인터넷 검색을 통해 웹 사이트 접속시 웹 브라우저의 좌측 영역에 "프리미엄링크" 사이드바 광고를 생성하는 국내에서 제작된 Sidebar 광고 프로그램<AhnLab V3 365 Clinic : PUP/Win32.Kraddare.R122093 (VT : 15/56)>에 대해 살펴보도록 하겠습니다.
Sidebar 광고 프로그램은 기존의 유사한 기능을 가진 RBar 광고 프로그램(※ 울지않는벌새 블로그에서는 분석된 내용이 없습니다.)의 변종으로 확인되고 있으므로 참고하시기 바랍니다.
또한 Sidebar 광고 프로그램은 가상 환경 및 분석 도구가 설치된 PC 환경에서는 설치가 이루어지지 않도록 분석을 방해하는 기능이 포함되어 있습니다.
C:\Program Files\sidebar
C:\Program Files\sidebar\sidebar_unin.exe :: 프로그램 삭제 파일
C:\Program Files\sidebar\sidebar.exe :: 시작 프로그램(SIDEBAR) 등록 파일, 메모리 상주 프로세스
C:\Program Files\sidebar\sidebars.exe :: 예약 작업(sbbrpqvus) 등록 파일
C:\Users\(사용자 계정)\AppData\Local\Sidebar
C:\Users\(사용자 계정)\AppData\Local\Sidebar\temp
C:\Windows\sbbrpqvum.exe :: 서비스(sbbrpqvum) 등록 파일
C:\Windows\System32\Tasks\RunAsStdUser Task
C:\Windows\System32\Tasks\sbbrpqvus
C:\Windows\Tasks\sbbrpqvus.job
C:\Program Files\sidebar\sidebar_unin.exe
- SHA-1 : 7a71ee014ecb5bf081684433e8ddc3837f800fa5
- AhnLab V3 365 Clinic : PUP/Win32.KorAd.C585585 (VT : 24/56)
C:\Program Files\sidebar\sidebars.exe
- SHA-1 : fbcc12110ff54b19868a9bc7eb47e5c5a95b146a
- avast! : Win32:Adware-BRI [Adw] (VT : 18/56)
C:\Windows\sbbrpqvum.exe
- SHA-1 : 42f8f30c646beb80de0dbd265855326c8a4db383
- AhnLab V3 365 Clinic : PUP/Win32.IntClient.C493738 (VT : 14/56)
INSAFE 디지털 서명이 포함된 Sidebar 광고 프로그램은 "C:\Program Files\sidebar" 폴더와 변종에 따라 다양한 파일명으로 생성될 수 있는 서비스 파일을 Windows 폴더 내에 생성합니다.
"sbbrpqvum (표시 이름 : SideBar Service)" 서비스 항목을 등록하여 시스템 시작시 ["C:\Windows\sbbrpqvum.exe" /srv] 파일을 자동 실행하도록 구성되어 있습니다.
- h**p://www.side***.co.kr/sb/download/sidebarm.exe (SHA-1 : 42f8f30c646beb80de0dbd265855326c8a4db383) - AhnLab V3 365 Clinic : PUP/Win32.IntClient.C493738 (VT : 14/56)
해당 서비스 파일은 특정 서버에서 sidebarm.exe 파일을 다운로드하여 "C:\Program Files\sidebar\sidebarm.exe" 파일로 임시 생성 후 Windows 폴더 내에 변종에 따라 sbbr****m 패턴으로 다양한 파일 및 서비스 이름으로 구성됩니다.(※ 예시 : C:\Windows\sbbrtowqm.exe / 서비스 이름 : sbbrtowqm)
자동 실행된 서비스 파일(sbbrpqvum.exe)은 1분이 경과하면 "C:\Program Files\sidebar\sidebars.exe" 파일 로딩을 통한 프로그램 업데이트 체크 후 광고 기능을 수행하는 "C:\Program Files\sidebar\sidebar.exe" 파일(SHA-1 : 5863f2e6af9188aeda202cd49eba38d3dbb0bec5)을 메모리에 상주시킵니다.
