본문 바로가기

벌새::Analysis

해외 광고 프로그램 : Search Protect

반응형

해외에서 제작되어 웹 브라우저의 홈 페이지, 기본 검색 공급자, 새 탭을 "www.trovi.com" URL 주소로 변경하는 기능을 가진 "Search Protect" 광고 프로그램에 대해 살펴보도록 하겠습니다.

대표적인 배포 방식을 살펴보면 CD / DVD / BD 이미지 파일을 처리할 수 있으며 가상 드라이브를 지원하는 PowerISO 프로그램의 제휴 프로그램으로 포함되어 있으며, 이로 인하여 일부 보안 제품에서는 PowerISO 설치 파일<SHA-1 : dfa758c166522a9bb66cada35a235e20f5c99661 - ESET : a variant of Win32/OpenCandy.A (VT : 10/53)>을 진단할 수 있습니다.

 

설치 과정을 살펴보면 PowerISO 프로그램 설치시 "C:\Users\(사용자 계정)\AppData\Local\Temp\sp-downloader.exe" 파일<SHA-1 : a01cae4a9c48beb8a490c3e88cb03f9b95c31671 - AVG : Generic.D18 (VT : 8/52)>을 생성하여 다음과 같은 추가적인 다운로드 및 실행을 통해 설치가 진행됩니다.

 

  • h**p://**-storage.spccinta.com/stub/spstub.exe (SHA-1 : 7028f239fac673ee7dc7772acc75d759ea73837d) - AhnLab V3 : PUP/Win32.SearchProtect.C554286 (VT : 15/55)
  • h**p://**-storage.spccinta.com/Installer/2.17.2.3/SPSetup.exe (SHA-1 : 54be56b6705eb161677dee881a9e7b72e5861179) - AhnLab V3 : PUP/Win32.SearchProtect.R118865 (VT : 20/55)
[생성 폴더 / 파일 등록 정보]

 

C:\Program Files\SearchProtect
C:\Program Files\SearchProtect\EULA.txt
C:\Program Files\SearchProtect\Main
C:\Program Files\SearchProtect\Main\bin
C:\Program Files\SearchProtect\Main\bin\CltMngSvc.exe :: 서비스(CltMngSvc) 등록 파일, 메모리 상주 프로세스
C:\Program Files\SearchProtect\Main\bin\SPTool.dll
C:\Program Files\SearchProtect\Main\bin\uninstall.exe :: 프로그램 삭제 파일
C:\Program Files\SearchProtect\Main\rep
C:\Program Files\SearchProtect\SearchProtect
C:\Program Files\SearchProtect\SearchProtect\bin
C:\Program Files\SearchProtect\SearchProtect\bin\cltmng.exe :: 메모리 상주 프로세스
C:\Program Files\SearchProtect\SearchProtect\bin\SPTool64.exe
C:\Program Files\SearchProtect\SearchProtect\bin\SPVC32.dll
C:\Program Files\SearchProtect\SearchProtect\bin\SPVC32Loader.dll
C:\Program Files\SearchProtect\SearchProtect\bin\SPVC64.dll
C:\Program Files\SearchProtect\SearchProtect\bin\SPVC64Loader.dll
C:\Program Files\SearchProtect\SearchProtect\rep
C:\Program Files\SearchProtect\UI
C:\Program Files\SearchProtect\UI\bin
C:\Program Files\SearchProtect\UI\bin\cltmngui.exe :: 메모리 상주 프로세스
C:\Program Files\SearchProtect\UI\dialogs
C:\Program Files\SearchProtect\UI\dialogs\Consent
C:\Program Files\SearchProtect\UI\dialogs\Images
C:\Program Files\SearchProtect\UI\dialogs\libs
C:\Program Files\SearchProtect\UI\dialogs\protection
C:\Program Files\SearchProtect\UI\dialogs\protectionDS
C:\Program Files\SearchProtect\UI\dialogs\settings
C:\Program Files\SearchProtect\UI\dialogs\settings.html
C:\Program Files\SearchProtect\UI\dialogs\style.css
C:\Program Files\SearchProtect\UI\dialogs\uninstall
C:\Program Files\SearchProtect\UI\rep
C:\Users\(사용자 계정)\AppData\Local\SearchProtect
C:\Users\(사용자 계정)\AppData\Local\SearchProtect\SearchProtect
C:\Users\(사용자 계정)\AppData\Local\SearchProtect\SearchProtect\rep
C:\Users\(사용자 계정)\AppData\Local\SearchProtect\SearchProtect\STG
C:\Users\(사용자 계정)\AppData\Local\SearchProtect\UI
C:\Users\(사용자 계정)\AppData\Local\SearchProtect\UI\rep
C:\Users\(사용자 계정)\AppData\Local\Temp\nsi5377.exe
C:\Users\(사용자 계정)\AppData\Local\Temp\nsn2A20.exe
C:\Users\(사용자 계정)\AppData\Local\Temp\nsy26B6.exe
C:\Users\(사용자 계정)\AppData\Local\Temp\nsy4EA6.exe
C:\Users\(사용자 계정)\AppData\Local\Temp\sp-downloader.exe
C:\Windows\AppPatch\spbin
C:\Windows\AppPatch\spbin\cltmng.exe
C:\Windows\AppPatch\spbin\SPTool64.exe
C:\Windows\AppPatch\spbin\SPVC32.dll
C:\Windows\AppPatch\spbin\SPVC32Loader.dll
C:\Windows\AppPatch\spbin\SPVC64.dll
C:\Windows\AppPatch\spbin\SPVC64Loader.dll

