본문 바로가기

벌새::Analysis

검색 도우미 : 네이트 주소창 검색 - ipagent

반응형

과거 네이트온(NateOn) 메신저의 제휴 프로그램으로 추가되어 배포되던 "네이트 주소창 검색" 광고 프로그램<SHA-1 : c40e4627e8c3b22f2d8bb519109b3f2efe5a82d5 - ESET : a variant of Win32/Adware.Winggo.AE>이 2015년 상반기경부터 다른 배포 경로를 통해 다수의 광고 프로그램과 함께 설치되는 것으로 확인되고 있습니다.

 

추정컨데 네이트 주소창 검색 프로그램은 더 이상 SK Communications 업체에서 운영하는 것이 아닐 것으로 보입니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Users\(사용자 계정)\AppData\Roaming\ipagent
C:\Users\(사용자 계정)\AppData\Roaming\ipagent\chutil.dll
C:\Users\(사용자 계정)\AppData\Roaming\ipagent\conf.ipagent
C:\Users\(사용자 계정)\AppData\Roaming\ipagent\ipagent_h.dll
C:\Users\(사용자 계정)\AppData\Roaming\ipagent\ipagent_u.exe
C:\Users\(사용자 계정)\AppData\Roaming\ipagent\ipagent.ico
C:\Users\(사용자 계정)\AppData\Roaming\ipagent\Natermon.exe
C:\Users\(사용자 계정)\AppData\Roaming\ipagent\Natesearch.exe :: 시작 프로그램(IpAgent) 등록 파일, 메모리 상주 프로세스
C:\Users\(사용자 계정)\AppData\Roaming\ipagent\unins000.dat
C:\Users\(사용자 계정)\AppData\Roaming\ipagent\unins000.exe :: 프로그램 삭제 파일

 

[생성 파일 진단 정보]

 

C:\Users\(사용자 계정)\AppData\Roaming\ipagent\chutil.dll
 - SHA-1 : f570ad8b5fa6bb901edc2fd04d93d5b0fd0d230b
 - ESET : a variant of Win32/Adware.Winggo.AE

"INDOIT Co., Ltd." 디지털 서명이 포함된 "네이트 주소창 검색" 광고 프로그램은 "C:\Users\(사용자 계정)\AppData\Roaming\ipagent" 폴더에 파일을 생성합니다.

 

Windows 시작시 IpAgent 시작 프로그램 등록값을 통해 ["C:\Users\(사용자 계정)\AppData\Roaming\ipagent\Natesearch.exe" /l] 파일(SHA-1 : 461eedbe0ae39a05457208367dd35d1226b1367b)을 자동 실행하도록 구성되어 있으며, 이를 통해 광고 구성값 체크 후 메모리에 상주하여 chutil.dll 광고 모듈을 추가 로딩하도록 구성되어 있습니다.

또한 이 과정에서 "C:\Users\(사용자 계정)\AppData\Roaming\ipagent\ipagent_u.exe" 파일(SHA-1 : d6ecf7a514aa3039581f1aebced904eb991d9130)을 로딩하여 프로그램 버전 체크를 수행합니다.

프로그램이 설치된 환경에서 사용자가 Internet Explorer 웹 브라우저 주소 표시줄에 검색어를 입력하여 인터넷 검색을 시도할 경우 Bing 기본 검색 엔진이 아닌 네이트 검색(search.daum.net/nate)으로 가로채기하여 검색 결과를 표시합니다.

또한 인터넷 검색시 사용자 몰래 임의의 검색 키워드 값을 이용하여 네이트 검색이 이루어지며 PC 화면에서는 표시되지 않는 백그라운드 검색 방식이므로 불필요한 트래픽을 유발할 수 있습니다.

 

"네이트 주소창 검색" 광고 프로그램 삭제 방법

(a) Windows 작업 관리자를 실행하여 메모리에 상주하는 Natesearch.exe 프로세스를 찾아 종료하시기 바랍니다.

(b) 제어판 또는 체크잇(CheckIt : www.checkitinfo.com) 프로그램에 등록된 "네이트 주소창 검색" 삭제 항목을 이용하여 프로그램 삭제를 진행하시기 바랍니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software
 - chutilI = CZ0nDIqnCIqoD0
 - chutilR = 0
 - ipagent = 1
HKEY_CURRENT_USER\Software\Microsoft
 - chutilR = 0
HKEY_CURRENT_USER\Software\ipagent
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - IpAgent = "C:\Users\(사용자 계정)\AppData\Roaming\ipagent\Natesearch.exe" /l
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\AboutURLs
 - Tabs = http://www.nate.com/?f=tab3
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\네이트 주소창 검색_is1

다양한 악성코드 및 불필요한 프로그램(PUP) 실행을 차단할 수 있는 50여종 이상의 백신 엔진을 통해 가볍게 차단할 수 있는 앱체크(AppCheck) 보조 백신을 함께 사용하시면 더욱 깨끗한 시스템을 유지할 수 있습니다.

 

 
728x90
반응형