2014년 하반기경부터 중국(China) 계열로 추정되는 광고 프로그램 "mystartsearch uninstall"은 제어판을 통한 삭제 불가능 및 사용자 몰래 추가적인 악성 광고 프로그램을 설치하여 자신을 보호하는 기능까지 갖춰 상당한 불편을 유발하고 있습니다.
기존에 웹 브라우저 실행시 Mystartsearch 페이지로 자동 연결되는 부분에 대해 정리한 적이 있지만, 해당 방법으로는 완벽하게 해결할 수 있기에 관련된 정보를 자세하게 살펴보도록 하겠습니다.
배포 방식을 살펴보면 해외에서 제작된 프로그램 설치시 추가되는 제휴 프로그램에 포함되어 있으며, 해당 화면에서는 Mystartsearch 광고 프로그램만 설치하는 것처럼 표시하고 있지만 실제로는 총 3종의 악성 광고 프로그램을 설치할 수 있습니다.
- h**p://d2drfrdurj6m**.cloudfront.net/liyan/cvs_mystartsearch.exe (SHA-1 : db986f40612994198fdcb07e8556b6e0dd0b0808) - AVG : Generic.CED (VT : 16/57)
최초 설치 과정에서 특정 서버에서 Mystartsearch 광고 프로그램 설치를 위한 "Shulan Hou" 디지털 서명이 포함된 드랍퍼(Dropper) 파일을 다운로드 및 실행됩니다.
실행된 파일은 특정 서버에서 1.ZIP 압축 파일을 다운로드 및 압축 해제하여 "Beijing Baofeng Technology Co., Ltd." 디지털 서명이 포함된 "C:\Users\(사용자 계정)\AppData\Local\Temp\tmp-RunningMan\BaofengUpdate.exe" 파일<SHA-1 : 9b2489e1838bce9f5f7a6f612d9a9640b74c9179 - Malwarebytes : PUP.Optional.StartPage.A (VT : 1/57)>을 실행하여 "mystartsearch uninstall" 광고 프로그램 설치 및 다음과 같은 추가적인 다운로드를 시도합니다.
- wpm_v20.0.0.1953_0302.exe (SHA-1 : b2b2595d55f71c63e14a0b217e6a4dcadcd9949c) :: WindowsMangerProtect 설치 파일
- XTab_Setup2121.exe (SHA-1 : 42bc924e328be41f6462f59780f79420fc857de8) :: XTab 설치 파일
추가 다운로드된 2.ZIP 압축 파일 내부에는 WindowsMangerProtect, XTab 광고 프로그램 설치 파일이 포함되어 있습니다.
이 분석글에서는 "mystartsearch uninstall" 광고 프로그램과 해당 광고 프로그램의 광고 설정값을 보호하는 XTab 광고 프로그램에 대한 내용을 다루도록 하겠습니다.
C:\Users\(사용자 계정)\AppData\Roaming\mystartsearch
C:\Users\(사용자 계정)\AppData\Roaming\mystartsearch\428.json
C:\Users\(사용자 계정)\AppData\Roaming\mystartsearch\images
C:\Users\(사용자 계정)\AppData\Roaming\mystartsearch\images\code
C:\Users\(사용자 계정)\AppData\Roaming\mystartsearch\MessageBox.xml
C:\Users\(사용자 계정)\AppData\Roaming\mystartsearch\uninstallDlg2.xml
C:\Users\(사용자 계정)\AppData\Roaming\mystartsearch\UninstallManager.exe :: 가짜 "mystartsearch uninstall" 프로그램 삭제 파일
C:\Users\(사용자 계정)\AppData\Roaming\mystartsearch\UninstallManager.exe
- SHA-1 : e463acfe9829a72ab2e222bafadb1c3f7bd6785b
- Hauri ViRobot : Trojan.Win32.A.Autoit.1911808[h] (VT : 6/57)
"mystartsearch uninstall" 광고 프로그램은 숨김(H) 속성값을 가진 폴더 내의 "C:\Users\(사용자 계정)\AppData\Roaming\mystartsearch" 폴더에 파일을 생성합니다.