 

[생성 파일 진단 정보]

 

C:\Program Files\SearchProtect\Main\bin\CltMngSvc.exe
 - SHA-1 : 10ab6f5bf2ae7b357a7e1bee97aa30a6512de7de
 - avast! : Win32:Conduit-B [PUP] (VT : 15/55)

 

C:\Program Files\SearchProtect\Main\bin\SPTool.dll
 - SHA-1 : bb6e4efdcddc5c876ef941a8e8fc8c37a558c6d3
 - AVG : ClientConnect.E0C (VT : 14/55)

 

C:\Program Files\SearchProtect\SearchProtect\bin\cltmng.exe (= C:\Windows\AppPatch\spbin\cltmng.exe)
 - SHA-1 : 7f851f7f3ab08bb489a9e9553635acff24bd2f4f
 - ESET : a variant of Win32/Conduit.SearchProtect.I (VT : 17/55)

 

C:\Program Files\SearchProtect\SearchProtect\bin\SPTool64.exe (= C:\Windows\AppPatch\spbin\SPTool64.exe)
 - SHA-1 : ed0bb5c058dd66d8cf7fc430901119e5fa9460e8
 - ESET : a variant of Win32/ClientConnect.A (VT : 10/52)

 

C:\Program Files\SearchProtect\SearchProtect\bin\SPVC32.dll (= C:\Windows\AppPatch\spbin\SPVC32.dll)
 - SHA-1 : 3ecb52e629a307f1154a11ffc420feaba8805651
 - BitDefender : Application.SearchProtect.R (VT : 16/55)

 

C:\Program Files\SearchProtect\SearchProtect\bin\SPVC32Loader.dll (= C:\Windows\AppPatch\spbin\SPVC32Loader.dll)
 - SHA-1 : 3009704625f497d74601071243d3260d3c026d48
 - AhnLab V3 : PUP/Win32.SearchProtect.R118865 (VT : 15/55)

 

C:\Program Files\SearchProtect\SearchProtect\bin\SPVC64.dll (= C:\Windows\AppPatch\spbin\SPVC64.dll)
 - SHA-1 : 3f252e848ce5ba3571a8fa3b9ce9fd8d7ee86634
 - AhnLab V3 : PUP/Win32.SearchProtect.R118865 (VT : 10/54)

 

C:\Program Files\SearchProtect\SearchProtect\bin\SPVC64Loader.dll (= C:\Windows\AppPatch\spbin\SPVC64Loader.dll)
 - SHA-1 : 68e215fd9a959dd28595b0da25ec5100efb98253
 - BitDefender : Application.SearchProtect.Q (VT : 14/55)

 

