울지않는벌새 : Security, Movie & Society

검색 도우미 : TopHard

벌새::Analysis

인터넷 검색을 통해 웹 사이트 접속시 웹 브라우저 상단에 광고바를 생성하는 검색 도우미 TopHard 프로그램에 대해 살펴보도록 하겠습니다.

 

  검색 도우미 : TopTool (2013.5.23)

 

해당 프로그램은 기존의 TopTool 검색 도우미 프로그램의 변종이며, 확인되지 않은 배포 파일을 통해 특정 서버로부터 설치 파일<SHA-1 : 89064e8d73cb1c8cace801dff43b3b13f962bb9d - nProtect : Adware/W32.Agent.331312 (VT : 22/50)>을 다운로드하여 설치가 이루어지고 있습니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Program Files\TopHard
C:\Program Files\TopHard\TopHard.exe :: 시작 프로그램 등록 파일, 메모리 상주 프로세스
C:\Program Files\TopHard\TopHardHelper.dll
C:\Program Files\TopHard\Uninstall.exe :: 프로그램 삭제 파일
C:\Users\(사용자 계정)\AppData\Roaming\TopHard
C:\Users\(사용자 계정)\AppData\Roaming\TopHard\setting.dat

 

[생성 파일 진단 정보]

 

C:\Program Files\TopHard\TopHard.exe
 - SHA-1 : 7766b608c803a80b76ecc99e174a9884a57520af
 - avast! : Win32:Adware-BBH [PUP] (VT : 14/50)

 

C:\Program Files\TopHard\TopHardHelper.dll
 - SHA-1 : 839eb1408ca3ab468fd1c0fa60fdd11b8dbee71e
 - BitDefender : Gen:Variant.Adware.Sidetab.1 (VT : 13/50)

"nbiz Ltd." 디지털 서명이 포함된 TopHard 검색 도우미 프로그램은 Windows 시작시 "C:\Program Files\TopHard\TopHard.exe" 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.

 

자동 실행된 프로그램은 업데이트 체크 및 구성값 정보를 체크한 후 메모리에 상주하여 다음과 같은 동작을 수행합니다.

실행된 프로그램은 사용자가 인터넷 검색을 통해 웹 사이트에 접속할 경우 검색 키워드 값을 참조하여 웹 브라우저 상단에 광고바를 생성하며, 해당 광고를 통해 광고 사이트에 접속시 "ma.biz.daum.net" 제휴 코드가 추가되어 연결이 이루어지고 있습니다.

해당 광고 동작은 메모리에 상주하는 TopHard.exe 프로세스를 통해 이루어지므로, 광고 동작 중지 및 프로그램 삭제시에는 Windows 작업 관리자를 실행하여 TopHard.exe 프로세스를 찾아 종료하시기 바랍니다.

프로그램 삭제시에는 Internet Explorer 웹 브라우저를 종료한 상태에서 제어판에 등록된 "TopHard" 삭제 항목을 이용하여 삭제할 수 있습니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\TopHard
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - TopHard = "C:\Program Files\TopHard\TopHard.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
TopHard

 

TopHard 검색 도우미 프로그램은 인터넷 검색시 원치않는 광고바 생성을 유발하여 불편을 유발할 수 있으므로 주의하시기 바랍니다.