울지않는벌새 : Security, Movie & Society

유해 사이트 차단 기능이 포함된 InternetSafeZone 광고 프로그램 (2015.10.22)

벌새::Analysis

인터넷 검색 및 웹 사이트 접속시 다양한 광고창을 자동으로 생성할 수 있는 국내에서 제작된 InternetSafeZone 광고 프로그램에 대해 살펴보도록 하겠습니다.

해당 광고 프로그램은 2013년 1월경 정보가 공개된 상태이며, 최근에는 ISZONE 유해 사이트 차단 기능이 포함된 형태로 변형되어 있으므로 참고하시기 바랍니다.

설치 과정을 살펴보면 배포 파일<SHA-1 : 748b2bb4c3f3d14561c6477ce9466b270317b6ef - Trend Micro : ADW_KRADDARE (VT : 9/56)> 실행을 통해 특정 서버에서 InternetSafeZone 설치 파일을 추가적으로 다운로드하여 "C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Windows\Templates\ISZoneInstall_94_162.exe" 파일<SHA-1 : c75ac38460e7a866d73fcb86a3036cac7f291324 - ESET : a variant of Win32/Adware.SafeTerra.A (VT : 7/55)>로 생성되어 프로그램 설치 후 자가 삭제 처리됩니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Program Files\ISZone :: 숨김(H) 속성
C:\Program Files\ISZone\category.dt
C:\Program Files\ISZone\ISZone.exe :: 메모리 상주 프로세스
C:\Program Files\ISZone\ISZoneUpdate.exe :: 예약 작업(ISZone) 등록 파일
C:\Program Files\ISZone\nhopen.dll
C:\Program Files\ISZone\TerraInfo.STR
C:\Program Files\ISZone\timeAdd.dll
C:\Program Files\ISZone\unins000.dat
C:\Program Files\ISZone\unins000.exe :: 프로그램 삭제 파일
C:\Windows\System32\Tasks\ISZone

 

[생성 파일 진단 정보]

 

C:\Program Files\ISZone\ISZone.exe
 - SHA-1 : 269775d39a16a4d552816a11211652891608d672
 - AhnLab V3 365 Clinic : PUP/Win32.Helper.R34339 (VT : 10/56)

 

C:\Program Files\ISZone\ISZoneUpdate.exe
 - SHA-1 : b6e802c92f379e40feb4f214ef93abead6d3e455
 - AhnLab V3 365 Clinic : PUP/Win32.Helper.R34339 (VT : 7/55)

 

C:\Program Files\ISZone\nhopen.dll
 - SHA-1 : 1b2cf0c82a7c265c8d0bee2173d80378bdc97ac9
 - AhnLab V3 365 Clinic : PUP/Win32.Helper.R121807 (VT : 5/56)

 

C:\Program Files\ISZone\timeAdd.dll
 - SHA-1 : e26497ec84e1e95b1525da9e0d3aaab6e4142017
 - BitDefender : Gen:Variant.Adware.Symmi.36013 (VT : 32/56)

"gaia media group Co., Ltd. / Gaia Media Group Inc." 2종의 디지털 서명이 사용되는 InternetSafeZone 광고 프로그램은 "C:\Program Files\ISZone" 폴더에 파일을 생성합니다.

특히 "C:\Program Files\ISZone" 폴더는 Windows 기본값 상태에서 노출되지 않도록 숨김(H) 속성값을 가지고 있으므로 폴더 옵션에서 "숨김 파일, 폴더 및 드라이브 표시" 항목 체크를 통해 확인이 가능합니다.

InternetSafeZone 광고 프로그램은 예약 작업에 등록된 ISZone 작업 스케줄러 값을 통해 시스템 시작시 "C:\Program Files\ISZone\ISZoneUpdate.exe" 파일을 자동 실행하도록 구성되어 있습니다.

이를 통해 업데이트 서버에서 InternetSafeZone 광고 프로그램의 구성 파일을 패치할 수 있으며 광고 기능을 수행하는 "C:\Program Files\ISZone\ISZone.exe" 파일을 메모리에 상주시킵니다.

 

또한 메모리에 상주한 ISZone.exe 파일은 업데이트 서버에서 광고 모듈 추가 다운로드 및 광고 구성값을 체크합니다.

InternetSafeZone 광고 프로그램이 설치된 환경에서는 ISZONE 유해 사이트 차단 프로그램을 실행하여 광고 프로그램처럼 사용자에게 인식되지 않도록 제작되어 있습니다.

광고 기능을 살펴보면 웹 브라우저 실행, 인터넷 검색, 웹 사이트 접속 과정에서 다양한 광고창을 생성하여 정상적인 인터넷 사용에 불편을 유발하는 수준입니다.

 

InternetSafeZone 광고 프로그램 삭제 방법

(a) Windows 작업 관리자를 실행하여 메모리에 상주하는 ISZone.exe 프로세스를 찾아 종료하시기 바랍니다.

(b) 제어판 또는 체크잇(CheckIt : www.checkitinfo.com) 프로그램에 등록된 InternetSafeZone 삭제 항목을 이용하여 프로그램 삭제를 진행하시기 바랍니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\ISZone
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{3ED12C21-18E3-4401-B4DA-4D96F0565CFA}_is1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{2E3A6C17-9B31-4A28-911A-BA4BDD5069F7}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\ISZone

 

InternetSafeZone 광고 프로그램처럼 국내에서는 광고 기능이 포함된 유해 사이트 차단 프로그램을 배포하는 사례가 예전부터 존재하였으므로 사용자의 필요에 따라 설치하지 않은 유해 사이트 차단 프로그램이 발견될 경우에는 반드시 삭제하시기 바랍니다.