본문 바로가기

벌새::Analysis

검색 도우미 : NewsGo

반응형

바탕 화면에 바로 가기 아이콘 생성 및 광고창을 생성할 수 있는 국내에서 제작된 NewsGo 광고 프로그램에 대해 살펴보도록 하겠습니다.

 

대표적인 배포 방식을 살펴보면 네이버(Naver) 블로그를 통해 다양한 소프트웨어 다운로드를 통해 설치용 프로그램(SHA-1 : 823d8c4d18bf35aae549cb98434a4e6d043cd1ca - AVG : Win32/DH{PAkl?})을 다운로드하도록 유도합니다.

 

 

실행된 프로그램은 사용자가 원하는 소프트웨어 설치 파일을 다운로드하는 과정에서 기본값으로 체크된 NewsGo 제휴 프로그램의 설치 파일을 자동 다운로드됩니다.

 

  • NewsGo 설치 파일 : h**ps://news**.kr:427/do****ad/NewsGoInst.exe (SHA-1 : 45b0b962a5a2d196ab7b44b8d74feec0f095cb71 - Avira : ADWARE/Adware.Gen7)

 

 

임시 폴더(%Temp%)에 다운로드된 NewsGo 설치 파일은 숨김(H) 파일 속성값을 가지고 있으며, 실행된 /S 실행 변수를 통해 백그라운드로 설치가 진행된 후 자신은 자동 삭제 처리됩니다.

 

생성 폴더 / 파일 등록 정보

 

C:\Users\%UserName%\AppData\Local\NewsGo
C:\Users\%UserName%\AppData\Local\NewsGo\NewsGo.exe :: 메모리 상주 프로세스
C:\Users\%UserName%\AppData\Local\NewsGo\uninstall.exe :: 프로그램 제거 파일
C:\Users\%UserName%\AppData\Roaming\Windows NewsGo
C:\Users\%UserName%\AppData\Roaming\Windows NewsGo\NewsConf.exe :: 시작 프로그램(Windows NewsGo) 등록 파일
C:\Users\%UserName%\AppData\Roaming\Windows NewsGo\uninst.exe
C:\Users\%UserName%\AppData\Roaming\Windows NewsGo\WinNewsServ.exe :: 서비스(Windows Service NewsGo) 등록 파일, 메모리 상주 프로세스

 

생성 파일 진단 정보

 

C:\Users\%UserName%\AppData\Local\NewsGo\NewsGo.exe
 - SHA-1 : 5c58b9a91e9be7483489262b91dd1e4149fa8cb9
 - Avira : ADWARE/Adware.Gen7

 

C:\Users\%UserName%\AppData\Roaming\Windows NewsGo\NewsConf.exe
 - SHA-1 : 4ca71664d5e5dd35751291aac671bf17ea40daff
 - Avira : ADWARE/Adware.Gen7

 

C:\Users\%UserName%\AppData\Roaming\Windows NewsGo\uninst.exe
 - SHA-1 : 38363e0189a17a7b7f02fadd0f1e1a96db25a67b
 - AhnLab V3 365 Clinic : PUP/Win32.ShortCut.C196331

 

C:\Users\%UserName%\AppData\Roaming\Windows NewsGo\WinNewsServ.exe
 - SHA-1 : ab82f8da22868c5e51175b839e278de4b69b95d0
 - AhnLab V3 365 Clinic : PUP/Win32.Helper.C1892877

 

 

 

GeoCube 디지털 서명이 포함된 NewsGo 광고 프로그램은 "C:\Users\%UserName%\AppData\Local\NewsGo" 폴더와 "C:\Users\%UserName%\AppData\Roaming\Windows NewsGo" 폴더에 파일을 각각 생성합니다.

 

참고로 정상적인 광고 행위 수행을 위해서는 "C:\Users\%UserName%\AppData\Local\NewsGo" 폴더에 추가적인 광고 모듈(DLL)이 생성되지만 테스트 당시에는 추가적인 다운로드가 확인되지 않고 있습니다.

 

 

"Windows Service NewsGo (표시 이름 : Windows Service NewsGo)" 서비스 항목을 등록하여 시스템 시작 시 "C:\Users\%UserName%\AppData\Roaming\Windows NewsGo\WinNewsServ.exe" 파일을 자동 실행하여 메모리에 상주시킵니다.

 

또한 Windows 부팅 시 "Windows NewsGo" 시작 프로그램 등록값을 등록하여 "C:\Users\%UserName%\AppData\Roaming\Windows NewsGo\NewsConf.exe" 파일을 자동 실행하여, 광고 기능을 수행하는 "C:\Users\%UserName%\AppData\Local\NewsGo\NewsGo.exe" 파일을 로딩하여 메모리에 상주시킵니다.

