바탕 화면 또는 웹 브라우저의 배경색을 체크하여 조건에 맞을 경우 우측 사이드 영역에 다양한 "Powered by cloudget" 광고 배너를 반복적으로 노출하는 검색 도우미 INSafeTab 프로그램에 대해 살펴보도록 하겠습니다.
해당 프로그램은 2013년 12월경에 집중적으로 배포가 이루어졌던 것으로 추정되며, 최근까지 다양한 이름의 유사 광고 프로그램이 존재하므로 참고하시기 바랍니다.
C:\Program Files\INSafeTab
C:\Program Files\INSafeTab\isaclt.exe :: 메모리 상주 프로세스
C:\Program Files\INSafeTab\isactrl.exe
C:\Program Files\INSafeTab\isasvc.exe :: 서비스(isasvc32) 등록 파일
C:\Program Files\INSafeTab\isasvp.exe
C:\Program Files\INSafeTab\uninstall.exe :: 프로그램 삭제 파일
C:\Program Files\INSafeTab\isactrl.exe
- SHA-1 : 997be629105b0b316470a076fb94d100e70132e4
- AhnLab V3 365 Clinic : PUP/Win32.WindowsNAS.C410109 (VT : 1/53)
"Now Media Corp." 디지털 서명이 포함된 해당 프로그램은 "C:\Program Files\INSafeTab" 폴더에 파일을 생성합니다.
"isasvc32 (표시 이름 : INSafeTab Service)" 서비스 항목을 등록하여 시스템 시작시 "C:\Program Files\INSafeTab\isasvc.exe" 파일(SHA-1 : 82fa1c7eedcfdcad1b3157c9696954dc9afc4208)을 자동 실행하도록 구성되어 있습니다.
자동 실행된 서비스 파일(isasvc.exe)은 2분 동안 대기 후 "C:\Program Files\INSafeTab\isactrl.exe" 파일을 실행하여 특정 서버로부터 추가적인 업데이트 정보를 체크하여 다음과 같은 파일을 패치 및 추가 생성할 수 있으며, "C:\Program Files\INSafeTab\isasvp.exe" 파일(SHA-1 : 487d55d498efaebde7380e5ec3ff6a4ae4ee8ae4) 실행을 통해 구버전 파일을 삭제 처리할 수 있습니다.
C:\Program Files\INSafeTab\isaclt.exe :: 메모리 상주 프로세스
- 변경 전 (SHA-1 : b341a6c79f797471ecbe6614f6118d83b9ca9d12)
- 변경 후 (SHA-1 : b021a974efea9f04f0f6478fc462a0b16d25c1f6)
C:\Program Files\INSafeTab\isactrl.exe
- 변경 전 (SHA-1 : 997be629105b0b316470a076fb94d100e70132e4)
- 변경 후 (SHA-1 : dbcd68e42d39852a0c2eb036707fdf548c7ab487)
C:\Program Files\INSafeTab\isasvp.exe
- 변경 전 (SHA-1 : 487d55d498efaebde7380e5ec3ff6a4ae4ee8ae4)
- 변경 후 (SHA-1 : 3cd40c667750868433ab440ddc776637ed66ab27)
C:\Program Files\INSafeTab\uninstall.exe :: 프로그램 삭제 파일
- 변경 전 (SHA-1 : 2c1baed380ae355f022c73523fc9dfd0f9498964)
- 변경 후 (SHA-1 : 033cf1a34fce3604b607561dbe7e20d5297aedf5)
C:\Program Files\INSafeTab\wnistbd.dll
C:\Users\(사용자 계정)\AppData\Roaming\wnistbd
C:\Users\(사용자 계정)\AppData\Roaming\wnistbd\Cache
C:\Users\(사용자 계정)\AppData\Roaming\wnistbd\Cache\ntbpart2
C:\Users\(사용자 계정)\AppData\Roaming\wnistbd\Cache\ntbpart2\wnistbdk.exe
업데이트를 통해 패치가 이루어진 INSafeTab 광고 프로그램은 다음과 같은 3가지 형태의 광고 행위를 수행할 수 있습니다.
1. 구글 애드센스(Google AdSense) 광고 팝업창 생성
프로그램 실행이 이루어진 후 메모리에 상주하는 "C:\Program Files\INSafeTab\isaclt.exe" 파일이 1분 경과시 "C:\Users\(사용자 계정)\AppData\Roaming\wnistbd\Cache\ntbpart2\wnistbdk.exe" 파일(SHA-1 : 2b93084a1271077af68a08e57100ba907340175d)을 임시 생성하여 바탕 화면에 구글 애드센스(Google AdSense) 광고 팝업창을 생성할 수 있습니다.
해당 광고 팝업창은 1일 1회 생성 규칙에 따라 생성되며, 사용자가 광고 팝업창을 종료시 wnistbdk.exe 파일도 자동 삭제 처리를 합니다.
2. "Powered by cloudget" 광고 배너 생성
INSafeTab 광고 프로그램은 "isaclt.exe + wnistbd.dll (SHA-1 : 102707547edd4dfdaa9c84a4b3badc5e681a50df)" 광고 모듈을 통해 바탕 화면과 웹 브라우저 배경색이 흰색일 경우 우측 사이드 영역에 "Powered by cloudget" 광고 배너를 지속적으로 노출시킬 수 있습니다.
3. 추가적인 제휴 프로그램 설치 가능
Windows 부팅 후 자동 실행된 서비스 파일(isasvc.exe)은 프로그램 실행시 업데이트 체크 과정에서 "C:\Program Files\INSafeTab\isactrl.exe" 파일을 로딩하여 특정 서버에 추가적인 제휴 프로그램 정보가 등록되어 있는 경우 "정규 업데이트 및 추가 프로그램 설치 안내" 창을 생성하여 다양한 광고 프로그램 설치를 유도할 수 있으므로 주의하시기 바랍니다.
INSafeTab 광고 프로그램이 생성하는 "Powered by cloudget" 광고 배너 기능 중지 및 프로그램 삭제를 위해서는 Windows 작업 관리자를 실행하여 메모리에 상주하는 isaclt.exe 프로세스를 찾아 종료하시기 바랍니다.
그 후 제어판에 등록된 "INSafeTab" 삭제 항목을 이용하여 프로그램 삭제를 진행할 수 있습니다.
HKEY_CURRENT_USER\Software\INSafeTab
HKEY_CURRENT_USER\Software\wnistbd
HKEY_LOCAL_MACHINE\SOFTWARE\INSafeTab
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\INSafeTab
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\isasvc32
INSafeTab 광고 프로그램이 생성하는 광고 배너는 사용자가 접속한 웹 사이트에서 제공하는 광고로 오해를 유발할 수 있으며, 지속적으로 변경되어 반복 생성되는 광고 배너로 불편을 유발할 수 있으므로 주의하시기 바랍니다.