본문 바로가기

벌새::Analysis

검색 도우미 : Internet Explustabs v1.1

Internet Explorer 웹 브라우저 실행시 "새 브라우저 살펴보기" 광고 페이지(h**p://www.plustabs.com/)가 자동으로 오픈되며, Windows 부팅시 업데이트 창 생성을 통해 제휴 프로그램 설치를 유도할 수 있는 "Internet Explustabs v1.1" 프로그램<SHA-1 : f0311f25fea040cf8c46da3120ee90cd16e80dca - AhnLab V3 : PUP/Win32.KorAd (VT : 23/50)>에 대해 살펴보도록 하겠습니다.

 

  검색 도우미 : SK Abouttabs v11 (2013.11.14)

 

해당 프로그램은 기존에 배포된 "SK Abouttabs v11" 프로그램과 유사성이 강하므로 참고하시기 바랍니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Program Files\skplustabs
C:\Program Files\skplustabs\plustabs.dll
C:\Program Files\skplustabs\plustabs.exe :: 메모리 상주 프로세스
C:\Program Files\skplustabs\plustabscnt.exe
C:\Program Files\skplustabs\plustabsvc.exe :: 서비스(plustabs) 등록 파일
C:\Program Files\skplustabs\uninst.exe :: 프로그램 삭제 파일
C:\Users\(사용자 계정)\AppData\Local\VirtualStore\Windows\plustabs.ini

 

[생성 파일 진단 정보]

 

C:\Program Files\skplustabs\plustabs.dll
 - SHA-1 : 700bfc3fd4216e069f1cd58f26e63c6fe0edff6d
 - BitDefender : Gen:Variant.Symmi.36013 (VT : 14/50)

 

C:\Program Files\skplustabs\plustabs.exe
 - SHA-1 : 3ea8532420f7a2adacc6cee01c9691c54afecf45
 - ESET : a variant of Win32/Adware.Kraddare.HX (VT : 9/50)

 

C:\Program Files\skplustabs\plustabscnt.exe
 - SHA-1 : 8ab036b8db9a96b2c9da396ea8b27159e59740f1
 - nProtect : Trojan/W32.Agent.16384.AZL (VT : 2/49)

 

C:\Program Files\skplustabs\plustabsvc.exe
 - SHA-1 : dd1e2b4a787cdb0c9e459a8cf9b65f680dc94449
 - nProtect : Adware/W32.KrAdword.98386 (VT : 19/49)

"에스케이소프트뱅크" 디지털 서명이 포함된 "Internet Explustabs v1.1" 프로그램은 "C:\Program Files\skplustabs" 폴더에 파일을 생성합니다.

해당 프로그램은 "plustabs (표시 이름 : plustabs svc)" 서비스 항목을 등록하여 시스템 시작시 "C:\Program Files\skplustabs\plustabsvc.exe" 파일을 자동 실행하여 "C:\Program Files\skplustabs\plustabs.exe" 파일을 로딩하도록 제작되어 있습니다.

실행된 "C:\Program Files\skplustabs\plustabs.exe" 파일은 특정 서버로부터 정보를 체크하여 추가적인 프로그램이 등록되어 있는 경우 "정기 업데이트 안내" 창을 생성하여 다수의 제휴 프로그램의 설치를 유도할 수 있으므로 주의하시기 바랍니다.

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
 - Secondary Start Pages =
www.plustabs.com/

"Internet Explustabs v1.1" 프로그램이 설치된 환경에서는 Internet Explorer 웹 브라우저의 홈 페이지 영역에 두 번째 홈 페이지(Secondary Start Pages) 주소(h**p://www.plustabs.com/)를 추가하도록 되어 있습니다.

이를 통해 사용자가 Internet Explorer 웹 브라우저를 실행할 경우 사용자가 지정한 홈 페이지 이외에 자동으로 "새 브라우저 살펴보기(h**p://www.plustabs.com/)" 웹 페이지가 오픈됩니다.

 

해당 웹 페이지는 구글 애드센스(Google AdSense) 광고 배너와 함께 제휴 코드가 추가된 11번가, G마켓, 옥션 바로가기를 통해 수익을 창출하도록 제작되어 있습니다.

특히 사용자가 "Internet Explustabs v1.1" 프로그램 삭제를 하지 않은 상태에서 추가된 홈 페이지(h**p://www.plustabs.com/) 주소만을 삭제한 경우, Windows 부팅시마다 자동 실행되는 "C:\Program Files\skplustabs\plustabs.exe" 파일이 반복적으로 홈 페이지를 변경하도록 되어 있습니다.

해당 프로그램 기능 중지 및 프로그램 삭제 삭제시에는 Windows 작업 관리자를 실행하여 메모리에 상주하는 plustabs.exe 프로세스를 찾아 종료하시기 바랍니다.

그 후 Internet Explorer 웹 브라우저를 종료한 상태에서 제어판에 등록된 "Internet Explustabs v1.1" 삭제 항목을 이용하여 프로그램 삭제를 할 수 있습니다.

 

프로그램 삭제 후에는 "인터넷 옵션 → 일반 → 홈 페이지" 항목에 추가된 "h**p://www.plustabs.com/" 홈 페이지 주소를 추가적으로 삭제하시기 바랍니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
 - Secondary Start Pages = www.plustabs.com/
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\plustabsvc.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
Internet Explustabs v1.1
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\plustabs

 

해당 프로그램처럼 홈 페이지 주소에 추가적인 주소를 포함하여 "새 브라우저 살펴보기" 웹 페이지를 오픈하는 광고 프로그램이 종종 발견되고 있으므로 주의하시기 바랍니다.

 

 
  • 하.. 2014.01.30 11:35 댓글주소 수정/삭제 댓글쓰기

    안녕하세요.

    컴퓨터에 대해 몇가지 여쭤보고 싶은데..

    시스템복원할때 자꾸 오류가 뜨면서 안되는데..

    processclean을 추출 못했다고 하고 dowmhelpersetup_pop 을 추출하지 못했다고 하고.. 어떡해야하나요

    • 말씀하시는 부분을 통해 유추를 해보면 사용자는 AhnLab V3 보안 제품을 이용하시는 것 같습니다.

      현재 안랩 제품에서는 ProcessClean, DownHelper와 같은 프로그램을 악성 프로그램으로 진단하여 차단을 하고 있을 것으로 보입니다.

      그러므로 시스템 복원을 통해 백업된 관련 파일이 복원 과정에서 V3에 의해 차단되었기 때문에 발생하는 문제입니다.

      글을 봐서는 시스템 복원을 위한 백업 파일 내에 악성 프로그램이 포함되어 있는 것으로 보이므로 복원을 차라리 하지 않는게 더 좋을 것 같습니다.

  • 비밀댓글입니다

    • 도메인까지 동일한데 폴더가 없다면 다른 위치에 설치되었거나 변종 프로그램이 존재할 가능성도 있습니다.

      이런 경우에는 Windows 작업 관리자에 뜨는 plustabs.exe 파일이 어느 폴더에 위치한지 확인해 보시기 바랍니다.