울지않는벌새 : Security, Movie & Society

검색 도우미 : Windows Toastjet

벌새::Analysis

인터넷 검색시 시스템 트레이 알림 아이콘 상단에 "NOWMEDIACORP 제공" 광고 팝업창을 생성하는 국내에서 제작된 "Windows Toastjet" 광고 프로그램<SHA-1 : e4def6b965efffc0da08e01140625a430daaaada - AhnLab V3 365 Clinic : PUP/Win32.Helper.C571548 (VT : 1/54)>에 대해 살펴보도록 하겠습니다.

해당 프로그램은 2013년 11월경부터 2014년 상반기경까지 배포가 이루어졌던 것으로 보이며, 유사 광고 프로그램이 다수 존재하므로 참고하시기 바랍니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Program Files\Windows Toastjet
C:\Program Files\Windows Toastjet\tstctrl.exe
C:\Program Files\Windows Toastjet\tstjet.exe :: 메모리 상주 프로세스
C:\Program Files\Windows Toastjet\tstjrun.exe
C:\Program Files\Windows Toastjet\tstsvc.exe :: 서비스(tstsvc32) 등록 파일
C:\Program Files\Windows Toastjet\tstsvp.exe
C:\Program Files\Windows Toastjet\uninstall.exe :: 프로그램 삭제 파일

 

[생성 파일 진단 정보]

 

C:\Program Files\Windows Toastjet\tstctrl.exe
 - SHA-1 : 7106f7391e082f257d5ce3ba67d31f2a0dc7d6d5
 - AhnLab V3 365 Clinic : PUP/Win32.WindowsNAS.C410109 (VT : 2/55)

 

C:\Program Files\Windows Toastjet\tstjet.exe
 - SHA-1 : 547a90fa01bc22db7785eeb472aed0523eef07a1
 - AhnLab V3 365 Clinic : PUP/Win32.WindowsNAS.C571528 (VT : 2/55)

 

C:\Program Files\Windows Toastjet\tstjrun.exe
 - SHA-1 : f7ef99a4543221cf3f5966e91a13591061b70677
 - AhnLab V3 365 Clinic : PUP/Win32.WindowsNAS.C571532 (VT : 2/55)

 

C:\Program Files\Windows Toastjet\tstsvc.exe
 - SHA-1 : 1e4c7c0e009e9fc1d9575e01e10474ae8a758b39
 - AhnLab V3 365 Clinic : PUP/Win32.WindowsNAS.C571530 (VT : 2/52)

 

C:\Program Files\Windows Toastjet\tstsvp.exe
 - SHA-1 : b6e2417a6d25f9215eb921f266e73ddcb3541c5a
 - AhnLab V3 365 Clinic : PUP/Win32.Helper.C571521 (VT : 2/54)

"Now Media Corp." 디지털 서명이 포함된 해당 프로그램은 "C:\Program Files\Windows Toastjet" 폴더에 파일을 생성합니다.

"tstsvc32 (표시 이름 : Windows Toastjet Service)" 서비스 항목을 등록하여 시스템 시작시 "C:\Program Files\Windows Toastjet\tstsvc.exe" 파일을 자동 실행하도록 구성되어 있습니다.

자동 실행된 서비스 파일(tstsvc.exe)은 2분이 경과하면 "C:\Program Files\Windows Toastjet\tstctrl.exe" 파일을 실행하여 프로그램 버전을 체크하여 업데이트를 진행할 수 있습니다.

또한 특정 업데이트 시점에서는 "정규 업데이트 및 추가 프로그램 설치 안내" 창을 생성하여 추가적인 제휴 프로그램 설치를 유도할 수 있으므로 주의하시기 바랍니다.

 

그 후 광고 기능을 수행하는 "C:\Program Files\Windows Toastjet\tstjet.exe" 파일을 메모리에 상주시켜 광고 구성값을 체크하며 다음과 같은 동작시 광고 동작을 수행할 수 있습니다.

사용자가 인터넷 검색을 시도하면 자동으로 시스템 트레이 알림 아이콘 상단에 검색 키워드 값을 참조한 "NOWMEDIACORP 제공" 광고 팝업창을 생성한 후 일정 시간이 경과하면 종료 처리됩니다.

 

"Windows Toastjet" 광고 프로그램 삭제 방법

광고 동작 중지 및 프로그램 삭제를 위해서는 Windows 작업 관리자를 실행하여 메모리에 상주하는 tstjet.exe 프로세스를 찾아 종료하시기 바랍니다.

제어판 또는 체크잇(CheckIt : www.checkitinfo.com) 프로그램을 이용하여 "Windows Toastjet" 삭제 항목을 찾아 프로그램 삭제를 하시기 바랍니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\Windows Toastjet
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
Windows Toastjet
HKEY_LOCAL_MACHINE\SOFTWARE\Windows Toastjet
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\tstsvc32

 

"Windows Toastjet" 광고 프로그램은 인터넷 검색시마다 광고 팝업창을 반복적으로 생성하며, 광고창의 닫기(X) 버튼을 클릭시 광고 사이트로 연결되는 저품질 광고이므로 설치되어 있다면 삭제하시기 바랍니다.