울지않는벌새 : Security, Movie & Society

검색 도우미 : Windows Desktop MBT Icons Ver 6.1.1.4

벌새::Analysis

바탕 화면 및 즐겨찾기 영역에 서치바이미 바로가기 아이콘을 생성하며, 사용자 몰래 특정 검색 키워드 값으로 인터넷 검색을 시도하는 국내에서 제작된 "Windows Desktop MBT Icons Ver 6.1.1.4" 광고 프로그램에 대해 살펴보도록 하겠습니다.

해당 프로그램은 기존의 유사한 기능을 가진 CloverPlus 광고 프로그램의 변종이므로 참고하시기 바랍니다.

설치 과정을 살펴보면 배포 파일<SHA-1 : b160bffb7f2198d0f9d026a56f62d46dae8e8d7f - ESET : a variant of Win32/Adware.CloverPlus.AB (VT : 11/56)> 실행을 통해 특정 서버에서 암호화된 파일 정보를 통해 다음과 같은 생성 파일을 추가 다운로드하여 프로그램 설치가 진행됩니다.

  • h**p://m.***icons.com/files/pav4/mbt.exe (= MBTIPv32.exe)
  • h**p://m.***icons.com/files/pav4/c_updater.exe (= MBTIUPv32.exe)
[생성 폴더 / 파일 등록 정보]

 

C:\Users\(사용자 계정)\AppData\Local\Windows MBT Icons
C:\Users\(사용자 계정)\AppData\Local\Windows MBT Icons\MBTIPv32.exe :: 시작 프로그램(MBTIPv32) 등록 파일, 메모리 상주 프로세스
C:\Users\(사용자 계정)\AppData\Local\Windows MBT Icons\MBTIUPv32.exe :: 시작 프로그램(MBTIUPv32) 등록 파일
C:\Users\(사용자 계정)\AppData\Local\Windows MBT Icons\MBTIVuninstall.exe :: 프로그램 삭제 파일
C:\Users\(사용자 계정)\Desktop\서치바이미.url
C:\Users\(사용자 계정)\Favorites\서치바이미 - 내가 만들어가는 검색형 블로그.url
C:\Users\(사용자 계정)\Favorites\연결\서치바이미.url
C:\Windows\searchbyme.ico

 

[생성 파일 진단 정보]

 

C:\Users\(사용자 계정)\AppData\Local\Windows MBT Icons\MBTIPv32.exe
 - SHA-1 : be89b25fcd98a2e9376cd022910d0abdf3796cf1
 - 알약(ALYac) : Gen:Variant.Graftor.239377 (VT : 22/56)

 

C:\Users\(사용자 계정)\AppData\Local\Windows MBT Icons\MBTIUPv32.exe
 - SHA-1 : 2bf0053761ef5bf9fe1a1730d2758fac004ad3db
 - AhnLab V3 365 Clinic : PUP/Win32.CloverPlus.C610131 (VT : 18/55)

 

C:\Users\(사용자 계정)\AppData\Local\Windows MBT Icons\MBTIVuninstall.exe
 - SHA-1 : 7198c9371cc1b8743ed8a92fedebd9c5f72b0a43
 - AVG : Generic5.CHLM (VT : 14/56)

"Rainnd Inc" 디지털 서명이 포함된 "Windows Desktop MBT Icons Ver 6.1.1.4" 광고 프로그램은 "C:\Users\(사용자 계정)\AppData\Local\Windows MBT Icons" 폴더에 주요 파일을 생성합니다.

  • 시작 프로그램(MBTIPv32) : C:\Users\(사용자 계정)\AppData\Local\Windows MBT Icons\MBTIPv32.exe
  • 시작 프로그램(MBTIUPv32) : C:\Users\(사용자 계정)\AppData\Local\Windows MBT Icons\MBTIUPv32.exe

Windows 시작시 시작 프로그램 등록값을 통해 자동 실행된 MBTIUPv32.exe 파일은 프로그램 업데이트 체크 후 자동 종료되며, 광고 기능을 수행하는 MBTIPv32.exe 파일은 서치바이미 바로가기 아이콘을 생성한 후 메모리에 상주합니다.

"Windows Desktop MBT Icons Ver 6.1.1.4" 광고 프로그램이 설치된 환경에서 외형적으로는 바탕 화면 및 즐겨찾기 영역에 서치바이미 바로가기 아이콘이 추가되며, 사용자가 접속시 노출되는 광고 배너를 통해 수익을 낼 것으로 보입니다.

눈에 보이지 않는 광고 동작을 살펴보면 프로그램 실행 후 6분이 경과하는 시점에서 특정 서버에서 암호화된 광고 구성값 정보를 체크한 후 다음과 같은 백그라운드 방식의 자동 연결이 이루어질 수 있습니다.

자동 연결 정보를 살펴보면 특정 검색 키워드(※ 예시 : 연기학원수강료)를 기반으로 "rfr.***icons.com → yk22y.*****linecode.com → yk22y.**logger.co.kr" 서버를 거쳐서 최종 타켓 사이트로 연결이 이루어집니다.

 

최종적으로 연결된 모 언론 사이트에서는 마치 사람이 검색한 것처럼 "연기학원수강료" 검색 키워드를 통한 검색 결과가 노출되며 이를 통해 수익을 얻을 것으로 판단됩니다.

 

"Windows Desktop MBT Icons Ver 6.1.1.4" 광고 프로그램 삭제 방법

(a) Windows 작업 관리자를 실행하여 메모리에 상주하는 MBTIPv32.exe 프로세스를 찾아 종료하시기 바랍니다.

(b) 실행 중인 웹 브라우저를 모두 종료한 후 제어판 또는 체크잇(CheckIt : www.checkitinfo.com) 프로그램에 등록된 "Windows Desktop MBT Icons Ver 6.1.1.4" 삭제 항목을 이용하여 프로그램 삭제를 진행할 수 있습니다.

 

(c) 프로그램 삭제 후 추가적으로 다음과 같은 폴더(파일)를 찾아 삭제하시기 바랍니다.

  • C:\Users\(사용자 계정)\AppData\Local\Windows MBT Icons
  • C:\Users\(사용자 계정)\Desktop\서치바이미.url
  • C:\Users\(사용자 계정)\Favorites\서치바이미 - 내가 만들어가는 검색형 블로그.url
  • C:\Users\(사용자 계정)\Favorites\연결\서치바이미.url
  • C:\Windows\searchbyme.ico
[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\Microsoft\RBTIV
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - MBTIPv32 = C:\Users\(사용자 계정)\AppData\Local\Windows MBT Icons\MBTIPv32.exe
 - MBTIUPv32 = C:\Users\(사용자 계정)\AppData\Local\Windows MBT Icons\MBTIUPv32.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\BTIV

 

"Windows Desktop MBT Icons Ver 6.1.1.4" 광고 프로그램이 설치된 경우 외형적으로는 광고 행위를 확인할 수 없지만, 사용자 몰래 자동으로 인터넷 검색을 통해 불필요한 트래픽을 유발할 수 있으므로 설치되지 않도록 주의하시기 바랍니다.