본문 바로가기

Analysis/유포 프로그램

Adware - Windows Go toolbar uninstall < 별칭 : GO툴바 >

입력일 : 2007/12/22 23:57

문제를 제기했던 Internet Explorer Guide V2 의 원 배포처에 방문후 그곳에서
배포하는 툴바를 설치해보고 내용을 등록하는 것임을 밝힙니다.

이전 게시물 :
2007/12/20 - [유포 정보/유포 프로그램] - Adware - Internet Explorer Guide V2 < 별칭 : 고툴바 / GO툴바 >


악성배포 근거가 없는데 왜 포스트하는 가에  의문을 가지신다면..
같은 제작사에 툴바를 프로그램명만 다르게 하여 배포하고  하나만이 악성행위를 한다고 해당프로그램만 악성이라고 볼수 없다는 판단하기 때문에 확인하였습니다.


그렇다면 단순히 설치정보만의  제공만 이루어지는 것이 아니냐..


특정 부정적인 행위에 대한 근거가 없지 않는가 하시겠지만.. 
문제 점이 있다고 생각되어  포스팅 하게 되었습니다.

<제작사 : 아이엔티미디어랩>
-->
http://www.go.co.kr

네이버 지식인 등에서 특정 애드웨어 반복 진단되는 문제를 질문하시는 분들이 있어 확인하다가 알게 된 내용을 적습니다.

온뮤즈 / 클린캅 / GO툴바 / 등이 설치된 경우 ... 특정 애드웨어를 사용중인 보안제품에서 반복 진단한다면 의심해 보아라....
설치되지 않은 것을 잡는다면 더욱더 의심해 보라 ...

특히 진단내역이 아래와 같다면 더더욱 의심해보길 바란다.


<아래 의 진단내역은 안철수 제품의 스파이제로 의 반복 진단내역>

하우리 제품 / 엔프로덱트 제품에서도 진단되고 일부 진단되고 있으니 참고..
주기적으로 아래 레지스터리가 진단되며, 진단되기만 할 뿐 애드웨어는 없는 경우를 종종
볼수 있어 원인 애드웨어가 무엇인지 지적하고자 게시하였다.

Win-Adware/Onmuz.1482752    HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\OnmuzPlusUn  
Win-Adware/Rogue.Cleancop.2576384    HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\cleancop  
Win-Adware/Rogue.Uware.2174976    HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Uware
Win-Dropper/SMoneyShop.372842
HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\savemoneyshop

<네이버 툴바의 경우 반복 진단되는 내역>

사용자 삽입 이미지


이유는 위에 언급된 애드웨어들이 시작프로그램에 등록하는 업데이트 모듈이 작동하면
스폰서 설치를 권유하는 창을 동작시키는데... 체크해제하면 설치는 되지 않지만..
레지스터리에 스폰서 목록에 있는 일부 툴의 레지스터리 정보 일부를 설치허용하지 않아도 사전에 생성하기 때문에 발생하는 문제이다.

그 원인 파일 은 updateGOSearch.exe 이 것이다...< 해당 명칭은 Go toolbar 에만 해당>


보안제품 사용자라면 최소한 알아야 할 진단명 설명
http://fantasy-actuality.tistory.com/20

File updateGOSearch.exe received on 12.22.2007 15:55:11 (CET)
MD5: 69b468f15eccf7abebd371bf631cee92
http://www.virustotal.com/resultado.html?4f2d64d77995d57a9b20bcfc0b576480

사용자 삽입 이미지


< Windows Go toolbar 툴바 관련 안내문 >

인터넷 브라우져 주소줄 검색을 Go툴바로 대체할 경우 의 알림표시
--> 이 기능은 작동안하기도 함. 하단 그림은 알림표시 될 경우 표시되는 내용


약관이 좀 보기 힘들겠다... 너무 작아 ... 아에 달지 말지 그랬을까..;;
사용자 삽입 이미지


아에 보안제품이라고 홍보해라...
유해사이트 차단에 유해광고를 막아준다고 하고 있네..;;  거기다 취약점 보강..
그런데 Go toolbargo.co.kr 를 사용자가 경유하도록 하여 광고비를 벌기 위한 툴바일 뿐이다. 그런데 언급하는 내용은 너무 거창하다 ...


실로 보안제품이라고 홍보 하고 있는 것 같다...
사용자 삽입 이미지


<진단상황><2007.12.22>
--> 진단상황은 일부 누락되었을 수 있습니다.

1> 안철수 연구소

Ahnlab SpyZero 2.0 / V3 Internet Security Platinum / 빛자루의 안티스파이웨어

Win-Adware/ToolBar.Gobar.221184 <일부 레지스터리만 진단>


2> 하우리 (바이로봇)

HKCR\Interface\{508EC2B1-D616-47B2-AA01-CE0FD6D6DFBE} Adware.UniBar.To
HKEY_LOCAL_MACHINE\SOFTWARE\intmedia    Adware.IEGuide
Adware.Go.To


3> 알약 v1.0 beta1

HKEY_LOCAL_MACHINE\SOFTWARE\intmedia    A.TBR.Acetoolbar


<설치정보><2007.12.22>

애드웨어 삭제후  인터넷 주소줄 표시창이 살아진다면 ?
--> http://fantasy-actuality.tistory.com/24


HijackThis - 보안툴 <참고하면 좋은 프로그램>
--> http://fantasy-actuality.tistory.com/103


제어판 - 추가삭제 항목에서 아래 프로그램 목록을 확인할 수 있다.

