해외 프로그램의 제휴 방식으로 설치가 이루어지는 GoSave 광고 프로그램은 다양한 광고 프로그램과 함께 설치가 이루어지며, 변종에 따라 "GoSaave, GGOSAve, GoSauve, GeoSAvee 2.0" 등의 다양한 이름으로 설치가 이루어질 수 있습니다.
특히 프로그램 삭제 과정에서 사용자의 부주의를 이용하여 유사한 기능을 가진 다른 이름의 광고 프로그램을 자동으로 설치할 수 있는 기능이 포함되어 있기에 매우 주의하셔야 합니다.
이 분석글에서는 GoSave 광고 프로그램의 변종 중 GoSaave 변종 프로그램<SHA-1 : 1701bbf2b1ed49fe5802e2cc50d2029a193a4103 - BitDefender : Gen:Variant.Adware.MPlug.12 (VT : 8/54)>으로 설치되는 사례를 통해 자세하게 살펴보도록 하겠습니다.
C:\Program Files\GoSaave
C:\Program Files\GoSaave\0q1yspM9kTvbni.dat
C:\Program Files\GoSaave\0q1yspM9kTvbni.dll :: BHO 등록 파일
C:\Program Files\GoSaave\0q1yspM9kTvbni.tlb
C:\Program Files\GoSaave\0q1yspM9kTvbni.x64.dll
C:\ProgramData\8bd47d25351fea89
C:\ProgramData\GoSaave
C:\ProgramData\GoSaave\FLh3nnNTVkpiMW7.dat
C:\ProgramData\GoSaave\FLh3nnNTVkpiMW7.exe :: 프로그램 삭제 파일
C:\Program Files\GoSaave\0q1yspM9kTvbni.dll
- SHA-1 : ffff0d9e6a1a7c8404b3138cd45ae0632acb5454
- Kaspersky : not-a-virus:AdWare.Win32.Agent.gcav (VT : 17/55)
C:\Program Files\GoSaave\0q1yspM9kTvbni.x64.dll
- SHA-1 : d126aa0c600830e677fefca5fdc4a9cf19ad5633
- AhnLab V3 : Trojan/Win64.Preloader.C338606 (VT : 8/55)
C:\ProgramData\GoSaave\FLh3nnNTVkpiMW7.exe
- SHA-1 : 1701bbf2b1ed49fe5802e2cc50d2029a193a4103
- ESET : a variant of Win32/AdWare.MultiPlug.CO (VT : 8/54)
GoSaave 광고 프로그램은 "C:\Program Files\GoSaave" 폴더와 숨김(H) 속성값을 가진 폴더 내의 "C:\ProgramData\GoSaave" 폴더에 파일을 각각 생성합니다.
이름 |
GoSaave |
유형 |
브라우저 도우미 개체 |
CLSID |
{60529760-9EE1-45CC-A9CF-DC9F65270339} |
파일 |
C:\Program Files\GoSaave\0q1yspM9kTvbni.dll |
GoSaave 광고 프로그램은 Internet Explorer 웹 브라우저의 확장 프로그램에 "GoSaave" 브라우저 도우미 개체(BHO)를 사용자 동의없이 자동 등록하여 웹 브라우저 사용시 "C:\Program Files\GoSaave\0q1yspM9kTvbni.dll" 광고 모듈을 실행하도록 구성되어 있습니다.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Ext\CLSID
- {60529760-9ee1-45cc-a9cf-dc9f65270339} = 1
특히 사용자가 등록된 "GoSaave" 브라우저 도우미 개체(BHO) 항목을 중지하지 못하도록 레지스트리 정책값을 추가하고 있으며, 비활성화된 버튼을 활성화하기 위해서는 레지스트리 편집기(regedit)에서 "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Policies\Ext\CLSID" 레지스트리 하위값을 삭제하는 방식으로 해결할 수 있습니다.
실제로 레지스트리 값 삭제를 한 후 Internet Explorer 웹 브라우저를 실행할 경우 "알 수 없는 게시자의 'GoSaave' 추가 기능을 사용할 준비가 되었습니다." 알림 표시줄이 생성되어 사용 여부를 묻는 모습을 확인할 수 있습니다.
