검색 도우미 : NewsGo

바탕 화면에 바로 가기 아이콘 생성 및 광고창을 생성할 수 있는 국내에서 제작된 NewsGo 광고 프로그램에 대해 살펴보도록 하겠습니다.

 

대표적인 배포 방식을 살펴보면 네이버(Naver) 블로그를 통해 다양한 소프트웨어 다운로드를 통해 설치용 프로그램(SHA-1 : 823d8c4d18bf35aae549cb98434a4e6d043cd1ca - AVG : Win32/DH{PAkl?})을 다운로드하도록 유도합니다.

 

 

실행된 프로그램은 사용자가 원하는 소프트웨어 설치 파일을 다운로드하는 과정에서 기본값으로 체크된 NewsGo 제휴 프로그램의 설치 파일을 자동 다운로드됩니다.

 

• NewsGo 설치 파일 : h**ps://news**.kr:427/do****ad/NewsGoInst.exe (SHA-1 : 45b0b962a5a2d196ab7b44b8d74feec0f095cb71 - Avira : ADWARE/Adware.Gen7)

 

 

임시 폴더(%Temp%)에 다운로드된 NewsGo 설치 파일은 숨김(H) 파일 속성값을 가지고 있으며, 실행된 /S 실행 변수를 통해 백그라운드로 설치가 진행된 후 자신은 자동 삭제 처리됩니다.

 

생성 폴더 / 파일 등록 정보

C:\Users\%UserName%\AppData\Local\NewsGo C:\Users\%UserName%\AppData\Local\NewsGo\NewsGo.exe :: 메모리 상주 프로세스 C:\Users\%UserName%\AppData\Local\NewsGo\uninstall.exe :: 프로그램 제거 파일 C:\Users\%UserName%\AppData\Roaming\Windows NewsGo C:\Users\%UserName%\AppData\Roaming\Windows NewsGo\NewsConf.exe :: 시작 프로그램(Windows NewsGo) 등록 파일 C:\Users\%UserName%\AppData\Roaming\Windows NewsGo\uninst.exe C:\Users\%UserName%\AppData\Roaming\Windows NewsGo\WinNewsServ.exe :: 서비스(Windows Service NewsGo) 등록 파일, 메모리 상주 프로세스

생성 파일 진단 정보

C:\Users\%UserName%\AppData\Local\NewsGo\NewsGo.exe  - SHA-1 : 5c58b9a91e9be7483489262b91dd1e4149fa8cb9  - Avira : ADWARE/Adware.Gen7   C:\Users\%UserName%\AppData\Roaming\Windows NewsGo\NewsConf.exe  - SHA-1 : 4ca71664d5e5dd35751291aac671bf17ea40daff  - Avira : ADWARE/Adware.Gen7   C:\Users\%UserName%\AppData\Roaming\Windows NewsGo\uninst.exe  - SHA-1 : 38363e0189a17a7b7f02fadd0f1e1a96db25a67b  - AhnLab V3 365 Clinic : PUP/Win32.ShortCut.C196331   C:\Users\%UserName%\AppData\Roaming\Windows NewsGo\WinNewsServ.exe  - SHA-1 : ab82f8da22868c5e51175b839e278de4b69b95d0  - AhnLab V3 365 Clinic : PUP/Win32.Helper.C1892877

 

 

GeoCube 디지털 서명이 포함된 NewsGo 광고 프로그램은 "C:\Users\%UserName%\AppData\Local\NewsGo" 폴더와 "C:\Users\%UserName%\AppData\Roaming\Windows NewsGo" 폴더에 파일을 각각 생성합니다.

 

참고로 정상적인 광고 행위 수행을 위해서는 "C:\Users\%UserName%\AppData\Local\NewsGo" 폴더에 추가적인 광고 모듈(DLL)이 생성되지만 테스트 당시에는 추가적인 다운로드가 확인되지 않고 있습니다.

 

 

"Windows Service NewsGo (표시 이름 : Windows Service NewsGo)" 서비스 항목을 등록하여 시스템 시작 시 "C:\Users\%UserName%\AppData\Roaming\Windows NewsGo\WinNewsServ.exe" 파일을 자동 실행하여 메모리에 상주시킵니다.

 

또한 Windows 부팅 시 "Windows NewsGo" 시작 프로그램 등록값을 등록하여 "C:\Users\%UserName%\AppData\Roaming\Windows NewsGo\NewsConf.exe" 파일을 자동 실행하여, 광고 기능을 수행하는 "C:\Users\%UserName%\AppData\Local\NewsGo\NewsGo.exe" 파일을 로딩하여 메모리에 상주시킵니다.

 

• 검색 도우미 : Windows Cookiemon (2016.9.6)

• 검색 도우미 : Windows GoodsFind (2016.10.29)

• 포털 사이트 검색 영역에 광고를 노출하는 InnerLink 악성 광고 프로그램 주의 (2016.12.19)

 

NewsGo 광고 프로그램은 기존에 소개한 광고 프로그램과 유사성이 높으므로 바탕 화면에 바로 가기 아이콘 생성, 부팅 후 구글 애드센스(Google AdSense) 광고창 생성, 인터넷 검색 및 웹 사이트 접속 시 광고창(배너) 등을 생성할 수 있을 것으로 추정됩니다.

 

■ NewsGo 광고 프로그램 제거 방법

 

(a) 명령 프롬프트(관리자)를 실행하여 sc stop "Windows Service NewsGo" 명령어를 입력 및 실행하여 실행 중인 WinNewsServ.exe 서비스 파일을 자동 종료하시기 바랍니다.

 

(b) 실행 중인 Internet Explorer 웹 브라우저를 종료한 상태에서 작업 관리자를 실행하여 메모리에 상주하는 NewsGo.exe 프로세스를 찾아 종료하시기 바랍니다.

 

 

(c) 설치 프로그램 목록 중 NewsGo 항목을 실행하여 프로그램 제거를 진행하시기 바랍니다.

 

생성 레지스트리 등록 정보

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce  - Windows NewsGo = "C:\Users\%UserName%\AppData\Roaming\Windows NewsGo\NewsConf.exe" HKEY_CURRENT_USER\SOFTWARE\NewsGo HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Uninstall\NewsGo HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Service NewsGo

 

NewsGo 광고 프로그램이 설치된 환경에서 시스템 환경에 따라서는 Internet Explorer 웹 브라우저를 이용한 사이트 접속 시 웹 브라우저가 얼어버리는 문제가 발생할 수 있으므로 설치되지 않도록 주의하시기 바랍니다.