본문 바로가기

벌새::Analysis

검색 도우미 : Micro onoffpop secure softwear profile

728x90
반응형

특정 인터넷 쇼핑몰 및 언론사 웹 사이트를 방문하는 과정에서 광고창 또는 제휴 코드가 추가되며, 특정 부팅 시점에서는 "온오프팝 정규 업데이트" 창 생성을 통해 추가적인 제휴 프로그램 설치를 유도할 수 있는 검색 도우미 "Micro onoffpop secure softwear profile" 프로그램에 대해 살펴보도록 하겠습니다.

 

해당 프로그램은 기존에 유사한 기능을 가진 "Micro theam secure softwear profile" 프로그램의 변종이며, 2014년 7월 초부터 배포가 이루어졌던 것으로 추정됩니다.

최근 배포 방식을 살펴보면 국내 P2P 프로그램의 업데이트에 "ONP_Solution"이라는 프로그램 이름으로 설치가 이루어지고 있는 것을 확인하였습니다.

이를 통해 설치가 진행되면 특정 서버에서 설치 파일을 다운로드하여 "C:\DBGOO2POP_Dbgo_u.exe" 파일<SHA-1 : 7069d4c21a344d80c0ec2d59b79ba78977488a67 - AhnLab V3 365 Clinic : PUP/Win32.KorAd.R72488 (VT : 9/54)>로 저장 및 실행되어 "C:\Users\(사용자 계정)\AppData\Roaming\OnOffPop\ONP_solution6.exe" 파일<SHA-1 : 37abe874cb78f86ea5785f54911a495a4e00936b - AhnLab V3 365 Clinic : PUP/Win32.KorAd.R72488 (VT : 8/54)> 생성을 통해 프로그램 설치 후 일괄 자동 삭제 처리됩니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Users\(사용자 계정)\AppData\Roaming\OnOffPop
C:\Users\(사용자 계정)\AppData\Roaming\OnOffPop\common
C:\Users\(사용자 계정)\AppData\Roaming\OnOffPop\common\bin
C:\Users\(사용자 계정)\AppData\Roaming\OnOffPop\common\bin\criteonow.toast.exe
C:\Users\(사용자 계정)\AppData\Roaming\OnOffPop\common\bin\O2Guard.exe :: 시작 프로그램(guardO2) 등록 파일
C:\Users\(사용자 계정)\AppData\Roaming\OnOffPop\common\bin\o2p_kwd.dat
C:\Users\(사용자 계정)\AppData\Roaming\OnOffPop\common\bin\o2p_nsminfo.dat
C:\Users\(사용자 계정)\AppData\Roaming\OnOffPop\common\bin\o2p_ominfo.dat
C:\Users\(사용자 계정)\AppData\Roaming\OnOffPop\common\bin\o2p_recog.dat
C:\Users\(사용자 계정)\AppData\Roaming\OnOffPop\common\bin\o2p_sku.dat
C:\Users\(사용자 계정)\AppData\Roaming\OnOffPop\common\bin\O2Sch.exe
C:\Users\(사용자 계정)\AppData\Roaming\OnOffPop\common\bin\O2Update.exe :: 시작 프로그램(O2Pop) 등록 파일
C:\Users\(사용자 계정)\AppData\Roaming\OnOffPop\common\bin\onoffpop.dll
C:\Users\(사용자 계정)\AppData\Roaming\OnOffPop\common\bin\OnOffPop.exe :: 시작 프로그램(O2grd) 등록 파일, 메모리 상주 프로세스
C:\Users\(사용자 계정)\AppData\Roaming\OnOffPop\common\bin\RmO2.exe :: 프로그램 삭제 파일

 

[생성 파일 진단 정보]

 

C:\Users\(사용자 계정)\AppData\Roaming\OnOffPop\common\bin\O2Guard.exe
 - SHA-1 : bb66581019c9d56d783d6ceaa3d4bae8e23eae3d
 - ESET : a variant of Win32/Adware.Kraddare.FJ (VT : 3/53)

 

C:\Users\(사용자 계정)\AppData\Roaming\OnOffPop\common\bin\O2Sch.exe
 - SHA-1 : 44b888a43f5b5f691ef32fb57cb50aae0462196f
 - ESET : a variant of Win32/Adware.Kraddare.FJ (VT : 2/52)

 

C:\Users\(사용자 계정)\AppData\Roaming\OnOffPop\common\bin\O2Update.exe
 - SHA-1 : e6a7eb7cff284804a983269c41f8f9730370b1ee
 - ESET : a variant of Win32/Adware.Kraddare.FJ (VT : 3/54)

 

C:\Users\(사용자 계정)\AppData\Roaming\OnOffPop\common\bin\onoffpop.dll
 - SHA-1 : f2f597e7a96b291d636e03b2a54372e6ee06734d
 - BitDefender : Gen:Variant.Adware.Symmi.36013 (VT : 14/54)

 

C:\Users\(사용자 계정)\AppData\Roaming\OnOffPop\common\bin\OnOffPop.exe
 - SHA-1 : 6205e73a43861ecdb55a442edd6fa601a4dbc5b0
 - ESET : a variant of Win32/Adware.Kraddare.FJ (VT : 4/53)

 

C:\Users\(사용자 계정)\AppData\Roaming\OnOffPop\common\bin\RmO2.exe
 - SHA-1 : 2b14ed70c89e6026c277e6464abe0d1d6baea3fb
 - ESET : a variant of Win32/Adware.Kraddare.FJ (VT : 2/52)

Qzoneinteractive 디지털 서명이 포함된 해당 프로그램은 "C:\Users\(사용자 계정)\AppData\Roaming\OnOffPop\common\bin" 폴더에 파일을 생성하여, Windows 시작시 다음과 같은 3개의 시작 프로그램 등록값을 통해 자동 실행되도록 구성되어 있습니다.