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
- Default_Page_URL = h**p://www.mystartsearch.com/?type=hp&ts=1429352116&from=cvs&uid=531364863_132775_502BF2C6 :: 추가
- Start Page = (사용자 지정 홈 페이지 URL 주소) :: 변경 전
- Start Page = h**p://www.mystartsearch.com/?type=hp&ts=1429352116&from=cvs&uid=531364863_132775_502BF2C6 :: 변경 후
"mystartsearch uninstall" 광고 프로그램이 설치된 환경에서는 웹 브라우저 홈 페이지 주소를 Mystartsearch로 변경합니다.
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes
- DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A} :: 변경 전
- DefaultScope = {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} :: 변경 후
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}
- URL = h**p://www.bing.com/search?q={searchTerms}&src=IE-SearchBox&FORM=IESR02 :: 변경 전
- URL = h**p://www.mystartsearch.com/web/?utm_source=b&utm_medium=cvs&utm_campaign=install_ie&utm_content=ds&from=cvs&uid=
531364863_132775_502BF2C6&ts=1429352126&type=default&q={searchTerms} :: 변경 후
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0}
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{E733165D-CBCF-4FDA-883E-ADEF965B476C}
또한 웹 브라우저의 검색 공급자 영역에 다수의 Mystartsearch 검색 엔진을 추가하며, 특히 Bing 검색 공급자의 검색 주소를 임의로 수정하는 동작도 확인할 수 있습니다.
C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk- "C:\Program Files\Internet Explorer\iexplore.exe" :: 변경 전
- "C:\Program Files\Internet Explorer\iexplore.exe" h**p://www.mystartsearch.com/?type=sc&ts=1429352116&from=cvs&uid=531364863_132775_502BF2C6 :: 변경 후
해당 광고 프로그램은 프로그램 목록에 등록된 각종 웹 브라우저 바로가기 아이콘의 실행값을 수정하여 웹 브라우저 실행시 Mystartsearch 웹 사이트로 연결되도록 구성되어 있습니다.
C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer(추가 기능 없음).lnk- "C:\Program Files\Internet Explorer\iexplore.exe" :: 변경 전
- "C:\Program Files\Internet Explorer\iexplore.exe" h**p://www.mystartsearch.com/?type=sc&ts=1429352116&from=cvs&uid=531364863_132775_502BF2C6 :: 변경 후
특히 "Internet Explorer(추가 기능 없음)"과 같은 바로가기 값도 수정할 정도로 꼼꼼하게 설정값을 변경하고 있습니다.
C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Chrome.lnk- "C:\Program Files\Google\Chrome\Application\chrome.exe" :: 변경 전
- "C:\Program Files\Google\Chrome\Application\chrome.exe" h**p://www.mystartsearch.com/?type=sc&ts=1429352116&from=cvs&uid=531364863_132775_502BF2C6 :: 변경 후
또한 바탕 화면 및 빠른 실행 영역에 등록된 웹 브라우저 바로가기 아이콘 실행값 역시 Mystartsearch 주소를 추가하여 실행시 자동 연결되도록 설정되어 있습니다.
Google Chrome 웹 브라우저의 경우에도 시작 페이지를 Mystartsearch URL 주소로 변경을 합니다.
또한 홈 버튼 주소를 Mystartsearch로 추가하여 홈 버튼 클릭시 자동 연결되도록 구성되어 있습니다.
검색 엔진 역시 mystartsearch 값을 추가하여 기본 검색 엔진으로 자동 수정하여 Chrome 주소 표시줄에 검색 키워드 입력시 자동 연결됩니다.
위와 같이 설치된 "mystartsearch uninstall" 광고 프로그램은 제어판에 삭제 항목을 등록하고 있지만 프로그램 삭제를 진행한 후에는 전혀 폴더(파일) 및 Mystartsearch 등록값이 삭제되지 않습니다.
실제 "mystartsearch uninstall" 광고 프로그램 삭제 후에도 제어판에서는 해당 삭제값이 그대로 유지되며, 재삭제 시도시 오류창을 생성하여 삭제값만 삭제될 뿐 광고 기능은 지속적으로 동작합니다.
또한 사용자가 수동으로 "mystartsearch uninstall" 프로그램이 생성한 폴더(파일)과 웹 브라우저 바로가기 아이콘(메뉴)에 등록된 "www.mystartsearch.com" URL 주소값을 모두 삭제한 후 웹 브라우저 설정을 초기화(기본 설정 복원)를 한 경우 시스템 재부팅시 SearchProtect 창이 뜨면서 웹 브라우저 설정값이 이전 상태로 보호되는 문제가 발생합니다.
