울지않는벌새 : Security, Movie & Society

검색 도우미 : snbmedia

벌새::Analysis

인터넷 검색시 광고창을 생성하며 백그라운드 방식으로 다양한 웹 사이트를 자동으로 접속하는 국내에서 제작된 snbmedia 광고 프로그램<SHA-1 : db713e6a541b743447263062cf01a0b3b878d4f7 - AhnLab V3 365 Clinic : PUP/Win32.Toolbar.C734941 (VT : 22/57)>에 대해 살펴보도록 하겠습니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Program Files\snbmedia
C:\Program Files\snbmedia\blgzi.dll
C:\Program Files\snbmedia\snbmedi.dll
C:\Program Files\snbmedia\snbsearch.exe :: 시작 프로그램(managerlinksnb) 등록 파일
C:\Program Files\snbmedia\snbsearchlink.exe :: 시작 프로그램(snbsearchlink) 등록 파일, 메모리 상주 프로세스
C:\Program Files\snbmedia\Uninstall.exe :: 프로그램 삭제 파일
C:\Program Files\snbmedia\Uninstall.ini
C:\Users\(사용자 계정)\AppData\Local\Temp\IE_Sv7ka.bat
C:\Users\(사용자 계정)\AppData\Local\Temp\IE_Sv7kb.bat
C:\Users\(사용자 계정)\AppData\Local\Temp\IE_Sv7kc.bat
C:\Users\(사용자 계정)\AppData\Local\Temp\IE_Sv7kd.bat
C:\Windows\System32\INETKO.DLL
C:\Windows\System32\MSINET.OCX
C:\Windows\System32\VB6KO.DLL

 

[생성 파일 진단 정보]

 

C:\Program Files\snbmedia\blgzi.dll
 - SHA-1 : 7a44c1a93dd22c71f59dafb4bb1dc652795f5637
 - Avira : TR/ATRAPS.Gen (VT : 4/52)

 

C:\Program Files\snbmedia\snbsearch.exe
 - SHA-1 : e88abbffd5e0202d6778401e49b8cfd3b45fb702
 - Kaspersky : not-a-virus:AdWare.Win32.Loadwar.cpd (VT : 6/57)

"sonakbee Co., Ltd" 디지털 서명이 포함된 해당 프로그램은 "C:\Program Files\snbmedia" 폴더에 파일을 생성합니다.

  • 시작 프로그램(managerlinksnb) 등록값 : C:\Program Files\snbmedia\snbsearch.exe
  • 시작 프로그램(snbsearchlink) 등록값 : C:\Program Files\snbmedia\snbsearchlink.exe

Windows 시작시 managerlinksnb, snbsearchlink 2개의 시작 프로그램 등록값을 통해 자동 실행되도록 구성되어 있습니다.

자동 실행된 "C:\Program Files\snbmedia\snbsearchlink.exe" 파일(SHA-1 : a757baead672da4f597b4dc5507116789389fc37)은 특정 서버에서 광고 구성값 정보를 체크한 후 메모리에 상주합니다.

메모리에 상주하는 snbsearchlink.exe 프로세스는 "C:\Program Files\snbmedia\blgzi.dll", "C:\Program Files\snbmedia\snbmedi.dll" (SHA-1 : d56853183a2f9582fa421a9316ed4801bb3d7983) 2종의 광고 모듈을 통해 다음과 같은 행위를 수행할 수 있습니다.

이후 1분 간격으로 임시 폴더에 IE_Sv7ka.bat, IE_Sv7kb.bat, IE_Sv7kc.bat, IE_Sv7kd.bat 4개의 파일을 반복적으로 생성하며, 해당 파일은 원활한 광고 구현을 위한 Internet Explorer 웹 브라우저의 탭(Tab) 설정을 지속하기 위한 것으로 추정됩니다.

프로그램이 설치된 환경에서 사용자가 인터넷 검색을 시도할 경우 검색 키워드 값을 참조하여 열린 주소창 검색(dns3.ktguide.com) 또는 다양한 광고창이 생성될 수 있습니다.

또한 시스템 시작 후 10분이 경과하면 사용자 몰래 백그라운드 방식으로 특정 검색 키워드 값을 기반으로 열린 주소창 검색(dns3.ktguide.com)을 통한 인터넷 검색 후 제휴 코드를 추가하여 다양한 웹 사이트에 접속하는 동작이 10분간 지속될 수 있습니다.

 

snbmedia 광고 프로그램 삭제 방법

 

(a) Windows 작업 관리자를 실행하여 메모리에 상주하는 snbsearchlink.exe 프로세스를 찾아 종료하시기 바랍니다.

(b) 제어판 또는 체크잇(CheckIt : www.checkitinfo.com) 프로그램에 등록된 snbmedia 삭제 항목을 이용하여 프로그램 삭제를 진행할 수 있습니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion
 - searchsnb = 1
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - managerlinksnb = C:\Program Files\snbmedia\snbsearch.exe
 - snbsearchlink = C:\Program Files\snbmedia\snbsearchlink.exe
HKEY_CURRENT_USER\Software\searchsnb
HKEY_CURRENT_USER\Software\snbab
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
snbmedia

 

snbmedia 광고 프로그램은 화면 상으로는 표시되지 않는 방식으로 인터넷 검색을 통해 웹 사이트 접속 행위를 통해 불필요한 트래픽을 유발하여 시스템 및 인터넷 속도 저하를 유발할 수 있으므로 설치된 상태로 PC를 사용하지 않도록 주의하시기 바랍니다.