GoSaave 광고 프로그램의 기능을 살펴보면 특정 인터넷 쇼핑몰 접속시 "Best Coupons!" 광고 배너를 노출하여 클릭을 유도하여 타 웹 사이트로 연결을 시도하고 있습니다.
해당 광고 프로그램의 삭제를 위해서는 Internet Explorer 웹 브라우저를 종료한 상태에서 제어판에 등록된 "GoSaave" 삭제 항목을 통해 삭제할 수 있도록 제공하고 있습니다.
This will completely remove the browser add-on. In order for the uninstall to be completed your computer must restart, please click "Yes" in order to complete the uninstall process and install an alternate browser extension which will save you money while you shop online. Click "NO " to only uninstall and restart your computer. Click "Cancel" to abort the uninstall process.
하지만 프로그램 삭제시 제공되는 안내창에서 사용자의 부주의를 유발하여 지속적으로 광고 프로그램 설치를 유도하는 행위가 있으므로 매우 주의하시기 바랍니다.
- Yes 버튼 클릭시 : 현재 설치된 GoSaave 프로그램 삭제 후 다른 광고 프로그램 자동 설치 후 Windows 재부팅 진행
- No 버튼 클릭시 : 현재 설치된 GoSaave 프로그램 삭제 후 Windows 재부팅 진행
- Cancel 버튼 클릭시 : GoSaave 프로그램 삭제 취소
그러므로 GoSave 광고 프로그램을 비롯하여 해외 광고 프로그램 삭제시 위와 유사한 안내창이 생성된 경우 문장을 잘 확인하여 버튼 선택에 각별히 주의하시기 바랍니다.(※ 테스트 중에 저 역시 당했습니다. )
HKEY_CURRENT_USER\Software\RegisteredApplicationsEx
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\..9
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{60529760-9ee1-45cc-a9cf-dc9f65270339}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{7041156A-0D2B-4DCD-A8EE-D0608BFCB2D0}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{9B41579A-1996-42F9-8F84-7B7786818CEF}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{EAF749DC-CD87-4B04-B22A-D4AC3FBCB2BC}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{E2343056-CC08-46AC-B898-BFC7ACF4E755}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{60529760-9ee1-45cc-a9cf-dc9f65270339}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Ext\CLSID
- {60529760-9ee1-45cc-a9cf-dc9f65270339} = 1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{C87834EB-A2A0-B9D4-AA9A-C263D1191051}
또한 GoSaave 광고 프로그램은 GS_Booster, GS_Sustainer 1.80, YoutubEAdBloCke (= YoUTubeAdBlocke, YoutubeuAdBlocke, YYoutuubeAdBlocke) 해외 광고 프로그램과 함께 설치될 가능성이 매우 높으므로 추가적으로 체크하시기 바랍니다.
■ GoSaave 광고 프로그램 삭제시 추가 설치 가능 프로그램(NNexTCOOup) 정보
제어판을 통해 GoSaave 광고 프로그램 삭제시 "Yes" 버튼을 클릭("C:\ProgramData\GoSaave\FLh3nnNTVkpiMW7.exe" !x:1 /s /n /i:"ExecuteCommands;UninstallCommands")하여 자신도 모르게 자동 설치되는 광고 프로그램은 "NNexTCOOup, NuExtCoup, WebbinG" 등 다양한 이름으로 설치가 될 수 있습니다.
- NuExtCoup 광고 프로그램 (SHA-1 : 966d8cd34edcc08e7a3744fbe4b1d0464e248cae) - BitDefender : Gen:Variant.Adware.MPlug.12 (VT : 8/55)
- WebbinG 광고 프로그램 (SHA-1 : 22b4916e72181f11372bfa13356ca60a0ac8fc32) - AVG : Generic5.BYMY (VT : 8/55)
그 중에서 이번 분석글에서는 NNexTCOOup 광고 프로그램 설치 부분에 대해 살펴보도록 하겠습니다.
NNexTCOOup 광고 프로그램은 GoSaave 삭제 파일(C:\ProgramData\GoSaave\FLh3nnNTVkpiMW7.exe) 실행을 통해 "C:\Windows\System32\setup.exe" 설치 파일<SHA-1 : 9ab6cee34655b2bcca9ea60a79eac6b1b2268075 - BitDefender : Gen:Variant.Adware.MPlug.12 (VT : 8/55)>을 생성하여 설치가 진행됩니다.
