광고 기능이 포함된 "한국 전화번호부" 프로그램 정보 울지않는벌새 : Security, Movie & Society

2016년 1월경부터 배포된 것으로 추정되는 "한국 전화번호부" 프로그램(SHA-1 : e62002dd4eb648c5ad2f9d68323634c7a8995b27 - Microsoft : Program:Win32/Hadsruda!bit) 설치 시 내부에 포함된 광고 기능을 통해 인터넷 검색 시 광고탭이 자동으로 생성되는 기능이 있는 것으로 확인되어 살펴보도록 하겠습니다.

해당 프로그램의 배포 경로는 확인되지 않지만 정황상 국내 특정 보안 업체에서 운영하는 프로그램의 제휴 프로그램으로 설치되지 않았나 추정됩니다.

생성 폴더 / 파일 등록 정보

C:\Program Files\iSuperPage
C:\Program Files\iSuperPage\icon
C:\Program Files\iSuperPage\icon\isuperpage.ico
C:\Program Files\iSuperPage\icon\turbovaccine.ico
C:\Program Files\iSuperPage\iSuperPage.dll
C:\Program Files\iSuperPage\iSuperPage.exe :: "한국 전화번호부" 프로그램 실행 파일
C:\Program Files\iSuperPage\iSuperPageRemove.exe :: 프로그램 삭제 파일
C:\Program Files\iSuperPage\iSuperPageShortCut.exe
C:\Program Files\iSuperPage\iSuperPageTray.exe :: 시작 프로그램(한국 전화번호부) 등록 파일, 작업 스케줄러(iSuperPageSkipUAC) 등록 파일, 메모리 상주 프로세스
C:\Program Files\iSuperPage\Log
C:\Program Files\iSuperPage\Update
C:\Program Files\iSuperPage\yp.dat
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\한국 전화번호부
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\한국 전화번호부\한국 전화번호부 트레이 실행.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\한국 전화번호부\한국 전화번호부 프로그램 실행.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\한국 전화번호부\한국 전화번호부.lnk
C:\Users\%UserName%\Desktop\한국 전화번호부.url
C:\Users\Public\Desktop\한국 전화번호부 프로그램 실행.lnk
C:\Windows\System32\Tasks\iSuperPageSkipUAC

생성 파일 진단 정보

C:\Program Files\iSuperPage\iSuperPage.dll
- SHA-1 : e9c845aaed020ce75178126f15b5baecb35daf18
- ESET : a variant of Win32/Adware.Kraddare.LV

"korea Telecom Directory Co.,LTD." 디지털 서명이 포함된 "한국 전화번호부" 프로그램은 "C:\Program Files\iSuperPage" 폴더에 파일을 생성합니다.

"한국 전화번호부" 시작 프로그램 등록값 : C:\Program Files\iSuperPage\iSuperPageTray.exe

iSuperPageSkipUAC 작업 스케줄러 등록값 : "C:\Program Files\iSuperPage\iSuperPageTray.exe" $(Arg0)

해당 프로그램은 시작 프로그램과 작업 스케줄러 항목에 실행값을 추가하여 Windows 부팅 시 "C:\Program Files\iSuperPage\iSuperPageTray.exe" 파일(SHA-1 : f7bc1f5a62001f2315806a9c1c68961dd6b9f460)을 자동 실행하도록 구성되어 있습니다.

참고로 자동 실행되는 iSuperPageTray.exe 파일은 Windows 방화벽의 허용 프로그램으로 추가되어 차단되지 않도록 설정됩니다.

h**p://turbo.***.co.kr/download/isuperpage/isuperpageupdate_160905.exe (SHA-1 : eccf9e564d69444a157f0736b5d413403f42b80f - AVG : AdKore.AOQ)

이를 통해 iSuperPageTray.exe 파일은 프로그램 업데이트 체크를 통해 isuperpageupdate_160905.exe 파일을 추가 다운로드하여 "C:\Users\%UserName%\AppData\Local\Temp\iSuperPageSetup.exe" 파일로 생성 및 실행되어 프로그램 패치를 진행할 수 있습니다.

설치된 한국 전화번호부 프로그램은 바탕 화면에 홈페이지 및 프로그램 실행 바로 가기 아이콘 생성과 작업 표시줄 알림 영역에 아이콘을 표시합니다.

한국 전화번호부 프로그램이 설치된 환경에서 사용자가 인터넷 검색을 시도할 경우 "C:\Program Files\iSuperPage\iSuperPage.dll" 모듈을 통해 자동으로 광고탭이 생성되는 광고 행위가 이루어질 수 있습니다.