 

 

NewsGo 광고 프로그램은 기존에 소개한 광고 프로그램과 유사성이 높으므로 바탕 화면에 바로 가기 아이콘 생성, 부팅 후 구글 애드센스(Google AdSense) 광고창 생성, 인터넷 검색 및 웹 사이트 접속 시 광고창(배너) 등을 생성할 수 있을 것으로 추정됩니다.

 

NewsGo 광고 프로그램 제거 방법

 

(a) 명령 프롬프트(관리자)를 실행하여 sc stop "Windows Service NewsGo" 명령어를 입력 및 실행하여 실행 중인 WinNewsServ.exe 서비스 파일을 자동 종료하시기 바랍니다.

 

(b) 실행 중인 Internet Explorer 웹 브라우저를 종료한 상태에서 작업 관리자를 실행하여 메모리에 상주하는 NewsGo.exe 프로세스를 찾아 종료하시기 바랍니다.

 

 

(c) 설치 프로그램 목록 중 NewsGo 항목을 실행하여 프로그램 제거를 진행하시기 바랍니다.

 

생성 레지스트리 등록 정보

 

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
 - Windows NewsGo = "C:\Users\%UserName%\AppData\Roaming\Windows NewsGo\NewsConf.exe"
HKEY_CURRENT_USER\SOFTWARE\NewsGo
HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Uninstall\NewsGo
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Service NewsGo

 

 

NewsGo 광고 프로그램이 설치된 환경에서 시스템 환경에 따라서는 Internet Explorer 웹 브라우저를 이용한 사이트 접속 시 웹 브라우저가 얼어버리는 문제가 발생할 수 있으므로 설치되지 않도록 주의하시기 바랍니다.

728x90
반응형
  • 질문드려요 2017.04.27 16:06 댓글주소 수정/삭제 댓글쓰기

    안녕하세요 벌새님.

    이 프로그램 설치 시에, 시스템 환경에 따라서는 Internet Explorer 웹 브라우저를 이용한 사이트 접속 시 웹 브라우저가 얼어버리는 문제가 발생한다고 하셨는데, 이게 구체적으로 어떻게 되는 증상인 지 알 수 있을까요?

    GeoCube 의 프로그램이 PC에 설치 되있는데, 아예 컴퓨터의 인터넷 창이나 프로그램들이 실행안되고 얼마동안 뻗어버리는 증상을 말씀하시는지요?

  • 얼어버리는 증상 2017.05.10 12:20 댓글주소 수정/삭제 댓글쓰기

    창이 얼어버리는 증상 (멈춘다는 증상) 은 시간이 지나면 풀리나요?

    아니면 매번 창이 멈춰서 익스플로어 이용자체가 불가능하단 말씀이신지요?

  • 상선약수 2017.06.12 00:29 댓글주소 수정/삭제 댓글쓰기

    매번 사고 치고 도움 요청해서 죄송합니다
    이번에는 언급하신 NewsGo라는 광고프로그램 때문에 문의드립니다.
    네**블로그에서 소프트웨어 다운받다가 원래는 정식사이트를 이용하는데 이미 삭제된 소프트웨어라서 어쩔수없이 받다가 당했습니다
    V3 실시간검사중이라서 악성으로 진단해서 방어?한것 같은데 바탕화면에는 바로가기 아이콘이 생성되어버렸습니다.
    벌새님의 방법을 따라서 관리자명령프롬프트 실행해서 명령어를 입력했는데
    [SC] open service 실패 1060 : 지정된 서비스가 설치된 서비스가 없습니다 라고 나옵니다
    작업관리자에서도 프로세스가 보이지 않고 제어판의 프로그램에서도 보이지 않습니다.
    참고로 지난번까지는 불법 윈도우7 사용했지만 이번에는 정품 윈도우10 개인유로버전입니다 (2017.5.25.설치)
    항상 도움 주셔서 감사합니다

    • 답변이 늦어서 죄송합니다.

      작성하신 내용을 봐서는 아마도 백신에서 설치 중에 차단해서 서비스가 정상적으로 등록되지 않았기 때문에 없다고 표시되는 것 같습니다.

      그러므로 제어판에서 NewsGo 프로그램이 존재하지 않고 생성된 폴더 및 파일이 없다면 바탕 화면에 생성된 바로 가기 아이콘만 직접 제거하시면 될 듯합니다.

      혹시 더 검사를 원하신다면 MZK 도구(http://cafe.naver.com/malzero/94376)로 검사해 보시기 바랍니다.