광고 기능이 포함된 "한국 전화번호부" 프로그램 정보

2016년 1월경부터 배포된 것으로 추정되는 "한국 전화번호부" 프로그램(SHA-1 : e62002dd4eb648c5ad2f9d68323634c7a8995b27 - Microsoft : Program:Win32/Hadsruda!bit) 설치 시 내부에 포함된 광고 기능을 통해 인터넷 검색 시 광고탭이 자동으로 생성되는 기능이 있는 것으로 확인되어 살펴보도록 하겠습니다.

 

해당 프로그램의 배포 경로는 확인되지 않지만 정황상 국내 특정 보안 업체에서 운영하는 프로그램의 제휴 프로그램으로 설치되지 않았나 추정됩니다.

 

생성 폴더 / 파일 등록 정보

C:\Program Files\iSuperPage C:\Program Files\iSuperPage\icon C:\Program Files\iSuperPage\icon\isuperpage.ico C:\Program Files\iSuperPage\icon\turbovaccine.ico C:\Program Files\iSuperPage\iSuperPage.dll C:\Program Files\iSuperPage\iSuperPage.exe :: "한국 전화번호부" 프로그램 실행 파일 C:\Program Files\iSuperPage\iSuperPageRemove.exe :: 프로그램 삭제 파일 C:\Program Files\iSuperPage\iSuperPageShortCut.exe C:\Program Files\iSuperPage\iSuperPageTray.exe :: 시작 프로그램(한국 전화번호부) 등록 파일, 작업 스케줄러(iSuperPageSkipUAC) 등록 파일, 메모리 상주 프로세스 C:\Program Files\iSuperPage\Log C:\Program Files\iSuperPage\Update C:\Program Files\iSuperPage\yp.dat C:\ProgramData\Microsoft\Windows\Start Menu\Programs\한국 전화번호부 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\한국 전화번호부\한국 전화번호부 트레이 실행.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\한국 전화번호부\한국 전화번호부 프로그램 실행.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\한국 전화번호부\한국 전화번호부.lnk C:\Users\%UserName%\Desktop\한국 전화번호부.url C:\Users\Public\Desktop\한국 전화번호부 프로그램 실행.lnk C:\Windows\System32\Tasks\iSuperPageSkipUAC

생성 파일 진단 정보

C:\Program Files\iSuperPage\iSuperPage.dll  - SHA-1 : e9c845aaed020ce75178126f15b5baecb35daf18  - ESET : a variant of Win32/Adware.Kraddare.LV

 

"korea Telecom Directory Co.,LTD." 디지털 서명이 포함된 "한국 전화번호부" 프로그램은 "C:\Program Files\iSuperPage" 폴더에 파일을 생성합니다.

 

• "한국 전화번호부" 시작 프로그램 등록값 : C:\Program Files\iSuperPage\iSuperPageTray.exe

• iSuperPageSkipUAC 작업 스케줄러 등록값 : "C:\Program Files\iSuperPage\iSuperPageTray.exe" $(Arg0)

 

해당 프로그램은 시작 프로그램과 작업 스케줄러 항목에 실행값을 추가하여 Windows 부팅 시 "C:\Program Files\iSuperPage\iSuperPageTray.exe" 파일(SHA-1 : f7bc1f5a62001f2315806a9c1c68961dd6b9f460)을 자동 실행하도록 구성되어 있습니다.

 

 

참고로 자동 실행되는 iSuperPageTray.exe 파일은 Windows 방화벽의 허용 프로그램으로 추가되어 차단되지 않도록 설정됩니다.

 

• h**p://turbo.***.co.kr/download/isuperpage/isuperpageupdate_160905.exe (SHA-1 : eccf9e564d69444a157f0736b5d413403f42b80f - AVG : AdKore.AOQ)

 

이를 통해 iSuperPageTray.exe 파일은 프로그램 업데이트 체크를 통해 isuperpageupdate_160905.exe 파일을 추가 다운로드하여 "C:\Users\%UserName%\AppData\Local\Temp\iSuperPageSetup.exe" 파일로 생성 및 실행되어 프로그램 패치를 진행할 수 있습니다.

 

설치된 한국 전화번호부 프로그램은 바탕 화면에 홈페이지 및 프로그램 실행 바로 가기 아이콘 생성과 작업 표시줄 알림 영역에 아이콘을 표시합니다.

 

 

한국 전화번호부 프로그램이 설치된 환경에서 사용자가 인터넷 검색을 시도할 경우 "C:\Program Files\iSuperPage\iSuperPage.dll" 모듈을 통해 자동으로 광고탭이 생성되는 광고 행위가 이루어질 수 있습니다.

 

■ "한국 전화번호부" 프로그램 제거 방법

 

한국 전화번호부 프로그램 자체는 사용자에 따라서는 유용한 정보를 제공할 수 있지만 원치않는 광고 행위가 싫은 경우에는 다음과 같은 절차에 따라 프로그램을 제거하시기 바랍니다.

 

(a) 작업 관리자를 실행하여 메모리에 상주하는 iSuperPageTray.exe 프로세스를 찾아 종료하시기 바랍니다.

 

 

(b) 제어판의 프로그램 및 기능 또는 체크잇(CheckIt : www.checkitinfo.com) 프로그램에 등록된 "한국 전화번호부" 프로그램을 찾아 제거하시기 바랍니다.

 

(c) 프로그램 제거 후에는 레지스트리 편집기(regedit)를 실행하여 삭제되지 않은 "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\한국 전화번호부" 자동 실행값을 찾아 삭제하시기 바랍니다.

 

생성 레지스트리 등록 정보

HKEY_CURRENT_USER\Software\iSuperPage HKEY_LOCAL_MACHINE\SOFTWARE\iSuperPage HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run  - 한국 전화번호부 = C:\Program Files\iSuperPage\iSuperPageTray.exe HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\한국 전화번호부 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{5E9EDC60-D822-4919-88FF-6E9E57332B0C} HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\iSuperPageSkipUAC HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\ FirewallRules  - {4B4A1963-9D85-484F-B2A8-556194EE37CC} = v2.10|Action=Allow|Active=TRUE|Dir=In|Protocol=17|Profile=Private|App=C:\Program Files\iSuperPage\iSuperPageTray.exe|Name=한국 전화번호부|  - {F0DA4062-CDE8-44DF-ADB9-F546DAAA1A9E} = v2.10|Action=Allow|Active=TRUE|Dir=In|Protocol=6|Profile=Private|App=C:\Program Files\iSuperPage\iSuperPageTray.exe|Name=한국 전화번호부|

 

유용한 정보를 제공할 수 있는 한국 전화번호부 프로그램 설치 시 얼마나 많은 사용자가 내부적으로 포함된 광고 기능에 대해 제대로 인지하고 설치되었을지는 의문입니다.