울지않는벌새 : Security, Movie & Society

검색 도우미 : SpaceAD

벌새::Analysis

Internet Explorer 웹 브라우저 여백 영역에 광고 배너를 생성할 수 있는 국내에서 제작된 스페이스애드(SpaceAD) 광고 프로그램<SHA-1 : 3f995a706c2c2f3aec19b5b990c970037a65cdf3 - BitDefender : Gen:Variant.Graftor.50605 (VT : 22/53)>에 대해 살펴보도록 하겠습니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Program Files\SpaceAD
C:\Program Files\SpaceAD\spacead.exe :: 메모리 상주 프로세스
C:\Program Files\SpaceAD\SpaceAdb.dll :: BHO 등록 파일
C:\Program Files\SpaceAD\spaceadrn.exe
C:\Program Files\SpaceAD\SpaceAdSv.exe :: 서비스(SpaceAdSv) 등록 파일
C:\Program Files\SpaceAD\spacebanner.html
C:\Program Files\SpaceAD\uninstall.exe :: 프로그램 삭제 파일
C:\Users\Public\Documents\SpaceAD
C:\Users\Public\Documents\SpaceAD\sc1.dat
C:\Users\Public\Documents\SpaceAD\spacead.ini
C:\Users\Public\Documents\SpaceAD\spacebanner.html

 

[생성 파일 진단 정보]

 

C:\Program Files\SpaceAD\spacead.exe
 - SHA-1 : ede514fdb778781fafd0712de631c336411c67cb
 - ESET : a variant of Win32/Adware.Kraddare.FS (VT : 11/53)

 

C:\Program Files\SpaceAD\spaceadrn.exe
 - SHA-1 : 3155dba3b7c6eacd20729dd8a854c8d46507682d
 - ESET : Win32/Adware.Kraddare.CI (VT : 8/53)

raonmedia 디지털 서명이 포함된 해당 프로그램은 "C:\Program Files\SpaceAD" 폴더에 주요 파일을 생성합니다.

"SpaceAdSv (표시 이름 : SpaceAdSv)" 서비스 항목을 등록하여 시스템 시작시 "C:\Program Files\SpaceAD\SpaceAdSv.exe" 파일(SHA-1 : 7b08e3e62b357bd321e3a8225df734362293068a)을 자동 실행하여 "C:\Program Files\SpaceAD\spacead.exe" 파일을 추가 로딩하도록 구성되어 있습니다.

자동 실행된 파일(spacead.exe)은 1분이 경과하면 특정 서버에서 광고 구성값(C:\Users\Public\Documents\SpaceAD\sc1.dat, C:\Users\Public\Documents\SpaceAD\spacead.ini) 및 프로그램 업데이트 버전을 체크한 후 spacead.exe 프로세스를 메모리에 상주시킵니다.

 

이름

 SpaceAdObj Class

게시자

 raonmedia

유형

 브라우저 도우미 개체

CLSID

 {36355270-8AE5-466E-98A2-200F7F2F8E18}

파일

 C:\Program Files\SpaceAD\SpaceAdb.dll

 

또한 Internet Explorer 웹 브라우저의 확장 프로그램으로 "SpaceAdObj Class" 항목을 추가하여 "C:\Program Files\SpaceAD\SpaceAdb.dll" 파일(SHA-1 : df6c24bb9fda401636958d25fe01541ce8269cb0)을 로딩하며, 이를 통해 사용자가 웹 사이트 접속 URL 및 인터넷 검색 키워드 정보를 특정 광고 서버로 전송할 수 있습니다.(※ 해당 광고 기능의 중지를 위해서는 "으로 변경하시기 바랍니다.) 항목을 선택하여 "사용 안 함"으로 변경하시기 바랍니다.)

특히 "SpaceAdObj Class" 브라우저 도우미 개체(BHO) 등록시 생성되는 노란색 알림바를 통한 사용자의 사용 여부를 묻는 동작을 우회할 목적으로 "C:\Program Files\SpaceAD\spacead.exe" 파일이 자동으로 등록하도록 제작되어 있습니다.

 

스페이스애드(SpaceAD) 광고 프로그램은 추가적으로 Internet Explorer 웹 브라우저 실행시 "C:\Program Files\SpaceAD\SpaceAdb.dll" 파일이 가상 환경(VMware) 여부를 체크하여 핵심적인 광고 배너를 생성하는 "C:\Program Files\SpaceAD\spacead.exe" 파일 동작을 중지하도록 되어 있습니다.

 

만약 정상적으로 광고 동작이 이루어진다면 사용자가 Internet Explorer 웹 브라우저 실행을 통해 웹 사이트 접속 또는 인터넷 검색 등의 특정 조건이 만족시킬 경우 우측 빈 영역에 "SPACECLICK" 광고 배너를 노출할 수 있을 것으로 추정됩니다.

광고 기능 중지 및 프로그램 삭제시에는 우선적으로 Windows 작업 관리자를 실행하여 "모든 사용자의 프로세스 표시" 버튼을 클릭한 후 spacead.exe 프로세스를 찾아 종료하셔야 정상적으로 프로세스 종료를 할 수 있습니다.

프로그램 삭제는 제어판에 등록된 "SpaceAD 제거" 삭제 항목을 이용하여 삭제할 수 있습니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\{7E5AE82D-5209-4B30-88AC-210BBD2E38D8}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\SpaceAdSv.EXE
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{36355270-8AE5-466E-98A2-200F7F2F8E18}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{A6CE6A62-2F0D-4869-A085-A2FFA4E1F45E}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SpaceAd.SpaceAdObj
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SpaceAd.SpaceAdObj.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{6365D61D-A95E-4417-81A5-7456CBA8387B}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{6C03AC58-25DE-401B-8C2E-165038CDA6D9}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{36355270-8AE5-466E-98A2-200F7F2F8E18}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
SpaceAD 제거
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\SpaceAdSv

스페이스애드(SpaceAD) 광고 프로그램은 외부에서 프로그램 동작을 분석하지 못하게 제작되어 있으므로, 이 부분을 역으로 이용하여 광고 동작이 이루어지지 않도록 방해할 수 있으므로 링크 내용을 활용해 보시길 권장합니다.