C:\Program Files\SearchProtect\UI\bin\cltmngui.exe
 - SHA-1 : ebb8454d4017fe184fd4b1a4d390c8ce099213c1
 - AhnLab V3 : PUP/Win32.SearchProtect.R118865 (VT : 16/52)

 

C:\Users\(사용자 계정)\AppData\Local\Temp\nsi5377.exe (= nsn2A20.exe, nsy26B6.exe, nsy4EA6.exe)
 - SHA-1 : c28f2f3ab4e58e97b9c04c394a59ac07366bb568
 - ESET : Win32/Conduit.SearchProtect.R (VT : 14/53)

 

C:\Users\(사용자 계정)\AppData\Local\Temp\sp-downloader.exe
 - SHA-1 : a01cae4a9c48beb8a490c3e88cb03f9b95c31671
 - AVG : Generic.D18 (VT : 8/52)

"ClientConnect LTD" 디지털 서명이 포함된 "Search Protect" 프로그램은 "C:\Program Files\SearchProtect" 폴더 내에 주요 파일을 생성합니다.

"CltMngSvc (표시 이름 : Search Protect Service)" 서비스 항목을 등록하여 시스템 시작시 "C:\Program Files\SearchProtect\Main\bin\CltMngSvc.exe" 파일을 자동 실행하며, 실행된 서비스 파일(CltMngSvc.exe)은 "C:\Program Files\SearchProtect\SearchProtect\bin\cltmng.exe", "C:\Program Files\SearchProtect\UI\bin\cltmngui.exe" 2개의 파일을 추가 로딩하여 메모리에 상주시킵니다.

기본적으로 프로그램이 설치된 환경에서는 시스템 트레이 알림 아이콘 영역에 "Search Protect" 아이콘이 생성되며, 해당 기능을 통해 홈 페이지, 새 탭, 기본 검색 공급자 설정을 "Trovi search"로 자동 변경합니다.

 

1. Internet Explorer 웹 브라우저

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
 - Start Page = (사용자 지정 홈 페이지 URL 주소) :: 변경 전
 - Start Page = http://www.trovi.com/?gd=&ctid=CT3321459&octid=EB_ORIGINAL_CTID&ISID=M608D86A1-F0E8-4DE5-947F-B59DD77804A1&SearchSource=55&CUI=&UM=6&UP=SP2FFBEB31-
6075-4EB3-A3F6-796BF726932A&SSPV= :: 변경 후

"Search Protect" 프로그램은 Internet Explorer 웹 브라우저의 홈 페이지 주소를 "www.trovi.com" 주소로 자동 변경합니다.

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes
 - DefaultScope = (사용자 지정 기본 검색 공급자 CLSID) :: 변경 전
 - DefaultScope = {014DB5FA-EAFB-4592-A95B-F44D3EE87FA9} :: 변경 후
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{014DB5FA-EAFB-4592-A95B-F44D3EE87FA9}

또한 사용자가 지정한 기본 검색 공급자를 "Trovi search"로 자동 변경하여 "http://www.trovi.com/Results.aspx?gd=&ctid=CT3321459&octid=EB_ORIGINAL_CTID&ISID=M608D86A1-F0E8-4DE5-947F-B59DD77804A1&SearchSource=58&CUI=&UM=6&UP=SP2FFBEB31-6075-

4EB3-A3F6-796BF726932A&q={searchTerms}&SSPV=" 검색 주소를 이용합니다.

 

2. Google Chrome 웹 브라우저

Google Chrome 웹 브라우저 역시 프로그램 설치로 인하여 홈 페이지와 새 탭이 "www.trovi.com" 주소로 자동 변경됩니다.

또한 검색 엔진이 "Trovi search"로 기본 검색 엔진이 변경되어 "http://www.trovi.com/Results.aspx?gd=&ctid=CT3321459&octid=EB_ORIGINAL_CTID&ISID=M608D86A1-F0E8-4DE5-947F-B59DD77804A1&SearchSource=58&CUI=&UM=6&UP=SP2FFBEB31-6075-4EB3-A3F6-796BF726932A&q=%s&SSPV=" 주소로 검색이 이루어져서 구글(Google) 검색이 아닌 Bing 검색 결과가 표시됩니다.

