광고 기능이 포함된 "한국 전화번호부" 프로그램 정보

벌새::Analysis 2016.09.12 19:03

2016년 1월경부터 배포된 것으로 추정되는 "한국 전화번호부" 프로그램(SHA-1 : e62002dd4eb648c5ad2f9d68323634c7a8995b27 - Microsoft : Program:Win32/Hadsruda!bit) 설치 시 내부에 포함된 광고 기능을 통해 인터넷 검색 시 광고탭이 자동으로 생성되는 기능이 있는 것으로 확인되어 살펴보도록 하겠습니다.

 

해당 프로그램의 배포 경로는 확인되지 않지만 정황상 국내 특정 보안 업체에서 운영하는 프로그램의 제휴 프로그램으로 설치되지 않았나 추정됩니다.

 

생성 폴더 / 파일 등록 정보

 

C:\Program Files\iSuperPage
C:\Program Files\iSuperPage\icon
C:\Program Files\iSuperPage\icon\isuperpage.ico
C:\Program Files\iSuperPage\icon\turbovaccine.ico
C:\Program Files\iSuperPage\iSuperPage.dll
C:\Program Files\iSuperPage\iSuperPage.exe :: "한국 전화번호부" 프로그램 실행 파일
C:\Program Files\iSuperPage\iSuperPageRemove.exe :: 프로그램 삭제 파일
C:\Program Files\iSuperPage\iSuperPageShortCut.exe
C:\Program Files\iSuperPage\iSuperPageTray.exe :: 시작 프로그램(한국 전화번호부) 등록 파일, 작업 스케줄러(iSuperPageSkipUAC) 등록 파일, 메모리 상주 프로세스
C:\Program Files\iSuperPage\Log
C:\Program Files\iSuperPage\Update
C:\Program Files\iSuperPage\yp.dat
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\한국 전화번호부
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\한국 전화번호부\한국 전화번호부 트레이 실행.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\한국 전화번호부\한국 전화번호부 프로그램 실행.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\한국 전화번호부\한국 전화번호부.lnk
C:\Users\%UserName%\Desktop\한국 전화번호부.url
C:\Users\Public\Desktop\한국 전화번호부 프로그램 실행.lnk
C:\Windows\System32\Tasks\iSuperPageSkipUAC

 

생성 파일 진단 정보

 

C:\Program Files\iSuperPage\iSuperPage.dll
 - SHA-1 : e9c845aaed020ce75178126f15b5baecb35daf18
 - ESET : a variant of Win32/Adware.Kraddare.LV

 

 

"korea Telecom Directory Co.,LTD." 디지털 서명이 포함된 "한국 전화번호부" 프로그램은 "C:\Program Files\iSuperPage" 폴더에 파일을 생성합니다.

 

  • "한국 전화번호부" 시작 프로그램 등록값 : C:\Program Files\iSuperPage\iSuperPageTray.exe
  • iSuperPageSkipUAC 작업 스케줄러 등록값 : "C:\Program Files\iSuperPage\iSuperPageTray.exe" $(Arg0)

 

해당 프로그램은 시작 프로그램과 작업 스케줄러 항목에 실행값을 추가하여 Windows 부팅 시 "C:\Program Files\iSuperPage\iSuperPageTray.exe" 파일(SHA-1 : f7bc1f5a62001f2315806a9c1c68961dd6b9f460)을 자동 실행하도록 구성되어 있습니다.

 

 

참고로 자동 실행되는 iSuperPageTray.exe 파일은 Windows 방화벽의 허용 프로그램으로 추가되어 차단되지 않도록 설정됩니다.

 

  • h**p://turbo.***.co.kr/download/isuperpage/isuperpageupdate_160905.exe (SHA-1 : eccf9e564d69444a157f0736b5d413403f42b80f - AVG : AdKore.AOQ)

 

이를 통해 iSuperPageTray.exe 파일은 프로그램 업데이트 체크를 통해 isuperpageupdate_160905.exe 파일을 추가 다운로드하여 "C:\Users\%UserName%\AppData\Local\Temp\iSuperPageSetup.exe" 파일로 생성 및 실행되어 프로그램 패치를 진행할 수 있습니다.

