본문 바로가기

벌새::Analysis

제휴(스폰서) 프로그램 : AntiSteal Uninstall

반응형

본인 인증 관련 웹 페이지 접근시 개인정보 유출 차단창이 생성될 수 있으며, 업데이트 기능을 통해 추가적인 제휴 프로그램 설치를 유도할 수 있는 국내에서 제작된 "AntiSteal Uninstall" 광고 프로그램에 대해 살펴보도록 하겠습니다.

해당 프로그램의 배포 방식을 살펴보면 프루나(Pruna) P2P 프로그램이 설치된 환경에서 업데이트 창의 매우 좁은 영역에 포함된 다수의 광고 프로그램 중 "Antisteal" 항목으로 설치될 수 있으며, 프로그램 제작사 및 정보가 전혀 존재하지 않는 상태로 설치되고 있습니다.

설치가 진행되면 2014년 10월 하순경부터 특정 광고 프로그램 전용 배포 서버에서 설치 파일(SHA-1 : 7639a164514e8ac9136c325668ad8cd12e0809bc)이 다운로드되어 자동 설치가 이루어집니다.(※ 무슨 프로그램인지 정보도 없는데 신뢰로 등록하는 사용자들... no2)

 

[생성 폴더 / 파일 등록 정보]

 

C:\Program Files\AntiSteal
C:\Program Files\AntiSteal\AntiSteal.dll :: BHO 등록 파일
C:\Program Files\AntiSteal\AntiSteal.exe :: 예약 작업(AntiSteal 실행) 등록 파일, 메모리 상주 프로세스
C:\Program Files\AntiSteal\CheckFile.dat
C:\Program Files\AntiSteal\Uninstall.exe :: 프로그램 삭제 파일
C:\Windows\System32\Tasks\AntiSteal 실행

해당 프로그램은 "C:\Program Files\AntiSteal" 폴더에 파일을 생성하며, 파일 속성값으로는 제작사 등의 정보를 전혀 확인할 방법이 없습니다.

예약 작업 영역에 "AntiSteal 실행" 작업 스케줄러 값을 등록하여 시스템 시작시 "C:\Program Files\AntiSteal\AntiSteal.exe -o" 파일(SHA-1 : fc5daf31f33b9e3d8b696ab6e644b067efb423c1)을 자동 실행하여 메모리에 상주하도록 구성되어 있습니다.

특히 등록된 작업 스케줄러 값에는 "VirtualRuler 업데이트" 문구를 통해 기존에 광고 배포용 프로그램으로 알려진 VirtualRuler 프로그램을 제작한 업체에서 운영되는 프로그램으로 추정할 수 있습니다.

자동 실행된 파일(AntiSteal.exe)은 특정 서버에서 "C:\Program Files\AntiSteal\CheckFile.dat" 암호화된 파일 정보를 체크한 후 제휴 프로그램으로 Timezone 광고 배포용 프로그램을 설치할 수도 있도록 흔적이 발견되고 있습니다.

 

이름

 AntiSteal

유형

 브라우저 도우미 개체

CLSID

 {BBFE7698-33BE-4A60-BF8B-2149F546F9D0}

폴더/파일

 C:\Program Files\AntiSteal\AntiSteal.dll

 

"AntiSteal Uninstall" 프로그램이 설치된 환경에서는 Internet Explorer 웹 브라우저 실행시 "C:\Program Files\AntiSteal\AntiSteal.dll" 파일(SHA-1 : 7e3ec1af00125693b1a5886d67f04b82539a5461)을 AntiSteal 브라우저 도우미 개체(BHO)로 등록하여 로딩합니다.

프로그램의 기본적인 동작을 살펴보면 "C:\Program Files\AntiSteal\CheckFile.dat" 암호화된 파일을 통해 다음과 같은 부분을 예상할 수 있습니다.

예를 들어 사용자가 특정 웹 사이트를 방문하여 회원 가입을 위한 휴대폰 본인 인증을 시도할 경우 연결되는 Siren24 본인확인서비스 웹 페이지에 접속하는 과정에서 "C:\Program Files\AntiSteal\AntiSteal.exe" 파일은 URL 값을 기반으로 CheckFile.dat 등록값과 비교합니다.

정보가 매칭될 경우 로그인플러스 개인정보 유출 차단 서비스에 가입하도록 광고창이 생성되며, 상당수 사용자는 자신이 접속한 웹 사이트에서 제공하는 서비스로 착각하여 정보를 입력할 수도 있으리라 판단됩니다.

 

"AntiSteal Uninstall" 프로그램 삭제 방법

광고 기능 중지 및 프로그램 삭제시에는 Windows 작업 관리자를 실행하여 메모리에 상주하는 AntiSteal.exe 프로세스를 찾아 종료하시기 바랍니다.

Internet Explorer 웹 브라우저를 종료한 상태에서 제어판 또는 체크잇(CheckIt : www.checkitinfo.com) 프로그램을 이용하여 "AntiSteal Uninstall" 삭제 항목을 통해 프로그램을 제거하시기 바랍니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\AntiSteal
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{BBFE7698-33BE-4a60-BF8B-2149F546F9D0}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{BBFE7698-33BE-4a60-BF8B-2149F546F9D0}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
AntiSteal
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{AC00711A-AE6E-4E50-BC47-C3B05DFA53A5}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\AntiSteal 실행

 

"AntiSteal Uninstall" 프로그램의 이름 자체는 보안(Security) 솔루션처럼 보이지만 실질적으로는 광고 행위 및 추가적인 광고 배포용 기능을 가지고 있으므로 기능도 모르는 프로그램을 함부로 설치하지 않도록 주의하시기 바랍니다.

728x90
반응형