국내에서 제작되어진 검색도우미 프로그램으로 인터넷 검색 시 좌측 사이드에 광고바가 생성되는
검색 도우미 GuideOn 에 대하여 살펴보도록 하겠습니다.


 [실행 파일명]



해당 파일은 카스퍼스키 보안제품에서 Trojan-Downloader.Win32.Adload.apfh 진단명으로 진단하고 있습니다.



해당 파일 구조를 확인하기 위해 PEID로 보니 UPX 로 패킹이 되어 있었습니다.






파일 내부를 살펴보니 해당 파일은 설치파일을 다운로드 후 자신은 삭제가 되도록 하여
사용자가 설치여부를 확인할 수 없도록 동작을 하고 있습니다.

다음은 파일내용의 일부입니다.



시스템루트에 DelUS.bat 배치 파일를 생성하여 실행 후 삭제되도록 하며
마지막으로 자신을 삭제하도록 동작합니다.


또, 아래와 같이 해당 서버에 접속하여 GuideOn_GO45.exe 를 다운받아 사용자 PC에 설치가 됩니다.





다운받은 GuideOn_GO45.exe 파일은 실제 사이드바를 설치하는 실행파일입니다.


 [생성 파일]
  C:\Program Files\GuideOn\elist.ini                 사이드바 생성 리스트 키워드
  C:\Program Files\GuideOn\GuideOn.dll           BHO등록 파일
  C:\Program Files\GuideOn\GuideOn.exe         시작프로그램 및 메모리상주
  C:\Program Files\GuideOn\uninstall.exe



인터넷 익스플로러 실행 시 GuideOn.dll 파일을 로드하여 감시하는 사이트에 접속하게 되면 사이드바를
보여지도록 합니다.




프로세스 정보를 보면 GuideOn.exe 가 메모리에 상주하여 사용자가 인터넷 익스플로러를 실행 시
iexplorer.exe에 GuideOn.dll 이 삽입되어 BHO 방식으로 동작을 합니다.





감시하는 사이트 접속 시 사이드바가 생성됩니다.






 [사이드바 생성하는 사이트 리스트]

  auction
  gmarket
  interpark
  dnshop
  cjmall
  gseshop
  shinsegae
  lotte
  hmall
  lotteimall
  samsungmall
  zeromarket
  nseshop
  yeoin
  ddm
  mple
  gsestore
  danawa
  enuri
  lotteshopping

약 20개 정도 사이트에 대하여 감시하고 있으며, 대부분 쇼핑몰 사이트로 사용자가 키워드를 클릭하게 되면
광고업체에 금전적인 수익이 발생할 것으로 예상됩니다.





시작 시 자동실행 되도록 레지스트리에 등록되어 집니다.




해당 프로그램은 [프로그램 추가/제거]에서 삭제가 가능합니다.