본문 바로가기

벌새::Analysis

해외 제휴 프로그램 : eShield

반응형

해외에서 제작된 프로그램 설치 과정에서 추가적으로 포함된 제휴 프로그램 방식으로 배포가 이루어지고 있는 것으로 추정되는 eShield (eShield Browser Security) 프로그램에 대해 살펴보도록 하겠습니다.

 

eShield Browser Security 프로그램은 Safe Search(안전한 검색), Safe Browsing(안전한 브라우징), Anonymous Browsing(익명 브라우징) 기능을 제공하는 웹 브라우저 보안 강화 프로그램이며, 설치로 인하여 홈 페이지 및 검색 공급자 변경, 툴바(Toolbar) 생성이 이루어질 수 있습니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Program Files\TNT2
C:\Program Files\TNT2\2.0.0.1958\IEToolbar.dll
C:\Program Files\TNT2\2.0.0.1958\IEToolbar64.dll
C:\Program Files\TNT2\Profiles\11405\passport.dll
C:\Program Files\TNT2\Profiles\11405\passport64.dll
C:\Program Files\TNT2\TNT2UserPS.dll
C:\Program Files\TNT2\TNT2UserPS64.dll
C:\ProgramData\Package Cache\{f08feb52-5c48-4ae9-990a-c82930432be8}\EshieldSetup.exe
C:\ProgramData\Package Cache\B1BD0D031584EBEA3DD0C13150A8DCCA85090681\EshieldPack10999.exe
C:\Users\(사용자 계정)\AppData\Local\TNT2
C:\Users\(사용자 계정)\AppData\Local\TNT2\2.0.0.1958\Autorun.inf
C:\Users\(사용자 계정)\AppData\Local\TNT2\2.0.0.1958\crx.tar
C:\Users\(사용자 계정)\AppData\Local\TNT2\2.0.0.1958\GameApps.ini
C:\Users\(사용자 계정)\AppData\Local\TNT2\2.0.0.1958\GameConsole.exe
C:\Users\(사용자 계정)\AppData\Local\TNT2\2.0.0.1958\GameEngine.dll
C:\Users\(사용자 계정)\AppData\Local\TNT2\2.0.0.1958\GLOBALUNINSTALL.TNT
C:\Users\(사용자 계정)\AppData\Local\TNT2\2.0.0.1958\hmac.1.dll
C:\Users\(사용자 계정)\AppData\Local\TNT2\2.0.0.1958\iestage2.1.dll
C:\Users\(사용자 계정)\AppData\Local\TNT2\2.0.0.1958\IEToolbar.dll
C:\Users\(사용자 계정)\AppData\Local\TNT2\2.0.0.1958\IEToolbar64.dll
C:\Users\(사용자 계정)\AppData\Local\TNT2\2.0.0.1958\INSTALL.TNT
C:\Users\(사용자 계정)\AppData\Local\TNT2\2.0.0.1958\LastSession.log
C:\Users\(사용자 계정)\AppData\Local\TNT2\2.0.0.1958\log.dll
C:\Users\(사용자 계정)\AppData\Local\TNT2\2.0.0.1958\MinecraftShims64.dll
C:\Users\(사용자 계정)\AppData\Local\TNT2\2.0.0.1958\npTNT2.dll
C:\Users\(사용자 계정)\AppData\Local\TNT2\2.0.0.1958\PARTNER.TNT
C:\Users\(사용자 계정)\AppData\Local\TNT2\2.0.0.1958\passport.dll
C:\Users\(사용자 계정)\AppData\Local\TNT2\2.0.0.1958\passport64.dll
C:\Users\(사용자 계정)\AppData\Local\TNT2\2.0.0.1958\pinnedSearch_FindWide.htm
C:\Users\(사용자 계정)\AppData\Local\TNT2\2.0.0.1958\pinnedSearch_Freshy.htm
C:\Users\(사용자 계정)\AppData\Local\TNT2\2.0.0.1958\pinnedSearch.htm
C:\Users\(사용자 계정)\AppData\Local\TNT2\2.0.0.1958\progress.1.dll
C:\Users\(사용자 계정)\AppData\Local\TNT2\2.0.0.1958\regsvr.1.dll
C:\Users\(사용자 계정)\AppData\Local\TNT2\2.0.0.1958\RemoteSkin.wms
C:\Users\(사용자 계정)\AppData\Local\TNT2\2.0.0.1958\sqlite.1.dll
C:\Users\(사용자 계정)\AppData\Local\TNT2\2.0.0.1958\tnt2chrome.dll
C:\Users\(사용자 계정)\AppData\Local\TNT2\2.0.0.1958\tnt2chrome64.dll
C:\Users\(사용자 계정)\AppData\Local\TNT2\2.0.0.1958\TNT2User.exe
C:\Users\(사용자 계정)\AppData\Local\TNT2\2.0.0.1958\TNT2UserPS.dll
C:\Users\(사용자 계정)\AppData\Local\TNT2\2.0.0.1958\TNT2UserPS64.dll
C:\Users\(사용자 계정)\AppData\Local\TNT2\2.0.0.1958\TntMagicDel.dll
C:\Users\(사용자 계정)\AppData\Local\TNT2\2.0.0.1958\UnInjLib.dll
C:\Users\(사용자 계정)\AppData\Local\TNT2\2.0.0.1958\UnInjLib64.dll
C:\Users\(사용자 계정)\AppData\Local\TNT2\2.0.0.1958\UNINSTALL.TNT
C:\Users\(사용자 계정)\AppData\Local\TNT2\2.0.0.1958\UninstallDlg.1.dll
C:\Users\(사용자 계정)\AppData\Local\TNT2\2.0.0.1958\untar.1.dll
C:\Users\(사용자 계정)\AppData\Local\TNT2\2.0.0.1958\UPDATE.TNT
C:\Users\(사용자 계정)\AppData\Local\TNT2\2.0.0.1958\xpi.tar
C:\Users\(사용자 계정)\AppData\Local\TNT2\2.0.0.1958\zipunzip.1.dll
C:\Users\(사용자 계정)\AppData\Local\TNT2\Common\extension_host-manifest.json
C:\Users\(사용자 계정)\AppData\Local\TNT2\Common\extension_host.exe
C:\Users\(사용자 계정)\AppData\Local\TNT2\Common\extension_host.ini
C:\Users\(사용자 계정)\AppData\Local\TNT2\Common\GameConsole.exe
C:\Users\(사용자 계정)\AppData\Local\TNT2\Profiles\11405