 Windows Go toolbar uninstall

보안제품에서 진단될 경우 실시간 감시 일시 해제후 제어판에서 삭제 가능
그러나 삭제가 되지 않을 경우 .. 사용중인 보안제품으로 제거하시거나
아래 언급되는  설치정보를 참고하여 직접 삭제 하십시오..

직접 삭제시  레지스터리 정보를 빨간색으로 표시된 것을 삭제
<단, 안전모드 부팅후 삭제하시길 권장 합니다.>
안전모드 부팅은   초기 부팅시 F8 연타 후  안전모드 선택


시작프로그램에 아래항목 등록

[Windows Go toolbar] C:\Program Files\GOSearch\updateGOSearch.exe

브라우져 추가기능 관리 (BHO) 등록사항

BHO: GoExtension Class - {41410178-A480-4E9A-B776-BD617E155154}
- C:\Program Files\GOSearch\GoExt.dll
Toolbar: Windows Go toolbar(&G) - {88974EAF-DCA1-494e-A7BA-E3403B275793}
- C:\Program Files\GOSearch\GOSearch.dll


File GoExt.dll received on 12.22.2007 15:55:51 (CET)
MD5: 2e041e9f4511fa295a032c8950ac0664
http://www.virustotal.com/resultado.html?1a4368c929d0f50c5afd5f7043a51e6d

File GOSearch.dll received on 12.22.2007 16:13:10 (CET)
MD5: de3459ce02854ab77ae32a95062719f4
http://www.virustotal.com/resultado.html?67b0900fb1899a576597590dca40b8c9

사용자 삽입 이미지


<브라우져 주소줄 등록 스샷>

사용자 삽입 이미지


<설치 레지스터리 일부><2007.12.22>

HKEY_CLASSES_ROOT\CLSID\{41410178-A480-4E9A-B776-BD617E155154}
HKEY_CLASSES_ROOT\CLSID\{88974EAF-DCA1-494e-A7BA-E3403B275793}
HKEY_CLASSES_ROOT\GoExt.GoExtension
HKEY_CLASSES_ROOT\GoExt.GoExtension.1
HKEY_CLASSES_ROOT\GOSearch.GOSearch
HKEY_CLASSES_ROOT\GOSearch.GOSearch.1
HKEY_CLASSES_ROOT\Interface\{508EC2B1-D616-47B2-AA01-CE0FD6D6DFBE}
HKEY_CLASSES_ROOT\Interface\{598C9790-79F6-46DB-96A3-E336BA07401F}
HKEY_CLASSES_ROOT\TypeLib\{8860A8D1-02F5-4E72-BDD8-C59E3C624C7F}\1.0
HKEY_CLASSES_ROOT\TypeLib\{F79B22A3-7E7E-459F-96D7-F3296340090F}\1.0
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser
   {88974EAF-DCA1-494E-A7BA-E3403B275793}
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
   Windows Go toolbar REG_SZ C:\Program Files\GOSearch\updateGOSearch.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{41410178-A480-4E9A
-B776-BD617E155154}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{88974EAF-DCA1-494e
-A7BA-E3403B275793}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\GoExt.GoExtension
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\GoExt.GoExtension.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\GOSearch.GOSearch
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\GOSearch.GOSearch.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{508EC2B1-D616-47B2
-AA01-CE0FD6D6DFBE}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{598C9790-79F6-46DB
-96A3-E336BA07401F}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{8860A8D1-02F5-4E72
-BDD8-C59E3C624C7F}\1.0
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{F79B22A3-7E7E-459F
-96D7-F3296340090F}\1.0
HKEY_LOCAL_MACHINE\SOFTWARE\GOSearch
HKEY_LOCAL_MACHINE\SOFTWARE\intmedia\toolbar
    installfile REG_SZ "C:\Program Files\GOSearch\uninstall.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar
    {88974EAF-DCA1-494e-A7BA-E3403B275793} REG_BINARY 00 
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Uninstall\Windows Go toolbar uninstall 
    DisplayIcon REG_SZ "C:\Program Files\GOSearch\uninstall.exe"
    DisplayName REG_SZ Windows Go toolbar uninstall
    UninstallString REG_SZ "C:\Program Files\GOSearch\uninstall.exe"


<설치 폴더 일부><2007.12.22>

c:\Documents and Settings\계정\시작 메뉴\프로그램\Windows Go toolbar

Windows Go toolbar uninstall.lnk 2007-12-21 23:37.02 1,567

라이센스.lnk 2007-12-21 23:37.02 1,551
c:\Program Files\GOSearch

GoExt.dll 2007-11-30 15:55.04 81,920

GOSearch.dll 2007-11-30 14:46.52 217,088

GOSearchInfo.exe 2007-04-27 16:36.20 1,204,224

License.txt 2007-04-27 15:58.36 6,771

uninstall.exe 2007-12-21 23:37.02 125,192

updateGOSearch.exe 2007-11-30 16:11.20 462,848


<설치될 당시 생성된 삭제 정보 파일><2007.12.23>