 

3. 프로세스 생성 정보

"Search Protect" 프로그램이 설치된 환경에서는 CltMngSvc.exe, cltmng.exe, cltmngui.exe 3개의 프로세스가 메모리에 상주하며, 이를 통해 시스템 트레이 알림 아이콘 영역에 "Search Protect" 아이콘을 생성할 수 있습니다.

 

4. 프로그램 삭제 방법

 

(a) "보조 프로그램 → 명령 프롬프트" 메뉴를 "관리자 권한으로 실행"하여 생성된 명령 프롬프트 창에 [sc stop "CltMngSvc"] 명령어를 입력 및 실행하며 CltMngSvc.exe, cltmng.exe, cltmngui.exe 3개의 프로세스가 자동으로 종료 처리됩니다.

(b) 제어판에 등록된 "Search Protect" 삭제 항목을 이용하여 프로그램 삭제를 진행하시기 바랍니다.

프로그램 삭제 과정에서 아래와 같은 창 생성을 통해 변경된 홈 페이지, 새 탭, 기본 검색 공급자 정보를 수정할 수도 있습니다.

그림과 같이 체크 표시를 분명하게 하신 후 삭제를 진행하시기 바라며, 프로그램 삭제가 완료된 후에는 일부 제대로 변경되지 않은 부분이 존재할 수 있으므로 다음과 같은 설정값을 재확인하시길 권장합니다.

 

■ Internet Explorer 웹 브라우저 설정값

Internet Explorer 웹 브라우저의 인터넷 옵션을 실행하여 홈 페이지 주소를 확인하여 사용자가 원하는 홈 페이지 주소로 변경하시기 바랍니다.

Internet Explorer 웹 브라우저의 "추가 기능 관리" 메뉴를 실행하여 "검색 공급자" 항목에서 "Trovi search"가 기본값으로 설정되어 있는 경우 다른 검색 공급자를 선택하여 "기본값으로 설정"하시기 바랍니다.

기본 검색 공급자가 변경된 후에는 "Trovi search" 항목을 선택하여 "제거" 버튼을 클릭하시면 됩니다.

 

■ Google Chrome 웹 브라우저 설정값

 

Google Chrome 웹 브라우저 환경에서는 설정(chrome://settings) 메뉴를 실행하여 홈 페이지와 검색 엔진을 수정하시기 바랍니다.

먼저 홈 페이지 주소를 사용자가 원하는 주소로 변경하기 위해서는 "모양" 메뉴의 "변경" 항목을 클릭하시기 바랍니다.

생성된 "홈 페이지" 메뉴에서 입력된 "www.trovi.com" 주소는 삭제하시기 바라며, "새 탭 페이지 사용" 항목에 체크하여 홈 페이지를 변경하시기 바랍니다.

"Trovi search" 기본 검색 엔진으로 변경된 경우 설정(chrome://settings) 페이지에서 "검색엔진 관리..." 버튼을 클릭하여 제공되는 검색 엔진 중 사용자가 원하는 기본 검색 엔진을 선택하여 "기본으로 설정"을 클릭하시기 바랍니다.

기본 검색 엔진을 변경한 후에는 "Trovi search" 검색 엔진을 선택하여 삭제 버튼(X)을 클릭하여 제거하시기 바랍니다.

 

[그 외 수정/생성 레지스트리 등록 정보]

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SearchProtect
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
 - AppInit_DLLs = (공란) :: 변경 전
 - AppInit_DLLs = C:\PROGRA~1\SearchProtect\SearchProtect\bin\SPVC32Loader.dll :: 변경 후
 - LoadAppInit_DLLs = 0 :: 변경 전
 - LoadAppInit_DLLs = 1 :: 변경 후
HKEY_LOCAL_MACHINE\SOFTWARE\SearchProtect
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\CltMngSvc

 

위와 같은 "Search Protect" 광고 프로그램은 사용자가 원하지 않는 홈 페이지와 검색 엔진 주소를 고정하는 문제로 불편을 유발할 수 있으며, 변종에 따라서는 "Search Protect by conduit"와 같은 다양한 형태가 존재할 수 있는 것으로 판단됩니다.

728x90
반응형