검색 도우미 : browser_agent

인터넷 검색 및 웹 사이트 접속시 광고창을 생성하는 "인터넷 검색주소 및 검색 편의와 한국새생명복지재단 불우 이웃돕기모금 서비스 컨트롤"이라는 내부 이름을 가진 국내에서 제작된 "browser_agent" 광고 프로그램<SHA-1 : 5c888cf63854013d063d2ff30ac1eef8f391c4db - BitDefender : Gen:Variant.Kazy.490964 (VT : 13/54)>에 대해 살펴보도록 하겠습니다.

• <2011년~2014년 상반기> 검색 도우미 : Network_Modus (2014.3.29) 외 5종

• 검색 도우미 : Window Connector (2014.7.16)

• 검색 도우미 : Network_guide (2014.9.26)

해당 프로그램은 기존부터 유사한 기능을 가진 다양한 이름의 변종 프로그램이 존재하였으므로 참고하시기 바랍니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\ProgramData\browser_agent
C:\ProgramData\browser_agent\browser_agent.exe :: 시작 프로그램(browser_agent) 등록 파일, 메모리 상주 프로세스, 프로그램 삭제 파일
C:\ProgramData\browser_agent\browser_agents.exe :: 서비스(browser_agents) 등록 파일, 메모리 상주 프로세스

 

[생성 파일 진단 정보]

 

C:\ProgramData\browser_agent\browser_agent.exe
 - SHA-1 : f9ae6ac289b5c766aef7c3ef2c5faf532bf82414
 - AVG : Generic.3C1 (VT : 11/54)

 

C:\ProgramData\browser_agent\browser_agents.exe
 - SHA-1 : dc4725b6f49ad89b551f0de623cd8a78851ce589
 - avast! : Win32:Adware-gen [Adw] (VT : 4/54)

검색닷컴 디지털 서명이 포함된 해당 프로그램은 숨김(H) 속성값을 가진 폴더 내의 "C:\ProgramData\browser_agent" 폴더에 파일을 생성합니다.

"browser_agents (표시 이름 : browser_agents)" 서비스 항목을 등록하여 시스템 시작시 "C:\ProgramData\browser_agent\browser_agents.exe" 파일을 자동 실행하여 메모리에 상주하도록 구성되어 있습니다.

• h**p://direct***word.co.kr/update/browser_agent.exe

자동 실행된 서비스 파일(browser_agents.exe)은 업데이트 기능을 통해 광고 기능을 수행하는 browser_agent.exe 파일을 다운로드 시도하며, 테스트 당시에는 서버에 파일이 등록되어 있지 않은 상태(404 Not Found)였습니다.

 

또한 Windows 시작시 browser_agent 시작 프로그램 등록값을 통해 "C:\ProgramData\browser_agent\browser_agent.exe" 파일을 자동 실행하여 메모리에 상주하도록 구성되어 있습니다.

• h**p://www.direct***word.co.kr/update/Windowmodus_1311270.zip (SHA-1 : bdea4900092a0049051146cf39761cd006d13ee1) - AhnLab V3 365 Clinic : PUP/Win32.Windowmodus.R107400 (VT : 25/52)

실행된 파일(browser_agent.exe)은 사용자 PC에 Window modus 광고 프로그램이 설치되어 있는지 체크하여 존재할 경우 Window modus.exe 파일 패치 목적으로 업데이트 파일을 다운로드할 수 있습니다.

browser_agent 광고 프로그램이 설치된 환경에서는 웹 브라우저를 통해 인터넷 검색 및 웹 사이트 접속시 다양한 광고창 생성 동작을 수행할 수 있습니다.

 

■ browser_agent 광고 프로그램 삭제 방법

 

(a) "보조 프로그램 → 명령 프롬프트" 메뉴를 "관리자 권한으로 실행"하여 생성된 명령 프롬프트 창에 [sc stop "browser_agents"] 명령어를 입력 및 실행하여 메모리에 상주하는 browser_agents.exe 서비스 프로세스를 자동 종료하시기 바랍니다.

(b) Windows 작업 관리자를 실행하여 메모리에 상주하는 browser_agent.exe 프로세스를 찾아 종료하시기 바랍니다.

 

(c) 제어판에 등록된 "browser_agent" 삭제 항목을 이용하여 프로그램 삭제를 진행하시기 바랍니다.

• "C:\ProgramData\browser_agent\browser_agent.exe" -uninstall

[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\GOMSEK.COM
HKEY_CURRENT_USER\Software\GOMSEK.COM\browser_agent
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - browser_agent = "C:\ProgramData\browser_agent\browser_agent.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\
browser_agent
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\{FD532C54-FC82-4C97-9E7C-FB4397203A44}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\Network_ModusService.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{2402B2ED-0F0A-4E5F-89A2-8BD09140352C}
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\browser_agents

 

browser_agent 광고 프로그램이 설치된 환경에서 웹 사이트 접속시 원치않는 광고창 생성으로 불편을 유발할 수 있으므로 설치되지 않도록 주의하시기 바랍니다.