이런 문제의 원인은 "mystartsearch uninstall" 광고 프로그램과 함께 사용자 몰래 설치된 XTab 광고 프로그램에 포함된 웹 브라우저 설정 보호 기능으로 인한 문제입니다.
그러므로 "mystartsearch uninstall" 광고 프로그램 삭제를 완벽하게 하기 위해서는 XTab 광고 프로그램을 사전에 먼저 삭제한 후 "mystartsearch uninstall" 광고 프로그램이 등록한 설정값을 수동으로 삭제 및 변경해야 합니다.
XTab 광고 프로그램은 기존에 분석한 내용이 있지만, 광고 기능을 제외하고 누락된 웹 브라우저 설정 보호값에 대한 부분에 대하여 자세하게 다루도록 하겠습니다.
C:\Program Files\XTab
C:\Program Files\XTab\BrowerWatchCH.dll
C:\Program Files\XTab\BrowerWatchFF.dll
C:\Program Files\XTab\BrowserAction.dll
C:\Program Files\XTab\CmdShell.exe :: 메모리 상주 프로세스
C:\Program Files\XTab\conf
C:\Program Files\XTab\ffsearch_toolbar!1.0.0.1028.xpi
C:\Program Files\XTab\HPNotify.exe :: 메모리 상주 프로세스
C:\Program Files\XTab\IeWatchDog.dll
C:\Program Files\XTab\install.data
C:\Program Files\XTab\msvcp110.dll
C:\Program Files\XTab\msvcr110.dll
C:\Program Files\XTab\ProtectService.exe :: 서비스(IHProtect Service) 등록 파일, 메모리 상주 프로세스
C:\Program Files\XTab\searchProvider.xml
C:\Program Files\XTab\skin
C:\Program Files\XTab\SupTab.dll :: BHO 등록 파일
C:\Program Files\XTab\uninstall.exe :: 프로그램 삭제 파일
C:\Program Files\XTab\web
C:\ProgramData\IHProtectUpDate
C:\ProgramData\IHProtectUpDate\update
C:\ProgramData\IHProtectUpDate\update\conf
C:\Program Files\XTab\BrowerWatchCH.dll
- SHA-1 : 6e1625e1518b1fb62f58fd89349a2aebecf3c90a
- AhnLab V3 365 Clinic : PUP/Win32.SearchProtect.C805972 (VT : 21/57)
C:\Program Files\XTab\BrowerWatchFF.dll
- SHA-1 : cce35ae492e06336a51c1a99c404f9f744600b89
- AhnLab V3 365 Clinic : PUP/Win32.SearchProtect.C805959 (VT : 23/57)
C:\Program Files\XTab\BrowserAction.dll
- SHA-1 : 5d628376391a827a818b0a079b64ee457ae9b82a
- Trend Micro : ADW_ELEX (VT : 12/57)
C:\Program Files\XTab\CmdShell.exe
- SHA-1 : f89f1321002adbca7b6b4d15ad2261d9151ef715
- Trend Micro : TROJ_GEN.R021C0OD815 (VT : 25/56)
C:\Program Files\XTab\HPNotify.exe
- SHA-1 : f63121cdd14d9bcfa93bb10af315fb5fc0823c03
- AhnLab V3 365 Clinic : PUP/Win32.SearchProtect.R143117 (VT : 20/57)
C:\Program Files\XTab\IeWatchDog.dll
- SHA-1 : 15d0246dbdbc07ecfb0a33970bc2571ef50e40d0
- AVG : Generic.B9E (VT : 25/57)
C:\Program Files\XTab\ProtectService.exe
- SHA-1 : a511d45ef634098c7366fd403a87fa3a20ab536a
- 알약(ALYac) : Adware.SearchProtect.W (VT : 33/57)
C:\Program Files\XTab\SupTab.dll
- SHA-1 : a1aa6396b9d450c3d6b5955f714ab029f06babfe
- Avira : PUA/Subtab.Gen (VT : 20/57)
"Giner Tech Inc" 디지털 서명이 포함된 XTab 광고 프로그램은 "C:\Program Files\XTab", "C:\ProgramData\IHProtectUpDate" 폴더에 파일을 생성합니다.
