울지않는벌새 : Security, Movie & Society

기본 검색 공급자를 가로채는 "주소창 검색" 광고 프로그램 (2016.7.25)

벌새::Analysis

Internet Explorer 웹 브라우저의 기본 검색 공급자 설정값을 가로채기하여 주소 표시줄에 검색어를 입력할 경우 네이트(Nate) 검색으로 자동 연결되는 "주소창 검색" 광고 프로그램(SHA-1 : 71976ee9242b933cc3a9a4c48422bafb4f7936d9)에 대해 살펴보도록 하겠습니다.

 

 

"주소창 검색" 광고 프로그램은 2016년 6월 10일경부터 배포된 것으로 보이며 기존의 "네이트 주소창 검색" 프로그램으로 현재는 외부 광고 업체에서 운영하는 것으로 추정됩니다.

 

생성 폴더 / 파일 등록 정보

 

C:\Users\%UserName%\AppData\Roaming\ipagent
C:\Users\%UserName%\AppData\Roaming\ipagent\chutil.dll
C:\Users\%UserName%\AppData\Roaming\ipagent\conf.ipagent
C:\Users\%UserName%\AppData\Roaming\ipagent\ipagent_h.dll
C:\Users\%UserName%\AppData\Roaming\ipagent\ipagent_u.exe
C:\Users\%UserName%\AppData\Roaming\ipagent\ipagent.ico
C:\Users\%UserName%\AppData\Roaming\ipagent\Natermon.exe
C:\Users\%UserName%\AppData\Roaming\ipagent\Natesearch.exe :: 시작 프로그램(IpAgent) 등록 파일, 메모리 상주 프로세스
C:\Users\%UserName%\AppData\Roaming\ipagent\unins000.dat
C:\Users\%UserName%\AppData\Roaming\ipagent\unins000.exe :: 프로그램 삭제 파일

 

생성 파일 진단 정보

 

C:\Users\%UserName%\AppData\Roaming\ipagent\ipagent_h.dll
 - SHA-1 : b7a3a8b04ac3372b9bd55628cc0c24a0931cfa3d
 - Malwarebytes : PUP.Optional.INDOIT

 

 

"INDOIT Co., Ltd." 디지털 서명이 포함된 "주소창 검색" 광고 프로그램은 "C:\Users\%UserName%\AppData\Roaming\ipagent" 폴더에 파일을 생성합니다.

 

 

참고로 "주소창 검색" 프로그램 생성 파일 아이콘은 기존에 살펴본 동일 업체에서 서비스하는 "Smart internet API" 광고 프로그램과 동일하므로 참고하시기 바랍니다.

 

Windows 시작 시 IpAgent 시작 프로그램 등록값을 통해 ["C:\Users\%UserName%\AppData\Roaming\ipagent\Natesearch.exe" /l] 파일(SHA-1 : 269c0608570226fd5e4b92df93dfdb26ffb05b4c)을 자동 실행하도록 구성되어 있으며, 이를 통해 "C:\Users\%UserName%\AppData\Roaming\ipagent\ipagent_u.exe" 파일(SHA-1 : 773e8c6fe5773d21fbb8227aaa01de70f33cb713)을 추가 로딩하여 업데이트 체크 후 광고 기능을 수행하는 Natesearch.exe 파일을 메모리에 상주시킵니다.

 

"주소창 검색" 광고 프로그램이 설치된 환경에서는 Internet Explorer 웹 브라우저의 기본 검색 공급자 설정을 무시하고 주소 표시줄에 검색어를 입력할 경우 네이트(Nate) 검색 결과로 자동 연결되도록 변경합니다.

 

 

또한 Windows 종료 시 광고 프로그램의 품질 문제로 "ipagent Address Search Control: Natesearch.exe" 응용 프로그램 오류창이 생성될 수도 있습니다.

 

"주소창 검색" 광고 프로그램 제거 방법

 

(a) 작업 관리자를 실행하여 메모리에 상주하는 Natesearch.exe 프로세스(2개)를 찾아 종료하시기 바랍니다.

 

 

(b) 제어판 또는 체크잇(CheckIt : www.checkitinfo.com) 프로그램에 등록된 "주소창 검색" 프로그램을 찾아 제거하시기 바랍니다.

 

생성 레지스트리 등록 정보

 

HKEY_CURRENT_USER\Software
 - chutilI = CZ0nDYqmDoqoDG
 - chutilR = 0
 - ipagent = 1
HKEY_CURRENT_USER\Software\ipagent
HKEY_CURRENT_USER\Software\Microsoft
 - chutilR = 0
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - IpAgent = "C:\Users\%UserName%\AppData\Roaming\ipagent\Natesearch.exe" /l
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\주소창 검색_is1

 

 

추가적으로 "주소창 검색" 광고 프로그램 삭제 후에는 시작 프로그램 영역에 추가된 레지스트리 값이 제거되지 않고 변경된 부분이 있으므로 다음과 같이 "Windows 기본값" 상태로 변경하시기 바랍니다.

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - (기본값) = 공란(Blank) :: Windows 기본값
 - (기본값) = "C:\Users\%UserName%\AppData\Roaming\ipagent\Natesearch.exe" /l :: "주소창 검색" 광고 프로그램 삭제 후

 

"주소창 검색" 광고 프로그램은 상당하게 오랫동안 운영되고 있으며 외형적으로는 광고창 생성 등의 불편을 유발하지는 않지만 과거 백그라운드 방식으로 네이트(Nate) 검색 행위가 있었다는 점에서 되도록이면 설치되지 않도록 주의하시기 바랍니다.