울지않는벌새 : Security, Movie & Society

검색 도우미 : Internet Explustabs v1.1

벌새::Analysis

Internet Explorer 웹 브라우저 실행시 "새 브라우저 살펴보기" 광고 페이지(h**p://www.plustabs.com/)가 자동으로 오픈되며, Windows 부팅시 업데이트 창 생성을 통해 제휴 프로그램 설치를 유도할 수 있는 "Internet Explustabs v1.1" 프로그램<SHA-1 : f0311f25fea040cf8c46da3120ee90cd16e80dca - AhnLab V3 : PUP/Win32.KorAd (VT : 23/50)>에 대해 살펴보도록 하겠습니다.

 

  검색 도우미 : SK Abouttabs v11 (2013.11.14)

 

해당 프로그램은 기존에 배포된 "SK Abouttabs v11" 프로그램과 유사성이 강하므로 참고하시기 바랍니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Program Files\skplustabs
C:\Program Files\skplustabs\plustabs.dll
C:\Program Files\skplustabs\plustabs.exe :: 메모리 상주 프로세스
C:\Program Files\skplustabs\plustabscnt.exe
C:\Program Files\skplustabs\plustabsvc.exe :: 서비스(plustabs) 등록 파일
C:\Program Files\skplustabs\uninst.exe :: 프로그램 삭제 파일
C:\Users\(사용자 계정)\AppData\Local\VirtualStore\Windows\plustabs.ini

 

[생성 파일 진단 정보]

 

C:\Program Files\skplustabs\plustabs.dll
 - SHA-1 : 700bfc3fd4216e069f1cd58f26e63c6fe0edff6d
 - BitDefender : Gen:Variant.Symmi.36013 (VT : 14/50)

 

C:\Program Files\skplustabs\plustabs.exe
 - SHA-1 : 3ea8532420f7a2adacc6cee01c9691c54afecf45
 - ESET : a variant of Win32/Adware.Kraddare.HX (VT : 9/50)

 

C:\Program Files\skplustabs\plustabscnt.exe
 - SHA-1 : 8ab036b8db9a96b2c9da396ea8b27159e59740f1
 - nProtect : Trojan/W32.Agent.16384.AZL (VT : 2/49)

 

C:\Program Files\skplustabs\plustabsvc.exe
 - SHA-1 : dd1e2b4a787cdb0c9e459a8cf9b65f680dc94449
 - nProtect : Adware/W32.KrAdword.98386 (VT : 19/49)

"에스케이소프트뱅크" 디지털 서명이 포함된 "Internet Explustabs v1.1" 프로그램은 "C:\Program Files\skplustabs" 폴더에 파일을 생성합니다.

해당 프로그램은 "plustabs (표시 이름 : plustabs svc)" 서비스 항목을 등록하여 시스템 시작시 "C:\Program Files\skplustabs\plustabsvc.exe" 파일을 자동 실행하여 "C:\Program Files\skplustabs\plustabs.exe" 파일을 로딩하도록 제작되어 있습니다.

실행된 "C:\Program Files\skplustabs\plustabs.exe" 파일은 특정 서버로부터 정보를 체크하여 추가적인 프로그램이 등록되어 있는 경우 "정기 업데이트 안내" 창을 생성하여 다수의 제휴 프로그램의 설치를 유도할 수 있으므로 주의하시기 바랍니다.

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
 - Secondary Start Pages =
www.plustabs.com/

"Internet Explustabs v1.1" 프로그램이 설치된 환경에서는 Internet Explorer 웹 브라우저의 홈 페이지 영역에 두 번째 홈 페이지(Secondary Start Pages) 주소(h**p://www.plustabs.com/)를 추가하도록 되어 있습니다.

이를 통해 사용자가 Internet Explorer 웹 브라우저를 실행할 경우 사용자가 지정한 홈 페이지 이외에 자동으로 "새 브라우저 살펴보기(h**p://www.plustabs.com/)" 웹 페이지가 오픈됩니다.

 

해당 웹 페이지는 구글 애드센스(Google AdSense) 광고 배너와 함께 제휴 코드가 추가된 11번가, G마켓, 옥션 바로가기를 통해 수익을 창출하도록 제작되어 있습니다.

특히 사용자가 "Internet Explustabs v1.1" 프로그램 삭제를 하지 않은 상태에서 추가된 홈 페이지(h**p://www.plustabs.com/) 주소만을 삭제한 경우, Windows 부팅시마다 자동 실행되는 "C:\Program Files\skplustabs\plustabs.exe" 파일이 반복적으로 홈 페이지를 변경하도록 되어 있습니다.

해당 프로그램 기능 중지 및 프로그램 삭제 삭제시에는 Windows 작업 관리자를 실행하여 메모리에 상주하는 plustabs.exe 프로세스를 찾아 종료하시기 바랍니다.

그 후 Internet Explorer 웹 브라우저를 종료한 상태에서 제어판에 등록된 "Internet Explustabs v1.1" 삭제 항목을 이용하여 프로그램 삭제를 할 수 있습니다.

 

프로그램 삭제 후에는 "인터넷 옵션 → 일반 → 홈 페이지" 항목에 추가된 "h**p://www.plustabs.com/" 홈 페이지 주소를 추가적으로 삭제하시기 바랍니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
 - Secondary Start Pages = www.plustabs.com/
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\plustabsvc.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
Internet Explustabs v1.1
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\plustabs

 

해당 프로그램처럼 홈 페이지 주소에 추가적인 주소를 포함하여 "새 브라우저 살펴보기" 웹 페이지를 오픈하는 광고 프로그램이 종종 발견되고 있으므로 주의하시기 바랍니다.