 

※ 일부 불필요한 폴더(파일) 정보는 생략되었음을 밝힙니다.

 

[생성 파일 진단 정보]

 

C:\Program Files\TNT2\2.0.0.1958\IEToolbar.dll
C:\Users\(사용자 계정)\AppData\Local\TNT2\2.0.0.1958\IEToolbar.dll
 - SHA-1 : 1e259e7c228be9893016bafdcaabcce125830bb7
 - AVG : Generic.A64 (VT : 11/55)

 

C:\Program Files\TNT2\2.0.0.1958\IEToolbar64.dll
C:\Users\(사용자 계정)\AppData\Local\TNT2\2.0.0.1958\IEToolbar64.dll
 - SHA-1 : 07441a38d2d9b6e4edc823e5d6ab5669d75b6a3c
 - Avira : PUA/FindWide.Gen (VT : 7/55)

 

C:\Program Files\TNT2\Profiles\11405\passport.dll
C:\Users\(사용자 계정)\AppData\Local\TNT2\2.0.0.1958\passport.dll
 - SHA-1 : 82155736bcbc6a16b20c34d0cf7358976c7942aa
 - Dr.Web : Adware.Toolbar.622 (VT : 3/55)

 

C:\Program Files\TNT2\Profiles\11405\passport64.dll
C:\Users\(사용자 계정)\AppData\Local\TNT2\2.0.0.1958\passport64.dll
 - SHA-1 : 57d2b9ed8eb26889a6116dd371f059e4eacab2e4
 - Malwarebytes : PUP.Optional.eShield.A (VT : 3/55)

 

C:\Program Files\TNT2\TNT2UserPS.dll
C:\Users\(사용자 계정)\AppData\Local\TNT2\2.0.0.1958\TNT2UserPS.dll
 - SHA-1 : 1535736df59a600682029c68a49c881af9cb7c70
 - AVG : Generic.A64 (VT : 2/55)

 

C:\Program Files\TNT2\TNT2UserPS64.dll
C:\Users\(사용자 계정)\AppData\Local\TNT2\2.0.0.1958\TNT2UserPS64.dll
 - SHA-1 : 39acd0f7217a044019979bdd9fa682e49e74096a
 - Dr.Web : Adware.Toolbar.622 (VT : 5/55)

 

C:\ProgramData\Package Cache\{f08feb52-5c48-4ae9-990a-c82930432be8}\EshieldSetup.exe
 - SHA-1 : c85af4bf82b04e9e4a309e0791bfcf8a9a90ab6e
 - Malwarebytes : PUP.Optional.eShield.A (VT : 3/55)

 