또한 예약 작업 항목에 sbbrpqvus 작업 스케줄러 값을 등록하여 시스템 시작시 [C:\Program Files\sidebar\sidebars.exe /sch] 파일을 자동 실행하도록 구성되어 있습니다.
참고로 작업 스케줄러에 등록되는 값은 변종에 따라 sbbr****s 패턴으로 다양하게 생성될 수 있습니다.
자동 실행된 예약 작업 등록 파일(sidebars.exe)은 특정 서버에서 프로그램 업데이트 정보를 체크하며, 추가적인 제휴 프로그램이 등록되어 있을 경우 추천 프로그램이라는 형태로 업데이트 창 생성을 통해 다수의 광고 프로그램 설치를 유도를 할 수 있으므로 주의하시기 바랍니다.
참고로 업데이트 창 생성을 통한 추가적인 제휴 프로그램 설치가 진행될 경우 "C:\Users\(사용자 계정)\AppData\Local\Sidebar" 폴더 내에 다양한 광고 설치 파일을 다운로드하여 진행될 것으로 추정됩니다.
또한 프로그램 실행 체크를 진행한 후 "RunAsStdUser Task" 작업 스케줄러 값을 (재)등록하여 광고 기능을 수행하는 "C:\Program Files\sidebar\sidebar.exe" 파일을 실행하도록 구성되어 있습니다.
실행된 sidebar.exe 파일은 특정 서버에서 광고 구성값 정보를 체크한 후 메모리에 상주하여 다음과 같은 광고 기능을 수행할 수 있습니다.
Sidebar 광고 프로그램이 설치된 환경에서 사용자가 포털 검색 서비스를 이용하여 인터넷 검색을 시도할 경우 검색 키워드 값을 특정 광고 서버에 전송합니다.
이를 통해 유효한 검색 키워드 값을 통해 웹 사이트 접속할 경우 웹 브라우저 좌측 영역에 "프리미엄링크" 사이드바 광고를 노출하는 동작을 확인할 수 있습니다.
■ Sidebar 광고 프로그램 삭제 방법
광고 기능 중지 및 프로그램 삭제를 위해서는 Windows 작업 관리자를 실행하여 메모리에 상주하는 sidebar.exe 프로세스를 찾아 종료하시기 바랍니다.
참고로 일부 시스템 환경에서는 프로세스 종료시 "프로세스를 종료할 수 없습니다." 메시지 창이 생성될 경우에는 "모든 사용자의 프로세스 표시" 버튼을 체크한 후 sidebar.exe 프로세스를 종료하시기 바랍니다.
그 후 제어판 또는 체크잇(CheckIt, www.checkitinfo.com) 프로그램을 이용하여 프로그램 제거를 진행하시기 바라며, 프로그램 삭제 후에는 다음의 폴더(파일)를 찾아 추가적으로 삭제하시기 바랍니다.
- C:\Users\(사용자 계정)\AppData\Local\Sidebar
- C:\Windows\System32\Tasks\RunAsStdUser Task
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\sb
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- SIDEBAR = "C:\Program Files\sidebar\sidebar.exe" /run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Sidebar
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{149C5EF5-EC23-4B03-8865-DDAA6F1B354A}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{942C27B7-8E79-49DC-B940-9D2DD0B4F1B4}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\RunAsStdUser Task
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\sbbrpqvus
HKEY_LOCAL_MACHINE\SOFTWARE\Sidebar
HKEY_LOCAL_MACHINE\SOFTWARE\uninstall_Sidebar
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\sbbrpqvum
Sidebar 광고 프로그램처럼 특정 PC 환경에서는 설치가 이루어지지 않도록 제작된 경우에는 사용자가 사전에 설치 및 동작을 방해할 수 있는 방법이 있으므로 내용을 참고하여 분석 프로그램을 설치해 두시길 권장합니다.