Windows 부팅 후 사용자 몰래 특정 웹사이트 접속을 통해 광고 수익을 유발하는 국내에서 제작된 "infosearch 1.0" 광고 프로그램(SHA-1 : 3b28ff3da107442d0c91aca29dfece4564b08a46 - AhnLab V3 365 Clinic : PUP/Win32.Generic.C1351012)에 대해 살펴보도록 하겠습니다.
해당 광고 프로그램은 분석을 방해할 목적으로 Themida 패킹을 사용하고 있으며, 이로 인하여 가상 환경 및 특정 네트워크 분석 프로그램이 존재할 경우 정상적으로 설치 및 동작하지 않도록 제작되어 있습니다.
|
생성 폴더 / 파일 등록 정보 |
|
C:\Program Files\infosearch
|
|
생성 파일 진단 정보 |
|
C:\Program Files\infosearch\uninst.exe
|
Laonmedia 디지털 서명이 포함된 "infosearch 1.0" 광고 프로그램은 "C:\Program Files\infosearch" 폴더에 파일을 생성합니다.
Windows 시작 시 infosearch 시작 프로그램 등록값을 통해 "C:\Program Files\infosearch\infosearch.exe" 파일(SHA-1 : 9ec7f4498ad23ba2b5b01ca30c082be9d0709af7)을 자동 실행하도록 구성되어 있습니다.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
- ConsentPromptBehaviorAdmin = 5 :: 변경 전
- ConsentPromptBehaviorAdmin = 0 :: 변경 후
자동 실행된 infosearch.exe 파일은 사용자 계정 컨트롤(UAC) 알림 기능을 사용하지 않도록 자동 변경하여 프로그램 동작을 방해하지 않도록 합니다.
실행된 infosearch.exe 파일은 특정 IP 서버에 접속하여 사용자 Mac Address 값을 기반으로 실행 카운터를 체크합니다.
그 후 광고 구성값 정보를 체크하며 광고 목적으로 운영하는 것으로 추정되는 "이슈유머" 사이트의 임의의 게시글로 자동 연결하도록 구성되어 있습니다.
외형적으로는 자동으로 Internet Explorer 웹 브라우저 프로그램(iexplore.exe)이 백그라운드 방식으로 실행되어 광고 구성값 정보를 받아와 웹사이트 접속을 통해 다수의 광고가 노출되는 것을 알 수 있습니다.
실제로 "infosearch 1.0" 광고 프로그램이 설치된 환경에서는 이슈유머 웹사이트가 노출되는 일이 없지만, 백그라운드 방식으로 부팅 시마다 자동으로 연결되어 다양한 광고 배너가 노출될 수 있습니다.
위와 같은 광고 행위가 수행된 후에는 광고 행위를 수행하는 infosearch.exe 파일은 자동 종료되어 결과적으로 사용자는 광고 프로그램이 설치되어 있는지 쉽게 인지하기 매우 어려울 것으로 판단됩니다.
또한 업데이트 기능을 담당하는 "C:\Program Files\infosearch\updater.exe" 파일(SHA-1 : 8b7ba3054bffeaf5c426271d0f51ea345369f3a8)은 2016년 5월 18일(1개월 단위)에 실행되어 패치될 수 있을 것으로 추정됩니다.
■ "infosearch 1.0" 광고 프로그램 삭제 방법
해당 광고 프로그램은 제어판 또는 체크잇(CheckIt : www.checkitinfo.com) 프로그램에 등록된 "infosearch 1.0" 삭제 항목을 이용하여 프로그램 제거를 진행할 수 있습니다.
|
생성/변경된 레지스트리 등록 정보 |
|
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\infosearch.exe
|
"infosearch 1.0" 광고 프로그램은 외형적으로는 광고창 생성 등의 행위가 확인되지 않는 문제로 장기간 사용자 PC에 설치되어 사용자 몰래 특정 웹사이트 접속이 이루어질 수 있으므로 설치되지 않도록 주의하시기 바랍니다.