본문 바로가기
분석해보까?

[분석] 곰플레이어 설치 후 광고창? 원인은 tabservicepack.exe 파일

by 잡다한 처리 2025. 2. 11.
반응형

안녕하세요 처리의 블로그입니다.

오늘은 동영상 플레이어 프로그램의 대명사인 곰플레이어 설치 시 생성되는 tabservicepack.exe에 대해서 간략하게 살펴보려 합니다.

 분석 전, 잠시 과거 이야기를 좀 하겠습니다. 예전 국내 프로그램 중 사용자 동의(체크박스 or 이용약관)를 받지만, 정상 소프트웨어와 악성 소프트웨어의 중간에 위치한 프로그램으로 사용자의 불편을 초래하는 소프트웨어들이 많았습니다.

이런 프로그램들을 그레이웨어(Grayware), 또는 PUP/PUA(잠재적으로 원하지 않는 프로그램)라고 합니다.

출처 : 울지않는 벌새님 블로그(https://hummingbird.tistory.com/5402)


오늘은 분석할 파일이 바로 그레이웨어와 관련된 내용인데요. 지인이 우연하게 발견하여 제보해 주었습니다.

일단, tabservicepack.exe 파일은 20250121에 업데이트된 "2.3.104.5374" 버전에서만 발견되었습니다.

곰플레이어 업데이트 히스토리

파일 정보

파일명 MD5 Size Version
GOMPLAYERKORSETUP.EXE A8A6563C8AA906215E3B19E95D2E91E1 32,571,312 2.3.105.5375
tabservicepack.exe ECC8CE5151A5794698CE70F0DB078CFE 1,424,096 1.0.0.1

 

설치 과정

설치가 시작되면, 약관을 보여주는데 아마 이 부분 때문에 악성으로 판단하기에 법적근거가 되지 않을 거 같네요.

설치 약관

이후는 일반적인 프로그램 설치와 동일합니다. 원하는 구성요소를 선택하여 설치하면 됩니다.

설치 구성 요소 선택

그리고 추가 프로그램에 대한 내용도 확인되는데, 이는 모두 "비동의"로 설치하였습니다.

추가 다운로드 안내가 끝나면 바로 알려진 폴더에 설치를 진행합니다.

곰플레이어 설치 폴더

이때 자세히 잘 보면, tabservicepack.exe 파일이 생성되는 것을 알 수 있습니다.

tabservicepack.exe 파일 생성 화면

 

tabservicepack.exe 관련 내용

곰플레이어 사용약관을 보면 리버싱을 할 수 없다는 명시가 되어있기에, 상세 내용을 보여드릴 수 없네요....쩝!!

4) 소프트웨어는 저작권법과 컴퓨터소프트웨어보호법에 의해 보호를 받고 있으며 관련 법규에서 명시적으로 허용한 제한적인 범위 이외에 소프트웨어 제품을 개작하거나 리버스 엔지니어링, 디컴파일, 디스어셈블 할 수 없습니다.


그래서 그냥 설치 경로와 관련 내용만 간략하게 설명합니다.
설치 경로는 C:\Program Files (x86)\TabService 폴더이며, 생성 파일은 ad_config.xml, ad_shortcutbookmark.xml, tabservicepack.exe 총 3개입니다. 곰플레이어 설치가 완료되면 파일이 실행되어 프로세스에 올라옵니다.

TabService 관련 폴더 경로
TabService 관련 프로세스 정보

부팅 시 자동 실행을 위해 작업스케줄러에 등록됩니다. 이로써 사용자가 컴퓨터를 켜거나 재부팅 시 자동으로 tabservicepack.exe 파일이 실행되게 됩니다. (※ 관리자 권한으로 실행)

작업스케줄러 등록 화면

프로그램 영향 (광고 브라우저 팝업)

tabservicepack.exe 파일이 동작되고 있으면, 사용자가 크롬 계열의 브라우저를 사용할 때 특정 키워드가 발견되면 아래와 같이 별도의 광고창을 띄웁니다. 

추가로 생성된 광고창

추가로 국/내외 쇼핑몰 쿠팡, 11번가, G마켓, 옥션, SSG, 알리익스프레스, 아고다, 호텔스닷컴, 테무 를 검색하거나 해당 사이트에 접속 시 자신의 광고ID가 들어간 페이지로 리디렉션 시키는 기능도 존재합니다.

쇼핑사이트 접속 시 추가로 생성된 광고페이지

해결 방법

✅ 작업 관리자 - 세부정보 탭에서 tabservicepack.exe 프로세스를 "작업 끝내기"로 종료

작업관리자 종료 화면

✅ 작업 스케줄러에서 "TabServiceScheduler" 스케줄러를 마우스 우측버튼 후에 "삭제"

작업 스케줄러 삭제 화면

✅ 파일 탐색기에서 "C:\Program Files (x86)" 위치로 이동하여 "TabService" 폴더를 삭제

파일 탐색기 폴더 삭제 화면

 

저작자표시

'분석해보까?' 카테고리의 다른 글

[분석문서] 시스템파일(Comres.dll)을 감염 시키는 악성코드  (2) 2011.04.17
[강좌] 쉘코드(ShellCode)를 OllyDbg로 쉽게 디버깅 해보자  (18) 2010.11.06
[PDF 취약점]Adobe Acrobat Reader 0-day 취약점(CVE-2009-4324)  (3) 2009.12.17
[Ollydbg]올리디버거 버그(Float 처리 실패)  (0) 2009.12.03
[정보보호21C]3부 웹 서버 해킹을 통한 악성코드 대량 배포 유행  (2) 2009.09.10

관련글

댓글

티스토리툴바