"IHProtect Service (표시 이름 : IHProtect Service)" 서비스 항목을 등록하여 시스템 시작시 "C:\Program Files\XTab\ProtectService.exe" 파일을 자동 실행하여 "C:\Program Files\XTab\CmdShell.exe", "C:\Program Files\XTab\HPNotify.exe" 파일을 로딩하여 메모리에 상주시킵니다.
이를 통해 시스템 트레이 알림 아이콘 영역에 "Search Protect, click to configure" 아이콘을 추가하여 사용자 또는 외부 프로그램에 의해 웹 브라우저 설정값(홈 페이지, 검색 공급자)을 변경할 경우 재부팅시마다 광고 프로그램이 설정한 값으로 복원(보호)합니다.
이로 인하여 "mystartsearch uninstall" 광고 프로그램에 의해 변경된 웹 브라우저 설정값이 XTab 광고 프로그램이 보호하는 효과를 얻을 수 있습니다.
또한 XTab 광고 프로그램은 Internet Explorer 웹 브라우저(iexplore.exe) 동작시 "IETabPage Class" 브라우저 도우미 개체(BHO) 확장 프로그램으로 추가되며 Windows 탐색기(explorer.exe) 실행시 "C:\Program Files\XTab\SupTab.dll" 광고 모듈을 로딩하여 삭제시에도 불편을 유발할 수 있습니다.
■ XTab 광고 프로그램 삭제 방법
"mystartsearch uninstall" 광고 프로그램 설치시 사용자 몰래 설치된 XTab 광고 프로그램은 기존과는 다르게 제어판에 등록하지 않는 문제가 있으므로, 다음과 같은 절차에 따라 수동으로 프로그램 삭제를 진행하시기 바랍니다.
(a) "보조프로그램 → 명령 프롬프트" 메뉴를 "관리자 권한으로 실행"하여 생성된 명령 프롬프트 창에 [sc stop "IHProtect Service"] 명령어를 입력 및 실행하면 메모리에 상주하는 CmdShell.exe, HPNotify.exe, ProtectService.exe 프로세스가 자동 종료 처리됩니다.
(b) Internet Explorer 웹 브라우저를 비롯한 모든 프로그램을 종료한 상태에서 "C:\Program Files\XTab\uninstall.exe" 파일을 찾아 직접 실행하시면 프로그램 삭제를 진행할 수 있습니다.
(c) 프로그램 삭제 후에도 explore.exe 프로세스에 인젝션되어 있던 "C:\Program Files\XTab\SupTab.dll" 파일은 유지되므로 Windows 재부팅을 진행하시면 자동으로 삭제 처리되므로, 재부팅 이후 "C:\ProgramData\IHProtectUpDate" 폴더만 수동 삭제하시기 바랍니다.
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{917CAAE9-DD47-4025-936E-1414F07DF5B8}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{968EDCE0-C10A-47BB-B3B6-FDF09F2A417D}
HKEY_LOCAL_MACHINE\SOFTWARE\IHProtect
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{3050F819-98B5-11CF-BB82-00AA00BDCE0B}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Ext\CLSID
- {3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C} = 1
HKEY_LOCAL_MACHINE\SOFTWARE\SupDp
HKEY_LOCAL_MACHINE\SOFTWARE\supTab
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\IHProtect Service
■ "mystartsearch uninstall" 광고 프로그램 삭제 방법
"mystartsearch uninstall" 광고 프로그램은 제어판에 "mystartsearch uninstall" 삭제 항목을 통해 삭제할 수 있는 것처럼 구성되어 있지만 실제 프로그램 삭제를 전혀 지원하지 않는 가짜 기능입니다.
그러므로 우선 웹 브라우저 설정 보호 기능을 통해 광고 프로그램을 보호하고 있는 XTab 광고 프로그램을 찾아 삭제한 후 다음과 같은 방식으로 "mystartsearch uninstall" 광고 프로그램을 삭제하시기 바랍니다.
(a) 제어판에 등록된 "mystartsearch uninstall" 삭제 항목을 2회 반복하여 실행하여 삭제값을 제거하시기 바랍니다.
