoutubeAdblocker\GV8hPE.x64.dll
 - SHA-1 : 8e518927746cd24c92dfacd4ea709e7154f43d56
 - ESET : a variant of Win64/Adware.MultiPlug.A (VT : 16/47)

 

YoutubeAdblocker 프로그램은 Internet Explorer 웹 브라우저 사용자의 경우 "C:\Program Files\YoutubeAdblocker" 폴더에 생성된 파일을 통해 브라우저 도우미 개체(BHO)에 등록하도록 제작되어 있습니다.

[추가 기능 관리 : 도구 모음 및 확장 프로그램]

 

이름 : YoutubeAdblocker

유형 : 브라우저 도우미 개체

CLSID : {6EA0D062-81FC-1A4C-E7AB-C9AFC2751CAA}

파일 : C:\Program Files\YoutubeAdblocker\GV8hPE.dll

 

Internet Explorer 웹 브라우저의 추가 기능 관리에 등록된 "YoutubeAdblocker" 브라우저 도우미 개체(BHO) 항목은 "C:\Program Files\YoutubeAdblocker\GV8hPE.dll" 파일을 통해 특정 조건에서 동작하도록 제작되어 있습니다.

 

흥미로운 점은 사용자가 등록된 "YoutubeAdblocker" 항목을 "사용 안 함"으로 변경하지 못하도록 버튼을 비활성화되도록 조작을 하였다는 점입니다.

 

  네이버(Naver)에 광고를 생성하는 Lyrics Shout 프로그램 주의 (2013.7.2)

 

위와 같은 버튼 비활성화 방식은 해외 광고 프로그램에서 악용하는 방식으로 보이며, 기존에 소개한 "Lyrics Shout" 프로그램에서 소개한 적이 있습니다.

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Ext\CLSID
 - {6EA0D062-81FC-1A4C-E7AB-C9AFC2751CAA} = 1

이번의 YoutubeAdblocker 프로그램의 경우에도 레지스트리 값에 {6EA0D062-81FC-1A4C-E7AB-C9AFC2751CAA} 값을 추가하여 버튼을 비활성화하고 있으므로, 해당 값을 반드시 삭제하셔야 버튼이 활성화됩니다.

 

또한 YoutubeAdblocker 프로그램은 Comodo Dragon, Google Chrome, Google Chrome SxS, Torch 웹 브라우저가 설치된 환경에서 확장 프로그램(chrome://extensions) 영역에 플러그인을 등록하는 방식으로 광고 기능을 수행하도록 제작되어 있습니다.

예를 들어 구글 크롬(Google Chrome) 웹 브라우저의 경우 확장 프로그램(chrome://extensions) 영역에 "YoutubeAdblocker 1.0" 플러그인을 자동 등록한 것을 확인할 수 있습니다.

 

  • 모든 웹 사이트의 데이터에 액세스
  • 탭 및 탐색 활동에 액세스
  • 앱, 확장 프로그램 및 테마 관리

설치된 YoutubeAdblocker 플러그인은 사용자가 Google Chrome 웹 브라우저를 이용하여 인터넷을 이용하는 과정에서 특정 조건에서 광고 생성 기능을 수행할 수 있으며, 유튜브(YouTube) 광고 차단 기능은 확인되지 않는 것으로 보입니다.

이렇게 설치된 YoutubeAdblocker 프로그램은 사용자가 인터넷 검색을 통해 웹 사이트에 접속하는 과정에서 자동으로 특정 광고 페이지로 납치를 시도하며, 해당 사이트에서 제공하는 프로그램을 추가 다운로드 유도 및 실행하도록 할 수 있습니다.

프로그램 삭제시에는 Internet Explorer 웹 브라우저를 종료한 상태에서 제어판에 등록된 "YoutubeAdblocker" 삭제 항목을 통해 삭제할 수 있습니다.

 

하지만 해당 삭제는 Internet Explorer 웹 브라우저에서 동작하는 기능만을 제거해주며, Google Chrome 웹 브라우저의 확장 프로그램에 등록된 기능은 다음과 같이 사용자가 추가적으로 삭제를 해주어야 합니다.

Google Chrome 웹 브라우저의 확장 프로그램(chrome://extensions)에 등록된 "YoutubeAdblocker 1.0" 항목을 찾아 우측에 표시된 휴지통 아이콘을 클릭하시면 삭제할 수 있습니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6EA0D062-81FC-1A4C-E7AB-C9AFC2751CAA}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{31E3BC75-2A09-4CFF-9C92-8D0ED8D1DC0F}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{C66F0B7A-BD67-4982-AF71-C6CA6E7F016F}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{EAF749DC-CD87-4B04-B22A-D4AC3FBCB2BC}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{E2343056-CC08-46AC-B898-BFC7ACF4E755}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\YoutubeAdblocker.YoutubeAdblocker
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\YoutubeAdblocker.YoutubeAdblocker.1.0
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6EA0D062-81FC-1A4C-E7AB-C9AFC2751CAA}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Ext\CLSID
 - {6EA0D062-81FC-1A4C-E7AB-C9AFC2751CAA} = 1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\4820778D-AB0D-6D18-C316-52A6A0E1D507}

 

해외 광고 프로그램의 경우에는 Internet Explorer 웹 브라우저 뿐만 아니라 Google Chrome, Mozilla Firefox 웹 브라우저에서도 광고 기능이 이루어질 수 있도록 추가적인 플러그인을 등록하기 때문에 단순히 제어판을 통한 프로그램 삭제를 통해 해결되지 않는 경우가 매우 많습니다.

 

그러므로 제어판을 통한 프로그램 삭제 이후에도 각 웹 브라우저의 확장 프로그램에 등록된 플러그인을 추가적으로 점검하여 사용자가 직접 설치한 플러그인이 아닌 경우에는 삭제를 하시기 바랍니다.

728x90
반응형