본문 바로가기

벌새::Analysis

검색 도우미 : BomulHelper

인터넷 검색 시 웹 브라우저 상단에 광고바를 생성하는 국내에서 제작된 BomulHelper 광고 프로그램에 대해 살펴보도록 하겠습니다.

 

 

2016년 11월경부터 배포된 것으로 추정되는 BomulHelper 광고 프로그램 배포 파일(SHA-1 : c7609314e7355878ee6a5e4842848b93a5126194 - BitDefender : Trojan.GenericKD.3754038)이 실행될 경우 설치 파일을 추가적으로 다운로드합니다.

 

다운로드된 설치 파일은 "C:\Users\%UserName%\AppData\Local\Temp\GetBomulHelperSetup.exe" 파일(SHA-1 : 1142a1a3e79ea4a46fb85dae742e948062b21c8d - ESET : a variant of Win32/Adware.Kraddare.MB)로 생성 및 실행되어 다음과 같은 광고 프로그램을 설치할 수 있습니다.

 

생성 폴더 / 파일 등록 정보

 

C:\Users\%UserName%\AppData\Roaming\BomulHelper
C:\Users\%UserName%\AppData\Roaming\BomulHelper\BomulHelper.dll
C:\Users\%UserName%\AppData\Roaming\BomulHelper\BomulHelper.exe :: 작업 스케줄러(BomulHelper) 등록 파일, 메모리 상주 프로세스
C:\Users\%UserName%\AppData\Roaming\BomulHelper\TimeAd.db3
C:\Users\%UserName%\AppData\Roaming\BomulHelper\unins000.dat
C:\Users\%UserName%\AppData\Roaming\BomulHelper\unins000.exe :: 프로그램 삭제 파일
C:\Windows\System32\Tasks\BomulHelper

 

생성 파일 진단 정보

 

C:\Users\%UserName%\AppData\Roaming\BomulHelper\BomulHelper.dll
 - SHA-1 : c30ceec8c7db9123ab957322f2c0d927ace33bae
 - Avira : ADWARE/Adware.Gen7

 

C:\Users\%UserName%\AppData\Roaming\BomulHelper\BomulHelper.exe
 - SHA-1 : fcc88804a12a864d4992837fc5ecc680266f3761
 - Hauri ViRobot : Adware.Kraddare.1430792[h]

 

 

"드림소프트 (Dream Soft)" 디지털 서명이 포함된 해당 광고 프로그램은 "C:\Users\%UserName%\AppData\Roaming\BomulHelper" 폴더에 파일을 생성합니다.

 

시스템 시작 시 BomulHelper 작업 스케줄러를 등록하여 "C:\Users\%UserName%\AppData\Roaming\BomulHelper\BomulHelper.exe" 파일을 자동 실행하도록 구성되어 있습니다.

 

자동 실행된 BomulHelper.exe 파일은 프로그램 버전 및 광고 구성값 정보를 체크한 후 메모리에 상주하여 BomulHelper.dll 광고 모듈을 로딩합니다.

 

 

이를 통해 인터넷 검색 시 관련 키워드 값을 참조하여 Internet Explorer 웹 브라우저 상단에 추천 광고바를 생성할 수 있습니다.

 

BomulHelper 광고 프로그램 제거 방법

 

(a) 작업 관리자를 실행하여 메모리에 상주하는 BomulHelper.exe 프로세스를 찾아 종료하시기 바랍니다.

 

 

(b) 실행 중인 Internet Explorer 웹 브라우저를 종료한 상태에서 제어판의 프로그램 및 기능 또는 체크잇(CheckIt : www.checkitinfo.com) 프로그램에 등록된 BomulHelper 프로그램을 찾아 제거하시기 바랍니다.

 

프로그램 제거 후에는 추가적으로 삭제되지 않은 BomulHelper 작업 스케줄러 값(C:\Windows\System32\Tasks\BomulHelper)을 찾아 삭제하시기 바랍니다.

 

생성 레지스트리 등록 정보

 

HKEY_CURRENT_USER\Software\BomulHelper
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\BomulHelper_is1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{947D7AE1-68AD-4CF1-9590-B9942ECD5B5F}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\BomulHelper

 

 

BomulHelper 광고 프로그램이 설치된 경우 웹 브라우저를 통한 인터넷 검색 시 속도 저하를 유발할 수 있으므로 설치되지 않도록 주의하시기 바랍니다.

 

  • 안녕하세요 벌새님! 초짜 IT블로거 입니다. ㅎㅎ 다름이 아니라 뭣좀 물어보려구 하는데요!
    저도 벌새님과 같은 블로그 스킨을 쓰고 있는데 글씨가 너무 하예서 이것저것 컬러를 건들여봤는데 도저히 본문 글씨가 검은색이 안되더라구요. 혹시 어떻게 하셨는지 알려주실 수 있습니까?

    • 제 기억에는 아마도 폰트 색깔을 따로 지정하지는 않았던 것 같습니다.

      단지 사용한 스킨의 글꼴을 변경한 것으로 기억됩니다.

      CSS 최상단에 있는 부분을 다음처럼 등록해 두었네요.

      @import url(http://fonts.googleapis.com/earlyaccess/nanumgothic.css);

      html, body, h1, h2, h3, h4, h5, h6, p, input, button, textarea, .btn {
      font-family: 'Nanum Gothic'; sans-serif;
      }

    • 와... 감사합니다. 해결되었습니다. 앞으로 간간히 보안 글 찾아서 읽도록 하겠습니다. 코드들을 이해하지는 못하지만 그래도 계속 보다보면 흐름을 알게 될 것 같아요. 정말 보안은 손에 안잡히는 분야이지만 충분한 이상으로 매력이 있는 것 같습니다. 이코노미스트랩 님의 블로그를 보다가 덧글 보고 오게 되었어요. 우연찮게 같은 스킨 쓰고 있었는데 정말 궁금해서 물어봤는데 성심 성의 있게 알려주셔서 감사합니다. 화이트 해커는 대단합니다!

    • 해결되셨다니 다행입니다.^^