 

  • guardO2 = C:\Users\(사용자 계정)\AppData\Roaming\OnOffPop\common\bin\O2Guard.exe
  • O2grd = C:\Users\(사용자 계정)\AppData\Roaming\OnOffPop\common\bin\OnOffPop.exe
  • O2Pop = C:\Users\(사용자 계정)\AppData\Roaming\OnOffPop\common\bin\O2Update.exe

1. guardO2 시작 프로그램 등록 정보

Windows 시작시 "C:\Users\(사용자 계정)\AppData\Roaming\OnOffPop\common\bin\O2Guard.exe" 파일을 자동 실행하여 특정 서버에서 프로그램 업데이트 정보를 체크한 후 자동 종료 처리됩니다.

 

2. O2Pop 시작 프로그램 등록 정보

Windows 시작시 "C:\Users\(사용자 계정)\AppData\Roaming\OnOffPop\common\bin\O2Update.exe" 파일을 자동 실행하여 특정 서버에 등록된 제휴 프로그램 정보가 존재할 경우 "온오프팝 정규 업데이트" 창을 생성하여 추가적인 광고 프로그램 설치를 유도할 수 있으므로 주의하시기 바랍니다.

 

3. O2grd 시작 프로그램 등록 정보

Windows 시작시 "C:\Users\(사용자 계정)\AppData\Roaming\OnOffPop\common\bin\OnOffPop.exe" 파일을 자동 실행하여 특정 서버에서 광고 구성값 정보가 포함된 데이터 파일(o2p_kwd.dat, o2p_nsminfo.dat, o2p_ominfo.dat, o2p_recog.dat, o2p_sku.dat)을 다운로드하여 메모리에 상주합니다.

주요 광고 동작을 살펴보면 OnOffPop.exe 파일은 추가적으로 "C:\Users\(사용자 계정)\AppData\Roaming\OnOffPop\common\bin\criteonow.toast.exe" 파일(SHA-1 : 3483cb4f58ff8f5947c7faf4750f53302483a49b)을 로딩하여 criteo 광고 팝업창을 생성할 수 있으며, Internet Explorer 웹 브라우저를 실행할 경우 "C:\Users\(사용자 계정)\AppData\Roaming\OnOffPop\common\bin\onoffpop.dll" 광고 모듈을 추가적으로 로딩할 수 있습니다.

 

이를 통해 데이터 파일에 등록된 특정 인터넷 쇼핑몰, 언론사 웹 사이트를 방문하는 과정에서 광고창 또는 제휴 코드가 추가되어 수익을 창출할 수 있을 것으로 추정됩니다.

 

■ 광고 기능 중지 및 프로그램 삭제 방법

광고 기능 중지 및 프로그램 삭제를 위해서는 Windows 작업 관리자를 실행하여 메모리에 상주하는 OnOffPop.exe 프로세스를 찾아 종료하시기 바라며, 상황에 따라서는 criteonow.toast.exe 프로세스가 존재할 경우 함께 종료하시기 바랍니다.

그 후 Internet Explorer 웹 브라우저를 종료한 상태에서 제어판에 등록된 "Micro onoffpop secure softwear profile" 삭제 항목을 이용하여 프로그램 삭제를 할 수 있으며, 프로그램 삭제 후에는 추가적으로 "C:\Users\(사용자 계정)\AppData\Roaming\OnOffPop" 폴더를 찾아 삭제하시기 바랍니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - guardO2 = C:\Users\(사용자 계정)\AppData\Roaming\OnOffPop\common\bin\O2Guard.exe
 - O2grd = C:\Users\(사용자 계정)\AppData\Roaming\OnOffPop\common\bin\OnOffPop.exe
 - O2Pop = C:\Users\(사용자 계정)\AppData\Roaming\OnOffPop\common\bin\O2Update.exe
HKEY_CURRENT_USER\Software\OnOffPop
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\O2Pop

 

온오프팝(OnOffPop) 광고 프로그램은 마치 보안(Security) 관련 소프트웨어처럼 프로그램 이름을 등록하여 사용자들이 광고 프로그램으로 판단하기 매우 어려우므로 설치되지 않도록 주의하시기 바랍니다.

 

[관련글 보기]

 

제휴(스폰서) 프로그램 : ATL C++ Video Flash Activex Manager - QuickZone2 (2012.4.3)

 

제휴(스폰서) 프로그램 : 네임클린(NameClean) - Anti namecheck filter ActCtrl (2012.5.31)

 

검색 도우미 : 서치엔(SearchN) - Sn_x32,x64 XML 1.0.0.1 (2012.11.26)

 

국내 악성코드 : Micro WebViewer Application ActX (2012.12.4)

 

검색 도우미 : Micro Softwear Viewer Actx 1.0.0.1 (2012.12.10)

 

728x90
반응형