국내에서 제작되어져 대형 포털 사이트에서 쇼핑 관련 키워드 검색 시 광고성 행위를 통하여 수익을 발생시키는 프로그램인 truepod 에 대하여 살펴보겠습니다.



 악성파일 정보
 

해당 파일은 카스퍼스키 보안제품에서 Trojan-Downloader.Win32.Agent.tmsd 명으로 진단하고 있습니다.

 
 생성파일 정보

C:\Documents and Settings\(사용자계정)\바탕 화면\truepods.exe - 시작프로그램 등록
C:\Documents and Settings\(사용자계정)\바탕 화면\truepod.dll - 메모리 상주 및 BHO 등록



 레지스트리 정보

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
truepodv3="C:\Documents and Settings\(사용자계정)\바탕 화면\truepods.exe"
..(생략)





사용자가 웹브라우져를 실행하면 turepod.dll 이 iexplorer.exe 프로세스에 로드되면서 사용자가 특정키워드를 검색 시 광고성 행위를 수행합니다.










사용자가 옥션 키워드를 검색 후 클릭 시 위 이미지 처럼 광고성 행위를 수행 후에 옥션 페이지로 리다이렉트 하고 있습니다.



또한 인터넷 익스플로러 추가기능 관리에 BHO로 등록이 되어 있습니다.







 제거방법

해당 프로그램은 설치 형태가 아니기 때문에 직접 파일을 찾아 제거해야하는 번거러움이 있습니다. 프로세스가 사용중이기 때문에 삭제가 되지 않기 때문에 안전모드로 부팅하여 삭제하는 방법이 있으나 재부팅이 귀찮으신 분들은 아래 방법으로 제거하시면 됩니다.

1. CMD 창을 띄워 truepod.dll 을 사용하는 프로세스를 확인합니다.




2. Windows 작업관리자에서 해당 프로세스의 PID값을 확인하여 동일한 PID값을 가진 프로세스를 종료합니다. 작업관리자에서 PID를 확인하는 방법은 [보기] --> [열선택] --> [PID(프로세스 식별자)] 란을 체크하여야합니다.





3. 해당 프로세스 종료 후 악성프로그램을 제거합니다.






※ 만약 explorer.exe 프로세스에 truepod.dll 이 로드가 되어 종료하였다면 당황하지 마시고 cmd 창에 explorer.exe 를 입력하시면 정상적으로 화면이 복구됩니다.









 




국내에서 제작되어진 검색도우미 프로그램으로 국내 포털사이트 및 쇼핑사이트에서 특정 검색어를 입력시 해당 웹사이트 팝업창을 띄우는 adm-mgr 프로그램에 대하여 살펴보겠습니다.


 생성파일 정보

C:\Program Files\Addendum
C:\Program Files\Addendum\admmgr.exe  - 메모리 상주
C:\Program Files\Addendum\admrup.exe  - 시작프로그램
C:\Program Files\Addendum\iesb_nm.dll
C:\Program Files\Addendum\iesm_nm.dll  - BHO 등록
C:\Program Files\Addendum\uninstall.exe  - 프로그램 삭제



 레지스트리 정보

"HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"
C:\Program Files\Addendum\admrup.exe


재부팅 시 자동실행 되도록 동작하고 있습니다. 해당 프로그램이 설치가 되면 admmgr.exe 파일이 메모리에 상주하고 있습니다.




admmgr.exe 프로세스는 iexplorer.exe 프로세스를 감지하고 있으며 사용자가 웹 브라우저를 시작 시 iexplorer.exe 프로세스에 iesm_nm.dll 을 로드하여 BHO 등록을 하도록 동작합니다.





웹 브라우저 추가기능 관리 확인 시 iesm_nm.dll 이 등록되어 있으며 브라우저 확장 형식으로 옥션 바로가기가 등록이 되어 웹 브라우저 도구모음에 옥션이 등록되어 있는 것을 확인할 수 있습니다.






사용자가 인터넷 검색창에 특정 키워드를 입력 시 관련 사이트를 새창으로 사용자에게 보여주기 전 광고와 관련된 url을 먼저 수행한 후 해당 사이트로 리다이렉션 하는 동작을 합니다. 이러한 방식은 광고 클릭 시 발생하는 수익의 일부를 광고 계시자에게 주는 형태로 되어 있으며 대부분 온라인 광고들이 이러한 수익구조로 되어있습니다. 







 제거방법

프로그램 사용을 원치 않으시면 제어판 -> 프로그램 추가/제거 에서 해당 프로그램을 삭제하시면 됩니다. 설치된 프로그램명은 Addendum - NM 로 되어 있습니다.









 
국내에서 제작되어졌으며 특정 사이트 접속 시 Internet Explorer 웹 브라우저 상단에 검색바(bar)가 생성되는 검색도우미 FineTop 프로그램에 대하여 살펴 보겠습니다.




 생성파일 정보

C:\Program Files\FineTop
C:\Program Files\FineTop\1
C:\Program Files\FineTop\FineTop.dll - BHO 등록
C:\Program Files\FineTop\FineTop.exe - 시작 프로그램 및 메모리 상주
C:\Program Files\FineTop\Uninstall.exe - 프로그램 삭제



 레지스트리 등록 정보
 
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
FineTop="C:\Program Files\FineTop\FineTop.exe"

 
 
 

 
프로그램이 설치가 되면 실행파일인 FineTop.exe 프로세스란 이름으로 상주하며 레지스트리에 등록되어 시작시 자동 실행되며 업데이트를 체크하고 있습니다.







사용자가 Internet Explorer 실행 시 FineTop.dll 이 로드되어 동작하며 특정 키워드 검색 시 웹 브라우저 상단에 검색바가 나타납니다.









[웹 브라우저 -> 도구 -> 추가기능관리] 에서 FineTop.dll 이 BHO 형식으로 로드되어 있는 것을 확인할 수 있습니다.






 제거방법

해당 프로그램을 사용하기 원치 않으시는 분들은 [제어판 --> 프로그램 추가/제거] 에서 FineTop 항목을 제거하시면 됩니다.