 

설치된 한국 전화번호부 프로그램은 바탕 화면에 홈페이지 및 프로그램 실행 바로 가기 아이콘 생성과 작업 표시줄 알림 영역에 아이콘을 표시합니다.

 

 

한국 전화번호부 프로그램이 설치된 환경에서 사용자가 인터넷 검색을 시도할 경우 "C:\Program Files\iSuperPage\iSuperPage.dll" 모듈을 통해 자동으로 광고탭이 생성되는 광고 행위가 이루어질 수 있습니다.

 

"한국 전화번호부" 프로그램 제거 방법

 

한국 전화번호부 프로그램 자체는 사용자에 따라서는 유용한 정보를 제공할 수 있지만 원치않는 광고 행위가 싫은 경우에는 다음과 같은 절차에 따라 프로그램을 제거하시기 바랍니다.

 

(a) 작업 관리자를 실행하여 메모리에 상주하는 iSuperPageTray.exe 프로세스를 찾아 종료하시기 바랍니다.

 

 

(b) 제어판의 프로그램 및 기능 또는 체크잇(CheckIt : www.checkitinfo.com) 프로그램에 등록된 "한국 전화번호부" 프로그램을 찾아 제거하시기 바랍니다.

 

(c) 프로그램 제거 후에는 레지스트리 편집기(regedit)를 실행하여 삭제되지 않은 "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\한국 전화번호부" 자동 실행값을 찾아 삭제하시기 바랍니다.

 

생성 레지스트리 등록 정보

 

HKEY_CURRENT_USER\Software\iSuperPage
HKEY_LOCAL_MACHINE\SOFTWARE\iSuperPage
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - 한국 전화번호부 = C:\Program Files\iSuperPage\iSuperPageTray.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\한국 전화번호부
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{5E9EDC60-D822-4919-88FF-6E9E57332B0C}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\iSuperPageSkipUAC
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\

FirewallRules
 - {4B4A1963-9D85-484F-B2A8-556194EE37CC} = v2.10|Action=Allow|Active=TRUE|Dir=In|Protocol=17|Profile=Private|App=C:\Program Files\iSuperPage\iSuperPageTray.exe|Name=한국 전화번호부|
 - {F0DA4062-CDE8-44DF-ADB9-F546DAAA1A9E} = v2.10|Action=Allow|Active=TRUE|Dir=In|Protocol=6|Profile=Private|App=C:\Program Files\iSuperPage\iSuperPageTray.exe|Name=한국 전화번호부|

 

 

유용한 정보를 제공할 수 있는 한국 전화번호부 프로그램 설치 시 얼마나 많은 사용자가 내부적으로 포함된 광고 기능에 대해 제대로 인지하고 설치되었을지는 의문입니다.

'벌새::Analysis' 카테고리의 다른 글

Adobe Photoshop CC 포터블 버전에 숨어있는 악성코드 주의 (2016.9.23)  (2) 2016.09.23
광고 업체 서명이 포함된 던파스킨 프로그램과 광고 배너 (2016.9.13)  (0) 2016.09.13
광고 기능이 포함된 "한국 전화번호부" 프로그램 정보  (4) 2016.09.12
CDSpace 업데이트로 유포되는 파밍(Pharming) 악성코드 주의 (2016.9.10)  (13) 2016.09.10
검색 도우미 : Windows Internet Explorer Smart Service  (0) 2016.09.09
검색 도우미 : Windows Cookiemon  (1) 2016.09.06
블로그 이미지

울지않는 벌새

울지않는벌새가 되고 싶은 나..

Tag , , , , , , , , , , , , , , , , , , ,
받은 트랙백이 없고, 댓글 4개가 달렸습니다

달력

«   2018/09   »
            1
2 3 4 5 6 7 8
9 10 11 12 13 14 15
16 17 18 19 20 21 22
23 24 25 26 27 28 29
30