■ "한국 전화번호부" 프로그램 제거 방법

한국 전화번호부 프로그램 자체는 사용자에 따라서는 유용한 정보를 제공할 수 있지만 원치않는 광고 행위가 싫은 경우에는 다음과 같은 절차에 따라 프로그램을 제거하시기 바랍니다.

(a) 작업 관리자를 실행하여 메모리에 상주하는 iSuperPageTray.exe 프로세스를 찾아 종료하시기 바랍니다.

(b) 제어판의 프로그램 및 기능 또는 체크잇(CheckIt : www.checkitinfo.com ) 프로그램에 등록된 "한국 전화번호부" 프로그램을 찾아 제거하시기 바랍니다.

(c) 프로그램 제거 후에는 레지스트리 편집기(regedit)를 실행하여 삭제되지 않은 "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\한국 전화번호부" 자동 실행값을 찾아 삭제하시기 바랍니다.

생성 레지스트리 등록 정보

HKEY_CURRENT_USER\Software\iSuperPage
HKEY_LOCAL_MACHINE\SOFTWARE\iSuperPage
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- 한국 전화번호부 = C:\Program Files\iSuperPage\iSuperPageTray.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\한국 전화번호부
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{5E9EDC60-D822-4919-88FF-6E9E57332B0C}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\iSuperPageSkipUAC
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\

FirewallRules
- {4B4A1963-9D85-484F-B2A8-556194EE37CC} = v2.10|Action=Allow|Active=TRUE|Dir=In|Protocol=17|Profile=Private|App=C:\Program Files\iSuperPage\iSuperPageTray.exe|Name=한국 전화번호부|
- {F0DA4062-CDE8-44DF-ADB9-F546DAAA1A9E} = v2.10|Action=Allow|Active=TRUE|Dir=In|Protocol=6|Profile=Private|App=C:\Program Files\iSuperPage\iSuperPageTray.exe|Name=한국 전화번호부|

유용한 정보를 제공할 수 있는 한국 전화번호부 프로그램 설치 시 얼마나 많은 사용자가 내부적으로 포함된 광고 기능에 대해 제대로 인지하고 설치되었을지는 의문입니다.

'벌새::Analysis' 카테고리의 다른 글

Adobe Photoshop CC 포터블 버전에 숨어있는 악성코드 주의 (2016.9.23) (5)	2016.09.23
광고 업체 서명이 포함된 던파스킨 프로그램과 광고 배너 (2016.9.13) (0)	2016.09.13
광고 기능이 포함된 "한국 전화번호부" 프로그램 정보 (4)	2016.09.12
CDSpace 업데이트로 유포되는 파밍(Pharming) 악성코드 주의 (2016.9.10) (16)	2016.09.10
검색 도우미 : Windows Internet Explorer Smart Service (0)	2016.09.09
검색 도우미 : Windows Cookiemon (1)	2016.09.06

a variant of Win32/Adware.Kraddare.LV, AdKore.AOQ, AVG, eset, iSuperPage, iSuperPage.dll, iSuperPageSkipUAC, iSuperPageTray.exe, korea Telecom Directory Co., Microsoft, Program:Win32/Hadsruda!bit, regedit, Windows 방화벽, 광고, 광고탭, 디지털 서명, 레지스트리 편집기, 시작 프로그램, 작업 스케줄러, 한국 전화번호부

트랙백 0개, 댓글 4개가 달렸습니다

댓글을 달아 주세요

촠
2016.11.26 16:04
감사합니다 저같은경우는 알약 업데이트와 4K video downloader 프로그램 설치 후에 부팅하니까 바탕화면에 깔려있더라구요... 제어판 가서 삭제했는데도 부팅하면 다시 깔려있고...;; 바이러스인줄
- 울지않는 벌새
  신고" class="updated" datetime="2016.11.26 16:05 신고">2016.11.26 16:05 신고
  아마도 질문하신 분이 4K video downloader 프로그램이 이상한 곳에서 다운로드하여 설치하는 과정에서 추가적으로 광고 프로그램이 설치된게 아닌가 싶습니다.
  
  프로그램 설치하실 때에는 설치창을 잘 확인하여 부가적으로 설치되는 광고 프로그램이 없는지 잘 확인하시기 바랍니다.
민정밥
2017.03.15 09:50
와 안녕하세요. 그냥 혼자서 지웠더라면 제어판에서 지우는 게 전부였을텐데
이렇게 지우고나서 재부팅은 안해봤지만 이미 벌써 후련한 기분이 드네요~!~~
감사합니다~
- 울지않는 벌새
  신고" class="updated" datetime="2017.03.15 11:35 신고">2017.03.15 11:35 신고
  읽어주셔서 감사합니다.

'벌새::Analysis' 카테고리의 다른 글

댓글을 달아 주세요

티스토리툴바