Windows 시작시 바탕 화면에 광고창을 생성하거나 "정기 업데이트 안내" 창을 생성하여 추가적인 제휴 프로그램 설치를 유도할 수 있는 "Signtab Internet Service" 악성 광고 프로그램<SHA-1 : f260aa4af62c29d4b12c9fb9fa35d6c8e83dc619 - avast! : Win32:Malware-gen (VT : 11/55)>에 대해 살펴보도록 하겠습니다.
참고로 설치된 프로그램은 사용자에 의한 프로그램 삭제를 방해할 목적으로 제어판의 설치 프로그램 목록에 등록하지 않는 방식으로 설치되고 있습니다.
C:\Users\(사용자 계정)\AppData\Roaming\signtab
C:\Users\(사용자 계정)\AppData\Roaming\signtab\signtab.exe :: 시작 프로그램 등록 파일
C:\Users\(사용자 계정)\AppData\Roaming\signtab\signtabcnt.exe
C:\Users\(사용자 계정)\AppData\Roaming\signtab\uninst.exe :: 프로그램 삭제 파일
C:\Windows\signtab.ini
C:\Users\(사용자 계정)\AppData\Roaming\signtab\signtab.exe
- SHA-1 : 3f6649e583ba49d1c4ed74de1f06a4d92cfd8d2d
- BitDefender : Gen:Variant.Graftor.123985 (VT : 10/55)
C:\Users\(사용자 계정)\AppData\Roaming\signtab\signtabcnt.exe
- SHA-1 : 7de92d3f3d05e7ce07dbf3e5e6084f8bb26a9f47
- AVG : Generic.463 (VT : 1/56)
에스케이소프트뱅크 디지털 서명이 포함된 "Signtab Internet Service" 프로그램은 숨김(H) 속성값을 가진 폴더 내의 "C:\Users\(사용자 계정)\AppData\Roaming\signtab" 폴더에 파일을 생성합니다.
Windows 시작시 "C:\Users\(사용자 계정)\AppData\Roaming\signtab\signtab.exe" 파일을 시작 프로그램으로 등록하여 자동 실행되어 다음과 같은 동작을 수행할 수 있습니다.
특정 서버에 등록된 정보를 체크하여 바탕 화면 중간에 1일 1회 노출될 수 있는 광고창을 생성할 수 있습니다.
또한 특정 제휴 프로그램 정보가 등록되어 있는 경우에는 "정기 업데이트 안내" 창을 생성하여 사용자의 부주의를 통한 다양한 광고 프로그램 설치를 유도할 수 있으므로 주의하시기 바랍니다.
■ "Signtab Internet Service" 프로그램 삭제 방법
해당 광고 프로그램은 제어판에 표시되지 않는 문제로 다음과 같은 방식으로 프로그램 삭제를 진행하시기 바랍니다.
"C:\Users\(사용자 계정)\AppData\Roaming\signtab\uninst.exe" 파일을 찾아 직접 실행하시면 "Signtab Internet Service Uninstall" 창이 생성되어 "예(Y)" 버튼을 클릭하면 프로그램 삭제가 진행됩니다.
이 과정에서 "C:\Users\(사용자 계정)\AppData\Roaming\signtab\signtabcnt.exe" 파일이 자동 실행되어 사용자 Mac Address 값과 배포 ID 값을 특정 서버에 전송하여 삭제 카운터(Counter)를 체크합니다.
HKEY_CURRENT_USER\Software\signtab
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\signtab.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- signtab = C:\Users\(사용자 계정)\AppData\Roaming\signtab\signtab.exe
"Signtab Internet Service" 광고 프로그램은 제어판에 표시하지 않는 문제로 설치 여부를 사용자가 인지하기 매우 어려우며, 특정 부팅 과정에서 업데이트 창 생성을 통해 원치않는 광고 프로그램을 추가적으로 설치할 수 있으므로 설치되지 않도록 각별히 주의하시기 바랍니다.
☞ <2012년 관련 정보> 국내 악성코드 : ezpopup code wepbob x86 (2012.12.21) 외 다수
☞ <2013년 관련 정보> 검색 도우미 : SK Abouttabs v11 (2013.11.14) 외 12종
☞ 검색 도우미 : Internet Explustabs v1.1 (2014.1.29)
☞ 제휴 프로그램 : Windows popandpop 1.1 (2014.3.13)
☞ "dualpage.co.kr" 홈 페이지를 추가하는 "Internet Dualpage KB25031400" 프로그램 주의 (2014.4.4)
☞ "widetabs.com" 홈 페이지를 고정하는 "Songple SK06132014" 프로그램 주의 (2014.6.28)
☞ 송플(Songple) 음악 플레이어를 이용한 "Songple Tabs" 광고 기능 주의 (2014.6.29)
☞ 사용자 몰래 "Windows Total SyncKit v.1.0" 광고 프로그램을 설치하는 Popupgate 주의 (2014.9.1)
☞ 검색 도우미 : Internet INIGate Web (2014.9.29)
☞ 삭제를 방해하는 "Internet Addplore Web" 악성 광고 프로그램 주의 (2014.11.28)