(b) 프로그램 메뉴, 바탕 화면, 빠른 실행 등의 영역에 등록된 Internet Explorer, Google Chrome, Mozilla Firefox 웹 브라우저의 바로가기 아이콘 속성에 등록된 대상값에 포함된 "h**p://www.mystartsearch.com/..." URL 주소를 찾아 직접 삭제하시기 바랍니다.
(c) 사용하시는 웹 브라우저의 환경 설정에서 제공하는 웹 브라우저 초기화 기능을 통해 기본값으로 변경 후 Windows 재부팅을 진행하신 후 웹 브라우저 홈 페이지, 검색 공급자 등의 설정을 사용자가 원하는 값으로 재설정하시기 바랍니다.
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
- Default_Page_URL = h**p://www.mystartsearch.com/?type=hp&ts=1429352116&from=cvs&uid=531364863_132775_502BF2C6 :: 추가
- Start Page = (사용자 지정 홈 페이지 URL 주소) :: 변경 전
- Start Page = h**p://www.mystartsearch.com/?type=hp&ts=1429352116&from=cvs&uid=531364863_132775_502BF2C6 :: 변경 후
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes
- DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A} :: 변경 전
- DefaultScope = {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} :: 변경 후
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}
- URL = h**p://www.bing.com/search?q={searchTerms}&src=IE-SearchBox&FORM=IESR02 :: 변경 전
- URL = h**p://www.mystartsearch.com/web/?
utm_source=b&utm_medium=cvs&utm_campaign=install_ie&utm_content=ds&from=cvs&uid=
531364863_132775_502BF2C6&ts=1429352126&type=default&q={searchTerms} :: 변경 후
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0}
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{E733165D-CBCF-4FDA-883E-ADEF965B476C}
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\Google Chrome\shell\open\command
- (기본값) = "C:\Program Files\Google\Chrome\Application\chrome.exe" :: 변경 전
- (기본값) = "C:\Program Files\Google\Chrome\Application\chrome.exe" h**p://www.mystartsearch.com/?
type=sc&ts=1429352116&from=cvs&uid=531364863_132775_502BF2C6 :: 변경 후
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command
- (기본값) = C:\Program Files\Internet Explorer\iexplore.exe :: 변경 전
- (기본값) = C:\Program Files\Internet Explorer\iexplore.exe h**p://www.mystartsearch.com/?
type=sc&ts=1429352116&from=cvs&uid=531364863_132775_502BF2C6 :: 변경 후
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\MAIN
- Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896 :: 변경 전
- Default_Page_URL = h**p://www.mystartsearch.com/?type=hp&ts=1429352116&from=cvs&uid=531364863_132775_502BF2C6 :: 변경 후
- Default_Search_URL = h**p://go.microsoft.com/fwlink/p/?LinkId=255141 :: 변경 전
- Default_Search_URL = h**p://www.mystartsearch.com/web/?type=ds&ts=1429352116&from=cvs&uid=531364863_132775_502BF2C6&q={searchTerms} :: 변경 후
- Search Page = h**p://go.microsoft.com/fwlink/p/?LinkId=255141 :: 변경 전
- Search Page = h**p://www.mystartsearch.com/web/?type=ds&ts=1429352116&from=cvs&uid=531364863_132775_502BF2C6&q={searchTerms} :: 변경 후
- Start Page = h**p://go.microsoft.com/fwlink/p/?LinkId=255141 :: 변경 전
- Start Page = h**p://www.mystartsearch.com/?type=hp&ts=1429352116&from=cvs&uid=531364863_132775_502BF2C6 :: 변경 후
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes
- DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A} :: 변경 전
- DefaultScope = {33BB0A4E-99AF-4226-BDF6-49120163DE86} :: 변경 후
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\mystartsearch uninstall
HKEY_LOCAL_MACHINE\SOFTWARE\mystartsearchSoftware
HKEY_LOCAL_MACHINE\SOFTWARE\mystartsearchSoftware\mystartsearchhp
삭제 기능을 정상적으로 제공하지 않으면서 광고 설정값을 보호하는 기능을 가진 mystartsearch uninstall, XTab 해외 광고 프로그램으로 인해 웹 브라우저 실행시마다 원치않는 웹 사이트로 자동 연결되거나 인터넷 검색시 다른 검색 엔진으로 연결되는 일이 없도록 프로그램 설치시 추가적으로 설치되는 제휴 프로그램을 꼼꼼하게 확인하는 습관을 가지시기 바랍니다.