특정 인터넷 쇼핑몰 이용시 사용자 몰래 제휴 코드를 추가하며 프로그램 삭제 이후에도 지속적으로 동작하는 국내에서 제작된 appone 광고 프로그램<SHA-1 : 3e132db7c4839bae4ec02dd577adff1d851d2371 - Avira : ADWARE/Searchclick.6180560 (VT : 14/57)>에 대해 살펴보도록 하겠습니다.
해당 광고 프로그램은 2015년 1월경부터 배포가 이루어졌으며 기존의 SearchClick 계열의 "micro + micro 1.0.0.1" 광고 프로그램의 변종으로 확인되고 있습니다.
C:\Program Files\appone
C:\Program Files\appone\apponed.exe :: 시작 프로그램(appone) 등록 파일
C:\Program Files\appone\apponei.exe
C:\Program Files\appone\uninstall.exe :: 프로그램 삭제 파일
C:\Windows\microengine.dll :: BHO 등록 파일
C:\Windows\microsecurity.exe :: 서비스(Micro Security Service) 등록 파일, 메모리 상주 프로세스
C:\Windows\System32\msvcr110.dll
C:\Program Files\appone\apponed.exe
- SHA-1 : b81745c65fab0c5179db994d27fbdb2034c7d76d
- ESET : a variant of Win32/AdWare.Searchclick.A (VT : 6/57)
C:\Program Files\appone\apponei.exe
- SHA-1 : 246c169073e721f21cf458f3261277c17eb55603
- Dr.Web : Trojan.Click3.10700 (VT : 3/55)
C:\Windows\microengine.dll
- SHA-1 : 846109b499ebccd2d6c30253eb41fd58051192fe
- ESET : a variant of Win32/AdWare.Searchclick.A (VT : 4/55)
C:\Windows\microsecurity.exe
- SHA-1 : 71407ecd9c6132215e2b9f51cb24c6dbbad71f15
- ESET : Win32/Adware.Searchclick.B (VT : 3/57)
"FAMOUS SOLUTION Co.LTD,,," 디지털 서명이 포함된 appone 광고 프로그램은 "C:\Program Files\appone" 폴더와 Windows 폴더에 파일을 각각 생성합니다.
1. appone 시작 프로그램 등록 정보
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- appone = "C:\Program Files\appone\apponed.exe"
Windows 시작시 appone 시작 프로그램 등록값을 통해 "C:\Program Files\appone\apponed.exe" 파일을 자동 실행하도록 구성되어 있습니다.
이를 통해 특정 서버에 사용자 배포 코드, Mac Address, IP, 운영 체제 종류, 화면 해상도, Internet Explorer 버전 정보를 전송하여 실행 카운터(Counter)를 체크한 후 종료 처리됩니다.
2. "Micro Security Service" 서비스 등록 정보
"Micro Security Service (표시 이름 : Micro Service)" 서비스 항목을 등록하여 시스템 시작시 "C:\Windows\microsecurity.exe" 파일을 자동 실행하도록 구성되어 있습니다.
- h**p://211.210.115.**/app/bho/microengine.dll (SHA-1 : b7c4f346e5039a03a44b913e0bbe203cf786eed2) - AhnLab V3 365 Clinic : PUP/Win32.Helper.C681592 (VT : 10/56)
실행된 서비스 파일(microsecurity.exe)은 BHO 등록값을 체크하여 파일이 삭제되었거나 구버전인 경우 특정 서버에서 microengine.dll 파일을 다운로드하여 재등록한 후 메모리에 상주합니다.
3. microengine 브라우저 도우미 개체(BHO) 등록 정보
이름 |
microengine |
게시자 |
FAMOUS SOLUTION Co.LTD,,, |
유형 |
브라우저 도우미 개체 |
CLSID |
{358D8A21-5EFC-46CB-AAA6-B1552639222D} |
폴더 / 파일 |
C:\Windows\microengine.dll |
appone 광고 프로그램은 Internet Explorer 웹 브라우저의 확장 프로그램에 microengine 브라우저 도우미 개체(BHO)를 등록하여 웹 브라우저 실행시 "C:\Windows\microengine.dll" 광고 모듈을 로딩하도록 구성되어 있습니다.
이를 통해 Internet Explorer 웹 브라우저 실행을 통해 11번가, G마켓, 옥션과 같은 특정 인터넷 쇼핑몰 사이트를 이용하는 과정에서 제휴 코드를 사용자 몰래 추가하여 특정 조건을 만족시킬 경우 수익이 발생할 것으로 추정됩니다.
■ appone 프로그램 삭제 방법
(a) "보조프로그램 → 명령 프롬프트" 메뉴를 "관리자 권한으로 실행"하여 생성된 명령 프롬프트 창에 [sc stop "Micro Security Service"] 명령어를 입력 및 실행하여 서비스 파일을 종료 처리하시기 바랍니다.
(b) Internet Explorer 웹 브라우저를 종료한 상태에서 제어판 또는 체크잇(CheckIt : www.checkitinfo.com) 프로그램에 등록된 appone 삭제 항목을 이용하여 삭제하시기 바랍니다.
하지만 제어판을 통한 프로그램 삭제 이후에도 Windows 폴더에 등록된 파일, 자동 실행 및 BHO 등록값을 제거하지 않고 시스템 시작시마다 자동 실행되어 광고 기능을 지속적으로 수행하므로 다음과 같은 추가적인 제거를 진행하시기 바랍니다.
(c) "보조프로그램 → 명령 프롬프트" 메뉴를 "관리자 권한으로 실행"하여 생성된 명령 프롬프트 창에 [sc delete "Micro Security Service"] 명령어를 입력 및 실행하여 서비스 등록값을 자동 삭제하시기 바랍니다.
(d) Internet Explorer 웹 브라우저를 반드시 종료한 상태에서 다음의 폴더(파일)를 찾아 직접 삭제하시기 바랍니다.
- C:\Program Files\appone
- C:\Windows\microengine.dll
- C:\Windows\microsecurity.exe
(e) 레지스트리 편집기(regedit)를 실행하여 BHO 등록값으로 추가된 "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer
\Browser Helper Objects\{358D8A21-5EFC-46CB-AAA6-B1552639222D}" 값을 찾아 삭제하시기 바랍니다.
HKEY_LOCAL_MACHINE\SOFTWARE\appone
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{358D8A21-5EFC-46CB-AAA6-B1552639222D}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{625C75AF-1128-47A1-B68A-B135108E6118}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\microengine.Helper
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\microengine.Helper.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{8ED0B5EA-5202-4B20-9DE6-8B1B14738D35}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{358D8A21-5EFC-46CB-AAA6-B1552639222D}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- appone = "C:\Program Files\appone\apponed.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\appone
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Micro Security Service
appone 광고 프로그램은 제어판을 통해 정상적으로 프로그램 삭제를 지원하는 것처럼 되어 있지만 프로그램 삭제 이후에도 핵심적인 광고 기능을 유지하여 지속적인 수익 창출을 수행할 수 있으므로 주의하시기 바랍니다.
☞ 보안 관련 파일로 위장한 xeengine 악성 광고 프로그램 주의 (2014.6.11)
☞ 가짜 삭제 기능을 제공하는 ecplugin 악성 광고 프로그램 주의 (2014.6.15)
☞ Network Security 파일로 위장한 "softblow + softblow 1.0.0.1" 광고 프로그램 주의 (2014.6.16)
☞ MS 보안 프로그램처럼 위장한 "msssoft + msssoft 1.0.0.1" 광고 프로그램 주의 (2014.10.18)