울지않는벌새 : Security, Movie & Society

"dualpage.co.kr" 홈 페이지를 추가하는 "Internet Dualpage KB25031400" 프로그램 주의 (2014.4.4)

벌새::Analysis

Internet Explorer 웹 브라우저 실행시 "새 브라우저 살펴보기(dualpage.co.kr)" 홈 페이지를 오픈하는 "Internet Dualpage KB25031400" 광고 프로그램<SHA-1 : 4b843353305a216b69ec30ac61b9b5ab1b741ae1 - AhnLab V3 : PUP/Win32.KorAd (VT : 19/50)>에 대해 살펴보도록 하겠습니다.

 

  검색 도우미 : SK Abouttabs v11 (2013.11.14)

 

  검색 도우미 : Internet Explustabs v1.1 (2014.1.29)

 

해당 프로그램은 기존에 유사한 기능을 가진 다양한 변종 프로그램이 존재하므로 참고하시기 바랍니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Program Files\dualpage
C:\Program Files\dualpage\dualpage.exe :: 업데이트 창 생성 파일
C:\Program Files\dualpage\dualpagecnt.exe
C:\Program Files\dualpage\dualpagesvc.exe :: 서비스(dualpage) 등록 파일
C:\Program Files\dualpage\uninst.exe :: 프로그램 삭제 파일
C:\Users\(사용자 계정)\AppData\Local\VirtualStore\Windows
C:\Users\(사용자 계정)\AppData\Local\VirtualStore\Windows\dualpage.ini

 

[생성 파일 진단 정보]

 

C:\Program Files\dualpage\dualpage.exe
 - SHA-1 : 7c9422387cfad5f5a973d09b96a9675f3684a449
 - AhnLab V3 : PUP/Win32.AboutTab (VT : 16/51)

 

C:\Program Files\dualpage\dualpagesvc.exe
 - SHA-1 : 5e15ae85c9bf9a248d6065f8c11f6a779700d596
 - avast! : Win32:Adware-gen [Adw] (VT : 12/50)

"에스케이소프트뱅크" 디지털 서명이 포함된 "Internet Dualpage KB25031400" 프로그램은 "C:\Program Files\dualpage" 폴더에 파일을 생성합니다.

"dualpage (표시 이름 : dualpage svc)" 서비스 항목을 등록하여 시스템 시작시 "C:\Program Files\dualpage\dualpagesvc.exe" 파일을 자동 실행하여 "C:\Program Files\dualpage\dualpage.exe" 파일을 로딩합니다.

실행된 파일(dualpage.exe)은 특정 서버에서 업데이트 정보를 체크하여 특정 시점에서는 다음과 같은 "정기 업데이트 안내" 창 생성을 통해 다수의 제휴 프로그램의 설치를 유도할 수 있으므로 주의하시기 바랍니다.

테스트 시점에서 생성된 업데이트 창에서는 총 12종의 제휴 프로그램이 추가되어 있으며, 사용자가 체크 박스를 해제하지 않은 상태로 확인 버튼을 클릭할 경우 자동으로 설치됩니다.

 

특히 업데이트 창 종료는 좌측 상단의 닫기(X) 버튼을 클릭하여 가능하며 종료시 생성되는 메시지 창에서는 사용자에게 혼동을 유발하는 문구가 포함되어 있으므로 주의하시기 바랍니다.

 

(1) 제휴 프로그램 : Windows dtconaboutbaks (2013.12.12)

  • h**p://dn.***setup.com/131210/set_deatabak.exe (SHA-1 : d34bcd6ca11d08634afddb188dafe12497d3a5f6) - Kaspersky : not-a-virus:AdWare.Win32.Kraddare.ji (VT : 35/51)

(2) 홈케어(HomeCare) 유해 사이트 차단 프로그램에 포함된 광고 기능 주의 (2014.4.12)

  • h**p://home****system.kr/app/1.0/install/HC_Setup_Site_PID_05.exe (SHA-1 : 568dd9b55b2cf21a7e54be79b25a868b6ae54ea8) - avast! : Win32:Adware-AZC [Adw] (VT : 2/51)

해당 프로그램은 광고 기능이 필수적으로 포함된 유해 사이트 차단 프로그램입니다.

