애드웨어 정보2015. 11. 1. 03:11

1. 애드웨어명 : Topspace3 Windows IE Platform 



2. 설치 경로 : 특정 제휴 다운로더



3. Topspace3 Windows IE Platform  행위 정보


3-1. 해당 애드웨어는 아래의 경로에 파일 및 레지스트리를 생성한다.


C:\Program Files\TopSpace3

C:\Program Files\TopSpace3\banner

C:\Program Files\TopSpace3\bin

C:\Program Files\TopSpace3\bin\TopSpace3Helper.exe

C:\Program Files\TopSpace3\bin\TopSpace3Service.exe

C:\Program Files\TopSpace3\bin\TopSpaceHelper.ico

C:\Program Files\TopSpace3\config

C:\Program Files\TopSpace3\download

C:\Program Files\TopSpace3\logs

C:\Program Files\TopSpace3\logs\20151101

C:\Program Files\TopSpace3\logs\20151101\20151101-TopSpaceHelper.log

C:\Program Files\TopSpace3\logs\20151101\20151101-TopSpaceService.log

C:\Program Files\TopSpace3\temp


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\

TopSpace3  = "C:\Program Files\TopSpace3\bin\TopSpace3Helper.exe UPDATE"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\TopSpace3

HKEY_LOCAL_MACHINE\SOFTWARE\TComms\

HKEY_LOCAL_MACHINE\SOFTWARE\TopSpace3\



3-2. 윈도우 시작 간 TopSpace3Helper.exe의 실행 경우 인자값에 따라 기능이 나뉘어 지며 1) UNINSTALL 인자를 전달할 경우 언인스톨러의 기능으로서 프로그램 삭제로 이어지며, 2) UPDATE 인자를 전달할 경우 toplink.topspace.co.kr(210.109.98.14)에 설치된 컴퓨터 정보 전송과 download.topspace.co.kr(210.109.98.15)에 업데이트 값을 확인한다. 윈도우 시작 프로그램 항목 값은 UPDATE이기에, 업데이트 과정을 거친 뒤 애드웨어 행위를 수행하는 TopSpace3Service.exe를 실행한다.


CMD=(현재실행여부)&GUID=%s&DISTRIBUTEID=(?)&OS=(OS 정보)&IE=(IE 정보)&VER=(IE 버전)&WPARAM=%s&LPARAM=%s



3-3. TopSpace3Service.exe는 1) PC방 관련한 프로세스 탐색과 2) Internet Explorer 웹 브라우저를 감시하여 키워드 쿼리에 반응하여 SQL 구문을 통하여 특정 광고 창을 뛰운다. 또한 검색한 URL의 경우 별도의 로그 파일에 저장한다. 이 과정에서도 사용자의 정보가 전송이 이루어지는데 아래와 같다.




PC방 관련 프로세스


gamedcup.exe

gchartc.exe

picatoolsMgr.exe

ptclient.exe

gtlexp.exe

gtiexp.exe

getotb.exe

gcrawl.exe

PCWC_Ag.exe

PCWC.exe

WmRcSvr.exe

WmCltLC.exe

WmClt.exe

WmCounter.exe


CMD=VISIT&ADVERTID=(광고주ID)&GROUPNAME=(키워드에 대한 그룹이름)&GSN=(GSN 정보)&ASN=(ASN 정보)&ADVERTTYPE=(광고 타입)&IMPRESSIONTYPE=2&TITLE=(입력한 키워드)&LANDINGURL=(연결되는URL)&CPI=10&GUID=C1231937-CF83-40A5-963D-F0D09132E078&TARGETURL=(타겟 URL)&DISTRIBUTEID=speller&OS=(OS 정보)IE=(IE 버전 정보)&VER=(광고 프로그램 버전)




3-4. 해당 프로그램에서 아래의 *.cpp 코드와 헤더 파일(*.h)이 사용된 점이 확인이 되었다.


D:\TComms\02. TopSpace\02. Application\TopSpaceHelper\TopSpaceHelper.cpp

D:\TComms\02. TopSpace\02. Application\TopSpaceService\TopSpaceService.cpp

../TopSpaceLib/include\LogManager.h

D:\TComms\02. TopSpace\02. Application\TopSpaceService\XServiceManager.h

D:\TComms\02. TopSpace\02. Application\TopSpaceService\XQueryManager.cpp

D:\TComms\02. TopSpace\02. Application\TopSpaceService\TopSpace3\TopSpace3Service.pdb


4. Topspace3 Windows IE Platform 삭제 및 제거 정보 : 프로그램 추가 및 기능을 통하여 삭제를 진행한다.



추후 아래의 경로에 있는 폴더를 삭제한다.


C:\Program Files\TopSpace3

Posted by Ec0nomist

댓글을 달아 주세요

  1. 한동안 잠잠하더니 요즘 유포가 다시 활발하더군요. 예전 기억에는 웹하드 제휴 프로그램으로 잘 뿌리는 것 같았습니다.

    2015.11.01 13:13 신고 [ ADDR : EDIT/ DEL : REPLY ]