C:\ProgramData\Package Cache\B1BD0D031584EBEA3DD0C13150A8DCCA85090681\EshieldPack10999.exe
 - SHA-1 : b1bd0d031584ebea3dd0c13150a8dcca85090681
 - Avira : PUA/FindWide.Gen (VT : 7/55)

 

C:\Users\(사용자 계정)\AppData\Local\TNT2\2.0.0.1958\GameConsole.exe
C:\Users\(사용자 계정)\AppData\Local\TNT2\Common\GameConsole.exe
 - SHA-1 : b1d221d09abd889c05a598a16dfe423370e985dc
 - Dr.Web : Adware.Toolbar.622 (VT : 3/55)

 

C:\Users\(사용자 계정)\AppData\Local\TNT2\2.0.0.1958\npTNT2.dll
 - SHA-1 : dfa62aebcc2b72d98d1aee1335a0c8e1b0f8d6ff
 - ESET : a variant of Win32/Toolbar.TNT2.H potentially unwanted (VT : 3/55)

 

C:\Users\(사용자 계정)\AppData\Local\TNT2\2.0.0.1958\TNT2User.exe
 - SHA-1 : d18474c5506d03315b3d9af82c618e0cd2e2aae1
 - AVG : Generic.A64 (VT : 6/55)

eShield, Search.us.com 2종의 디지털 서명이 포함된 eShield Browser Security 프로그램은 "C:\Program Files\TNT2", "C:\ProgramData\Package Cache\{f08feb52-5c48-4ae9-990a-c82930432be8}", "C:\ProgramData\Package Cache\B1BD0D031584EBEA3DD0C13150A8DCCA85090681", "C:\Users\(사용자 계정)\AppData\Local\TNT2" 폴더에 파일을 생성할 수 있습니다.

 

프로그램 설치로 인하여 시스템 시작시 자동 실행되는 부분은 전혀없으며, Internet Explorer, Chrome, Mozilla Firefox 웹 브라우저의 확장 프로그램 형태로 추가되어 다음과 같은 행위를 수행할 수 있습니다.(※ Mozilla Firefox 웹 브라우저는 사용자가 적은 관계로 생략합니다.)

 

1. Internet Explorer 웹 브라우저 환경

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
 - Default_Page_URL = h**p://services.eshield.com/general/newhometab.php?hometab=home&partner=11405&guid={9465407A-EC59-441B-AFF7-10E8DE5927A1}&i=
:: 추가
 - Start Page = (사용자 지정 URL 주소) :: 변경 전
 - Start Page = h**p://services.eshield.com/general/newhometab.php?hometab=home&partner=11405&guid={9465407A-EC59-441B-AFF7-10E8DE5927A1}&i= :: 변경 후

Internet Explorer 웹 브라우저 홈 페이지 주소를 "services.eshield.com"로 변경하여 인터넷 검색을 시도할 경우 야후(Yahoo) 검색 결과로 연결됩니다.

 

이름

 eShield

게시자

 eShield

유형

 도구 모음

CLSID

 {4DBDA1B0-73DA-4DDD-BA3F-3B474AC7079B}

폴더/파일

 C:\Program Files\TNT2\2.0.0.1958\ietoolbar.dll

 

Internet Explorer 웹 브라우저 상단에 eShield 툴바(Toolbar)를 생성하여 Safe Search 기능을 제공합니다.

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes
 - DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A} :: 변경 전
 - DefaultScope = {C909F305-0E6D-4CA4-BE43-196AEFAA8CA2}
:: 변경 후
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{9C7562BD-FA52-4F70-9BDD-B825C93132AB}
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{C909F305-0E6D-4CA4-BE43-196AEFAA8CA2}

또한 Internet Explorer 웹 브라우저의 검색 공급자에 eShield Safe Web (search.eshield.com), Yahoo! (search.yahoo.com) 2개의 값을 추가하며, eShield Safe Web 값을 기본 검색 공급자로 자동 변경합니다.

 

2. Chrome 웹 브라우저 환경

Chrome 웹 브라우저가 설치되어 있는 경우에는 방문하는 웹 사이트의 전체 데이터 조회 및 변경, 협력 중인 기본 애플리케이션과 통신 권한을 요구하는 eShield 확장 프로그램(C:\Users\(사용자 계정)\AppData\Local\Google\Chrome\User Data\Default\Extensions\dkmjljdbbgogihjcapfhgkonfmccbffp)을 추가할 수 있습니다.

또한 Chrome 웹 브라우저 실행시 새 탭 주소를 "search.eshield.com" 페이지로 변경하여 자동으로 연결되도록 변경합니다.

