본문 바로가기
벌새::Analysis

광고 기능이 포함된 "한국 전화번호부" 프로그램 정보

울지않는 벌새 2016. 9. 12. 19:03

2016년 1월경부터 배포된 것으로 추정되는 "한국 전화번호부" 프로그램(SHA-1 : e62002dd4eb648c5ad2f9d68323634c7a8995b27 - Microsoft : Program:Win32/Hadsruda!bit) 설치 시 내부에 포함된 광고 기능을 통해 인터넷 검색 시 광고탭이 자동으로 생성되는 기능이 있는 것으로 확인되어 살펴보도록 하겠습니다.

 

해당 프로그램의 배포 경로는 확인되지 않지만 정황상 국내 특정 보안 업체에서 운영하는 프로그램의 제휴 프로그램으로 설치되지 않았나 추정됩니다.

 

생성 폴더 / 파일 등록 정보

 

C:\Program Files\iSuperPage
C:\Program Files\iSuperPage\icon
C:\Program Files\iSuperPage\icon\isuperpage.ico
C:\Program Files\iSuperPage\icon\turbovaccine.ico
C:\Program Files\iSuperPage\iSuperPage.dll
C:\Program Files\iSuperPage\iSuperPage.exe :: "한국 전화번호부" 프로그램 실행 파일
C:\Program Files\iSuperPage\iSuperPageRemove.exe :: 프로그램 삭제 파일
C:\Program Files\iSuperPage\iSuperPageShortCut.exe
C:\Program Files\iSuperPage\iSuperPageTray.exe :: 시작 프로그램(한국 전화번호부) 등록 파일, 작업 스케줄러(iSuperPageSkipUAC) 등록 파일, 메모리 상주 프로세스
C:\Program Files\iSuperPage\Log
C:\Program Files\iSuperPage\Update
C:\Program Files\iSuperPage\yp.dat
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\한국 전화번호부
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\한국 전화번호부\한국 전화번호부 트레이 실행.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\한국 전화번호부\한국 전화번호부 프로그램 실행.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\한국 전화번호부\한국 전화번호부.lnk
C:\Users\%UserName%\Desktop\한국 전화번호부.url
C:\Users\Public\Desktop\한국 전화번호부 프로그램 실행.lnk
C:\Windows\System32\Tasks\iSuperPageSkipUAC

 

생성 파일 진단 정보

 

C:\Program Files\iSuperPage\iSuperPage.dll
 - SHA-1 : e9c845aaed020ce75178126f15b5baecb35daf18
 - ESET : a variant of Win32/Adware.Kraddare.LV

 

 

"korea Telecom Directory Co.,LTD." 디지털 서명이 포함된 "한국 전화번호부" 프로그램은 "C:\Program Files\iSuperPage" 폴더에 파일을 생성합니다.

 

  • "한국 전화번호부" 시작 프로그램 등록값 : C:\Program Files\iSuperPage\iSuperPageTray.exe
  • iSuperPageSkipUAC 작업 스케줄러 등록값 : "C:\Program Files\iSuperPage\iSuperPageTray.exe" $(Arg0)

 

해당 프로그램은 시작 프로그램과 작업 스케줄러 항목에 실행값을 추가하여 Windows 부팅 시 "C:\Program Files\iSuperPage\iSuperPageTray.exe" 파일(SHA-1 : f7bc1f5a62001f2315806a9c1c68961dd6b9f460)을 자동 실행하도록 구성되어 있습니다.

 

 

참고로 자동 실행되는 iSuperPageTray.exe 파일은 Windows 방화벽의 허용 프로그램으로 추가되어 차단되지 않도록 설정됩니다.

 

  • h**p://turbo.***.co.kr/download/isuperpage/isuperpageupdate_160905.exe (SHA-1 : eccf9e564d69444a157f0736b5d413403f42b80f - AVG : AdKore.AOQ)

 

이를 통해 iSuperPageTray.exe 파일은 프로그램 업데이트 체크를 통해 isuperpageupdate_160905.exe 파일을 추가 다운로드하여 "C:\Users\%UserName%\AppData\Local\Temp\iSuperPageSetup.exe" 파일로 생성 및 실행되어 프로그램 패치를 진행할 수 있습니다.