C:\Program Files\NNexTCOOup
C:\Program Files\NNexTCOOup\0jju0X1HndspDj.dat
C:\Program Files\NNexTCOOup\0jju0X1HndspDj.dll :: BHO 등록 파일
C:\Program Files\NNexTCOOup\0jju0X1HndspDj.tlb
C:\Program Files\NNexTCOOup\0jju0X1HndspDj.x64.dll
C:\ProgramData\8bd47d25351fea89
C:\ProgramData\NNexTCOOup
C:\ProgramData\NNexTCOOup\euphggLJmq7PIxh.dat
C:\ProgramData\NNexTCOOup\euphggLJmq7PIxh.exe :: 프로그램 삭제 파일
C:\Users\(사용자 계정)\AppData\Local\Chromatic Browser\User Data\Default\Extensions\objeggkbgmlahcfmfhjcfhaepgeaaidj
C:\Users\(사용자 계정)\AppData\Local\Comodo\Dragon\User Data\Default\Extensions\objeggkbgmlahcfmfhjcfhaepgeaaidj
C:\Users\(사용자 계정)\AppData\Local\Google\Chrome\User Data\Default\Extensions\objeggkbgmlahcfmfhjcfhaepgeaaidj
C:\Users\(사용자 계정)\AppData\Local\Google\Chrome SxS\User Data\Default\Extensions\objeggkbgmlahcfmfhjcfhaepgeaaidj
C:\Users\(사용자 계정)\AppData\Local\Torch\User Data\Default\Extensions\objeggkbgmlahcfmfhjcfhaepgeaaidj
C:\Windows\System32\GroupPolicy\Machine\Registry.pol
C:\Windows\System32\setup.exe
C:\Program Files\NNexTCOOup\0jju0X1HndspDj.dll
- SHA-1 : 86ca018b33c7cdb953371ee1e290313b9a54a251
- BitDefender : Gen:Variant.Adware.Graftor.153998 (VT : 20/55)
C:\Program Files\NNexTCOOup\0jju0X1HndspDj.x64.dll
- SHA-1 : d13dbf241d214d6036f8c6276e0e305fc2ac2b8a
- AVG : Generic_r.UA (VT : 8/55)
C:\ProgramData\NNexTCOOup\euphggLJmq7PIxh.exe
- SHA-1 : 9ab6cee34655b2bcca9ea60a79eac6b1b2268075
- AVG : Generic5.BYLV (VT : 10/55)
C:\Windows\System32\setup.exe
- SHA-1 : 9ab6cee34655b2bcca9ea60a79eac6b1b2268075
- BitDefender : Gen:Variant.Adware.MPlug.12 (VT : 8/55)
NNexTCOOup 광고 프로그램은 "C:\Program Files\NNexTCOOup" 폴더와 숨김(H) 속성값을 가진 폴더 내의 "C:\ProgramData\NNexTCOOup" 폴더에 주요 파일을 생성하며, Chrome 웹 브라우저 기반 및 Mozilla Firefox 웹 브라우저의 확장 프로그램으로 플러그인을 자동 등록하고 있습니다.
(1) Internet Explorer 웹 브라우저 환경
이름 |
NNexTCOOup |
유형 |
브라우저 도우미 개체 |
CLSID |
{8E67F781-291A-480F-9759-5C35E519B8E9} |
파일 |
C:\Program Files\NNexTCOOup\0jju0X1HndspDj.dll |
NNexTCOOup 광고 프로그램은 Internet Explorer 웹 브라우저의 확장 프로그램에 "NNexTCOOup" 브라우저 도우미 개체(BHO) 항목을 등록하여 웹 브라우저 실행시 "C:\Program Files\NNexTCOOup\0jju0X1HndspDj.dll" 광고 모듈을 로딩하여 특정 웹 사이트 접속시 광고 배너를 생성할 수 있습니다.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Ext\CLSID
- {8e67f781-291a-480f-9759-5c35e519b8e9} = 1
특히 사용자가 "NNexTCOOup" 브라우저 도우미 개체(BHO) 항목의 기능을 중지하지 못하도록 버튼을 비활성화하도록 레지스트리 정책값을 추가하고 있으므로, 레지스트리 편집기(regedit)를 실행하여 "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Policies\Ext\CLSID" 레지스트리 하위값은 모두 삭제하여 버튼을 활성화하시기 바랍니다.
