본문 바로가기

벌새::Analysis

검색 도우미 : 스폰링크 (SponLink)

반응형
국내 포털 사이트의 특정 검색어를 통하여 제시되는 링크에 접속할 경우 IE 즐겨찾기 옆에 생성되는 검색 도우미 스폰링크(SponLink)에 대해 살펴보도록 하겠습니다.


해당 프로그램을 설치시 이용약관 제시와 동의 과정을 거치고 있으며, 해당 프로그램에 대해 다음과 같이 소개하고 있습니다.

인터넷 브라우저를 이용하여 또는 특정 검색엔진을 이용하여 검색을 하는 중에, 좌측의 버티컬(즐겨찾기가 나오는 좌측 부분)바의 검색엔진 도구를 사용하여, 사용자의 효율적인 검색 작업을 돕는 프로그램 입니다.

생성 폴더, 파일 정보


[생성 레지스트리 정보]

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0AFC9BEB-1D24-4810-ABCE-013DA0BE72B8}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5C927D22-00C6-43F1-A5E2-4119670C9748}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\sponlink.sideup
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\sponlink.sideup\Clsid
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\sponlink
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5C927D22-00C6-43F1-A5E2-4119670C9748}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - sponlink = "C:\Program Files\sponlink\sponlinke.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\sponlink
HKEY_USERS\S-1-5-21-1659004503-1767777339-682003330-1004\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{0AFC9BEB-1D24-4810-ABCE-013DA0BE72B8}\iexplore
HKEY_USERS\S-1-5-21-1659004503-1767777339-682003330-1004\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{5C927D22-00C6-43F1-A5E2-4119670C9748}
HKEY_USERS\S-1-5-21-1659004503-1767777339-682003330-1004\Software\nosponlink
HKEY_USERS\S-1-5-21-1659004503-1767777339-682003330-1004\Software\sponlink

[제작사 제공 설치 파일]

MD5 : 8c05acbb7294be7f38efe8b36cb530ec


[설치 후 생성 파일 : sponlinke.exe]

MD5 : a2d9a79debe8d53150bb96572d6c8a93



현재 국내외 보안제품 중 일부가 실행 파일(sponlinke.exe)에 대하여 트로이목마(Trojan)로 진단하고 있습니다.


실제 동작 원리를 살펴보면 네이버(Naver)를 기준으로 특정 검색어를 사용자가 입력하여 네이버에서 제시하는 검색 결과 중 사용자가 링크를 클릭하여 연결할 경우 위와 같이 좌측에 스폰링크에서 제공하는 광고가 출력되는 것을 확인할 수 있습니다.

[시작 프로그램 등록]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - sponlink = C:\Program Files\sponlink\sponlinke.exe

[BHO 등록]

HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5C927D22-00C6-43F1-A5E2-4119670C9748}
 - NoExplorer = 0x00000001 (1)

※ HKCR\CLSID\{5C927D22-00C6-43F1-A5E2-4119670C9748}

개인적인 의견으로는 해당 프로그램 자체적인 검색어 입력을 받아 광고를 출력하는 방식이 아닌 타 서비스의 검색 결과를 이용하여 자신의 광고를 출력하는 방식은 다르다고 생각합니다.


제품의 삭제는 제어판의 [Windows sponlink] 삭제 항목을 이용하여 삭제하실 수 있습니다.

삭제 항목 이름의 경우에도 윈도우(Windows) 표기를 앞에 두어 마치 윈도우에서 제공하는 것처럼 찾기 쉽지 않게 구성되어 있습니다.

[추가 삭제 폴더 정보]

C:\Program Files\sponlink

※ 레지스트리 정보는 생성 레지스트리 정보를 참고하시기 바랍니다.

해당 프로그램은 검색 결과만을 제공하고 있지만, 많은 사람들이 사용하는 포털 사이트의 검색 결과를 이용할 경우 원치않는 광고창이 추가적으로 생성되어 인터넷 이용에 불편이 있을 수 있으리라 보여집니다.
728x90
반응형