 

설치된 한국 전화번호부 프로그램은 바탕 화면에 홈페이지 및 프로그램 실행 바로 가기 아이콘 생성과 작업 표시줄 알림 영역에 아이콘을 표시합니다.

 

 

한국 전화번호부 프로그램이 설치된 환경에서 사용자가 인터넷 검색을 시도할 경우 "C:\Program Files\iSuperPage\iSuperPage.dll" 모듈을 통해 자동으로 광고탭이 생성되는 광고 행위가 이루어질 수 있습니다.

 

"한국 전화번호부" 프로그램 제거 방법

 

한국 전화번호부 프로그램 자체는 사용자에 따라서는 유용한 정보를 제공할 수 있지만 원치않는 광고 행위가 싫은 경우에는 다음과 같은 절차에 따라 프로그램을 제거하시기 바랍니다.

 

(a) 작업 관리자를 실행하여 메모리에 상주하는 iSuperPageTray.exe 프로세스를 찾아 종료하시기 바랍니다.

 

 

(b) 제어판의 프로그램 및 기능 또는 체크잇(CheckIt : www.checkitinfo.com) 프로그램에 등록된 "한국 전화번호부" 프로그램을 찾아 제거하시기 바랍니다.

 

(c) 프로그램 제거 후에는 레지스트리 편집기(regedit)를 실행하여 삭제되지 않은 "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\한국 전화번호부" 자동 실행값을 찾아 삭제하시기 바랍니다.

 

생성 레지스트리 등록 정보

 

HKEY_CURRENT_USER\Software\iSuperPage
HKEY_LOCAL_MACHINE\SOFTWARE\iSuperPage
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - 한국 전화번호부 = C:\Program Files\iSuperPage\iSuperPageTray.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\한국 전화번호부
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{5E9EDC60-D822-4919-88FF-6E9E57332B0C}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\iSuperPageSkipUAC
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\

FirewallRules
 - {4B4A1963-9D85-484F-B2A8-556194EE37CC} = v2.10|Action=Allow|Active=TRUE|Dir=In|Protocol=17|Profile=Private|App=C:\Program Files\iSuperPage\iSuperPageTray.exe|Name=한국 전화번호부|
 - {F0DA4062-CDE8-44DF-ADB9-F546DAAA1A9E} = v2.10|Action=Allow|Active=TRUE|Dir=In|Protocol=6|Profile=Private|App=C:\Program Files\iSuperPage\iSuperPageTray.exe|Name=한국 전화번호부|

 

 

유용한 정보를 제공할 수 있는 한국 전화번호부 프로그램 설치 시 얼마나 많은 사용자가 내부적으로 포함된 광고 기능에 대해 제대로 인지하고 설치되었을지는 의문입니다.

태그

, , , , , , , , , , , , , , , , , , ,
  • 2016.11.26 16:04 댓글주소 수정/삭제 댓글쓰기

    감사합니다 저같은경우는 알약 업데이트와 4K video downloader 프로그램 설치 후에 부팅하니까 바탕화면에 깔려있더라구요... 제어판 가서 삭제했는데도 부팅하면 다시 깔려있고...;; 바이러스인줄

    • Favicon of https://hummingbird.tistory.com BlogIcon 울지않는 벌새 2016.11.26 16:05 신고 댓글주소 수정/삭제

      아마도 질문하신 분이 4K video downloader 프로그램이 이상한 곳에서 다운로드하여 설치하는 과정에서 추가적으로 광고 프로그램이 설치된게 아닌가 싶습니다.

      프로그램 설치하실 때에는 설치창을 잘 확인하여 부가적으로 설치되는 광고 프로그램이 없는지 잘 확인하시기 바랍니다.

  • Favicon of http://minjbob.xyz BlogIcon 민정밥 2017.03.15 09:50 댓글주소 수정/삭제 댓글쓰기

    와 안녕하세요. 그냥 혼자서 지웠더라면 제어판에서 지우는 게 전부였을텐데
    이렇게 지우고나서 재부팅은 안해봤지만 이미 벌써 후련한 기분이 드네요~!~~
    감사합니다~

티스토리툴바