 

(3) 검색 도우미 : InsideTool (2013.5.13)

  • h**p://dn.***setup.com/130701/IETab__IE105.exe (SHA-1 : 0dddba7b5e8cf245c6426747543ae570ba2c56fb) - AhnLab V3 : PUP/Win32.InsideTool (VT : 21/51)

(4) 검색 도우미 : Windows Winerspop (2012.10.21)

  • h**p://dn.***setup.com/130701/winspop_runpart.exe (SHA-1 : f2a279a5afbd7d46195388a38e575050a808406a) - AhnLab V3 : PUP/Win32.Winerspop (VT : 9/49)

(5) 다운로드 도우미 : INSAFE Client 1.0 (2013.4.3)

  • h**p://dn.***setup.com/130701/setup_tang.exe (SHA-1 : a4ef227f8b8b3271b7ae666f7d8af553a48a4edb) - nProtect : Adware/W32.Agent.1147584 (VT : 8/50)

(6) 개인정보 보안 솔루션 : 마스터보안(MasterBoan) (2012.7.6)

  • h**p://down.master****.com/masterboan_dual.exe (SHA-1 : 508121b4a52dbc6ce8b5703affddaac602d7f75a) - ESET : a variant of Win32/Adware.Kraddare.HB (VT : 11/51)

(7) PC 최적화 프로그램 : 부스터클린(BoosterClean, Booster-Clean) (2013.5.2)

  • h**p://down.boost**clean.com/boosterclean_dual.exe (SHA-1 : f0cd2240817450ea24b691f24ad0b1c9a48fd76a)

(8) 검색 도우미 : DreamPrime - jlewalle (2014.3.30)

  • h**p://down.dr***prime.net/dreams6/DreamInst.exe (SHA-1 : 2df838f27f8b5a6f7b826cde95ec4209d5afb264) - AhnLab V3 : PUP/Win32.SubShop (VT : 4/51)

DreamPrime 광고 프로그램은 다양한 변종에 따라 "C:\Users\(사용자 계정)\AppData\Roaming" 폴더 내에 임의의 폴더(파일)명으로 설치되며, 제어판을 통한 프로그램 삭제를 할 수 없도록 제작된 악성 광고 프로그램입니다.

 

(9) 검색 도우미 : quickad (2013.11.6)

  • h**p://dn.***setup.com/140124/Setup_quickad.exe (SHA-1 : 9363247114de0852d50809ebdaeb4e6086feff59) - AhnLab V3 : Win-AppCare/Windowsnas.363427 (VT : 36/51)

(10) 검색 도우미 : Windows Now Pack Drivers (2013.11.24)

  • h**p://dn.***setup.com/140402/setup_j2navi.exe (SHA-1 : 47c3d2d2412cbbc56176a6464364c86076e6b0fe) - AhnLab V3 : PUP/Win32.Helper (VT : 3/51)

(11) 검색 도우미 : SearchLike (2013.10.1)

  • h**p://down.search****.co.kr/distribute/SLSimple/searchlike.exe (SHA-1 : f1014b0192cd96800d209218d4e0dffcd6b2bb9a) - AhnLab V3 : PUP/Win32.SearchLike (VT : 21/51)

(12) 검색 도우미 : SbTool (2013.12.4)

  • h**p://dn.***setup.com/131210/SbTool_alogme.exe (SHA-1 : 83978c7dede383cff2b9739b8517d8f2ad23fdc5) - AhnLab V3 : PUP/Win32.NBiz (VT : 13/50)

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
 - Secondary Start Pages =
http://dualpage.co.kr/

"Internet Dualpage KB25031400" 프로그램이 설치된 환경에서 Internet Explorer 웹 브라우저의 두 번째 홈 페이지(Secondary Start Pages) 값에 "새 브라우저 살펴보기(dualpage.co.kr)" 웹 사이트를 추가하여 자동으로 오픈되도록 설정을 변경합니다.

 

이를 통해 해당 웹 사이트에 노출되는 제휴 코드가 포함된 인터넷 쇼핑몰과 구글 애드센스(Google AdSense)를 통해 수익을 창출할 수 있습니다.

특히 Windows 부팅시 자동 실행되는 "C:\Program Files\dualpage\dualpage.exe" 파일은 두 번째 홈 페이지(Secondary Start Pages)가 제거된 경우 자동으로 복구하여, "Internet Dualpage KB25031400" 프로그램 삭제를 하지 않는 경우에는 지속적으로 홈 페이지 변경을 시도합니다.

프로그램 삭제는 제어판에 등록된 "Internet Dualpage KB25031400" 삭제 항목을 이용하여 삭제할 수 있습니다.

프로그램 삭제 후에는 추가적으로 인터넷 옵션의 홈 페이지에 등록된 두 번째 홈 페이지(Secondary Start Pages) 주소(h**p://dualpage.co.kr/)를 찾아 삭제하시기 바랍니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
 - Secondary Start Pages = http://dualpage.co.kr/
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\dualpagesvc.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
Internet Dualpage KB25031400
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\dualpage

 

"Internet Dualpage KB25031400" 프로그램의 이름은 마치 Windows 관련 보안 패치처럼 등록하여 사용자에게 혼동을 유발하고 있으며, 원치않는 "새 브라우저 살펴보기(dualpage.co.kr)" 웹 사이트를 홈 페이지와 업데이트 창을 통한 제휴 프로그램 설치 유도 행위를 통해 불편을 주고 있으므로 설치되지 않도록 주의하시기 바랍니다.