(2) Google Chrome 웹 브라우저 환경
Google Chrome 웹 브라우저 환경에서는 사용자 동의없이 자동으로 확장 프로그램(chrome://extensions) 영역에 "NNexTCOOup" 플러그인을 등록하고 있으며, 사용자에 의한 삭제를 방해할 목적으로 엔터프라이즈 정책 방식으로 설치하여 삭제하여도 재생성되도록 등록되어 있습니다.
프로그램 삭제를 위해서는 Internet Explorer 웹 브라우저를 종료한 상태에서 제어판에 등록된 "NNexTCOOup" 삭제 항목을 이용하여 삭제를 진행할 수 있으며, GoSaave 광고 프로그램과 마찬가지로 삭제시 생성되는 안내창을 잘 읽어보시고 "No" 버튼을 클릭하여 추가적인 광고 프로그램이 설치되지 않도록 각별히 주의하시기 바랍니다.
HKEY_CURRENT_USER\Software\RegisteredApplicationsEx
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\..9
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8e67f781-291a-480f-9759-5c35e519b8e9}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{7041156A-0D2B-4DCD-A8EE-D0608BFCB2D0}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{9B41579A-1996-42F9-8F84-7B7786818CEF}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{EAF749DC-CD87-4B04-B22A-D4AC3FBCB2BC}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{E2343056-CC08-46AC-B898-BFC7ACF4E755}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{8e67f781-291a-480f-9759-5c35e519b8e9}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\History\{35378EAC-683F-11D2-A89A-00C04FBBCFA2}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\Status\GPExtensions\{35378EAC-683F-11D2-A89A-00C04FBBCFA2}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Ext\CLSID
- {8e67f781-291a-480f-9759-5c35e519b8e9} = 1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{3D0F43D9-C1D7-733C-01F8-4A3001BF8CC3}
제어판을 통해 NNexTCOOup 광고 프로그램 삭제를 진행하면 자동으로 Windows 재부팅이 진행되며 Internet Explorer 웹 브라우저에서 동작하는 광고 기능은 제거되지만 Google Chrome, Mozilla Firefox 웹 브라우저에 추가된 확장 프로그램은 지속적으로 동작하므로 다음과 같은 절차에 따라 제거하시기 바랍니다.(※ 이 글에서는 Google Chrome 웹 브라우저 환경만 정리하겠습니다.)
(a) Google Chrome 웹 브라우저의 확장 프로그램(chrome://extensions)에 등록된 "NNexTCOOup" 플러그인의 엔터프라이즈 정책을 제거하기 위하여 숨김(H) 속성값을 가진 폴더 내에 생성된 "C:\Windows\System32\GroupPolicy\Machine\Registry.pol" 파일을 찾아 삭제하시기 바랍니다.
(b) Google Chrome 웹 브라우저의 확장 프로그램(chrome://extensions) 메뉴를 실행하여 "NNexTCOOup" 플러그인을 찾아 휴지통 아이콘을 클릭하여 삭제하시기 바랍니다.
(c) Google Chrome 웹 브라우저의 "NNexTCOOup" 확장 프로그램 등록 폴더(파일)를 찾아 삭제하시기 바랍니다.
- C:\Users\(사용자 계정)\AppData\Local\Google\Chrome\User Data\Default\Extensions\objeggkbgmlahcfmfhjcfhaepgeaaidj
위와 같은 절차에 따라 Google Chrome 웹 브라우저의 확장 프로그램으로 등록된 "NNexTCOOup" 플러그인이 더 이상 설치되지 않도록 제거할 수 있습니다.
이상과 같이 다양한 변종이 존재하는 GoSave 광고 프로그램을 통한 광고 기능과 프로그램 삭제시 사용자가 삭제 옵션을 잘못 선택할 경우 또 다른 광고 프로그램이 지속적으로 설치될 수 있는 부분에 대해 살펴보았습니다.