참고로 홈 페이지 연결을 변경할 목적으로 eShield 확장 프로그램이 제어하고 있음을 알 수 있습니다.

 

eShield 또는 eShield Browser Security 프로그램 삭제 방법

기본적으로 해당 프로그램은 제어판 또는 체크잇(CheckIt : www.checkitinfo.com) 프로그램에 등록된 "eShield" 또는 "eShield Browser Security" 삭제 항목을 이용하여 제거할 수 있습니다.

만약 제어판의 삭제 목록이 존재하지 않을 경우에는 "보조프로그램 → 명령 프롬프트" 메뉴를 "관리자 권한으로 실행"하여 생성된 명령 프롬프트 창에 ["C:\ProgramData\Package Cache\{f08feb52-5c48-4ae9-990a-c82930432be8}\EshieldSetup.exe"  /uninstall] 명령어를 입력 및 실행하시면 프로그램 삭제를 진행할 수 있습니다.({f08feb52-5c48-4ae9-990a-c82930432be8} 값은 변경될 수 있으므로 EshieldSetup.exe 파일이 저장된 폴더명을 찾아 응용하시기 바랍니다.)

 

위와 같은 방식으로 eShield (eShield Browser Security) 프로그램을 제거할 경우 생성 폴더(파일)만 제거될 뿐 웹 브라우저 설정값은 그대로 유지되므로 다음과 같은 추가적인 수정은 사용자가 직접하시기 바랍니다.

 

1. Internet Explorer 웹 브라우저 수정 사항

인터넷 옵션의 홈 페이지에 등록된 "services.eshield.com" 주소를 삭제한 후 사용자가 원하는 홈 페이지 URL 주소를 입력하시기 바랍니다.

Internet Explorer 웹 브라우저의 "추가 기능 관리" 메뉴를 실행하여 "Bing" 검색 공급자를 선택하여 "기본값으로 설정" 버튼을 클릭하여 기본 검색 공급자를 수정하시기 바랍니다.

이후 eShield Safe Web, Yahoo! 검색 공급자를 선택하여 "제거" 버튼을 클릭하여 제거하시기 바랍니다.

 

2. Chrome 웹 브라우저 수정 사항

Chrome 웹 브라우저의 확장 프로그램(chrome://extensions) 메뉴를 실행하여 eShield 플러그인의 휴지통 아이콘을 클릭하여 삭제하시기 바랍니다.

 

3. Windows 방화벽 허용 프로그램 수정 사항

eShield (eShield Browser Security) 프로그램 설치시 Windows 방화벽 영역에 TNT2 항목을 추가하여 프로그램의 통신이 원활하도록 설정하고 있으며, 프로그램 삭제 이후에도 해당 등록값이 제거되지 않습니다.

 

그러므로 레지스트리 편집기(regedit)를 실행하여 다음의 레지스트리 값을 찾아 삭제하시기 바랍니다.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\SharedAccess\
Parameters\FirewallPolicy\FirewallRules
 - {DBB269DE-914B-4631-AA5D-B57FCD82FB2C} = v2.10|Action=Allow|Active=TRUE|Dir=In|App=C:\Users\(사용자 계정)\AppData\Local

\TNT2\2.0.0.1958\TNT2User.exe|Name=TNT2|

[그 외 주요 생성(변경) 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Approved Extensions
 - {4DBDA1B0-73DA-4DDD-BA3F-3B474AC7079B}

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser
 - {4DBDA1B0-73DA-4DDD-BA3F-3B474AC7079B}

HKEY_CURRENT_USER\Software\TNT2

HKEY_LOCAL_MACHINE\SOFTWARE\Google\Chrome\Extensions\
dkmjljdbbgogihjcapfhgkonfmccbffp
HKEY_LOCAL_MACHINE\SOFTWARE\Google\Chrome\NativeMessagingHosts\
com.eshield.extension_host

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\AboutURLs
 - Tabs = h**p://services.eshield.com/general/newhometab.php?hometab=home&partner=11405&guid={9465407A-EC59-441B-AFF7-10E8DE5927A1}&i=

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar
 - {4DBDA1B0-73DA-4DDD-BA3F-3B474AC7079B}

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
{f08feb52-5c48-4ae9-990a-c82930432be8}

 

eShield Browser Security 프로그램 자체는 악성 프로그램은 아니지만 배포 방식의 문제로 인하여 사용자의 부주의한 클릭으로 인하여 원치않게 설치되어 웹 브라우저 설정값 변경으로 불편을 유발할 수 있으므로 프로그램 설치시에는 화면을 잘 살피는 습관을 가지시기 바랍니다.

728x90
반응형