반응형
국내에서 제작되어 인터넷 검색시 팝업창을 생성하는 검색 도우미 Win Search forezlinker 프로그램에 대해 살펴보도록 하겠습니다.
해당 프로그램의 설치 파일(MD5 : bbcf16da2b63d46ab4c6e95bb949079d)에 대하여 BitDefender 보안 제품에서는 Trojan.Generic.5480676 (VirusTotal : 7/43) 진단명으로 진단되므로 참고하시기 바랍니다.
해당 프로그램의 설치 파일(MD5 : bbcf16da2b63d46ab4c6e95bb949079d)에 대하여 BitDefender 보안 제품에서는 Trojan.Generic.5480676 (VirusTotal : 7/43) 진단명으로 진단되므로 참고하시기 바랍니다.
해당 프로그램은 작년에 소개한 SearchFree - Win Search forsearchfree 프로그램의 변종으로 추정되므로 참고하시기 바랍니다.
[생성 폴더 / 파일 등록 정보]
C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\ezlinker\evdat2.dmc
C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\ezlinker\ezlinker.dll :: BHO 등록 파일
C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\ezlinker\ezlinkers.exe :: 시작 프로그램 등록 파일
C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\ezlinker\ezlinkers_sp.exe
C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\ezlinker\uninstall.exe :: 프로그램 삭제 파일
C:\WINDOWS\system32\sircheckfile.dat
C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\ezlinker\evdat2.dmc
C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\ezlinker\ezlinker.dll :: BHO 등록 파일
C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\ezlinker\ezlinkers.exe :: 시작 프로그램 등록 파일
C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\ezlinker\ezlinkers_sp.exe
C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\ezlinker\uninstall.exe :: 프로그램 삭제 파일
C:\WINDOWS\system32\sircheckfile.dat
[생성 파일 진단 정보]
C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\ezlinker\ezlinkers.exe (MD5 : 1521919d52cbbd930b329b0e88e0e7a3)
- AhnLab V3 : Adware/Win32.Rogue (VirusTotal : 15/43)
C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\ezlinker\ezlinkers_sp.exe (MD5 : e1fca321a756abbcea870954db6b8339)
- AhnLab V3 : Adware/Win32.Rogue (VirusTotal : 10/43)
C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\ezlinker\ezlinkers.exe (MD5 : 1521919d52cbbd930b329b0e88e0e7a3)
- AhnLab V3 : Adware/Win32.Rogue (VirusTotal : 15/43)
C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\ezlinker\ezlinkers_sp.exe (MD5 : e1fca321a756abbcea870954db6b8339)
- AhnLab V3 : Adware/Win32.Rogue (VirusTotal : 10/43)
해당 프로그램은 [C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\ezlinker] 폴더에 파일을 생성하며, Windows 시작시 ezlinkers.exe 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.
[추가 기능 관리 : 도구 모음 및 확장 프로그램]
O
- 게시자 : 알 수 없음
- CLSID : {A1C30F96-793E-45A0-A1A9-CAA0252D46BF}
- 파일 : C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\ezlinker\ezlinker.dll
O
- 게시자 : 알 수 없음
- CLSID : {A1C30F96-793E-45A0-A1A9-CAA0252D46BF}
- 파일 : C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\ezlinker\ezlinker.dll
해당 프로그램은 사용자가 Internet Explorer를 실행할 경우 iexplore.exe 프로세스에 ezlinker.dll 파일을 BHO 방식으로 추가하여 동작하는 것을 확인할 수 있습니다.
프로그램 삭제 후에는 추가적으로 [C:\WINDOWS\system32\sircheckfile.dat] 파일을 수동으로 삭제하시기 바랍니다.
[생성 레지스트리 등록 정보]
HKEY_CLASSES_ROOT\CLSID\{A1C30F96-793E-45A0-A1A9-CAA0252D46BF}
HKEY_CLASSES_ROOT\ezlinker.P
HKEY_CURRENT_USER\Software\ezlinkerpp
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- ezlinkervk = C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\ezlinker\ezlinkers.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\ezlinker
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{A1C30F96-793E-45A0-A1A9-CAA0252D46BF}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
ezlinker
HKEY_CLASSES_ROOT\CLSID\{A1C30F96-793E-45A0-A1A9-CAA0252D46BF}
HKEY_CLASSES_ROOT\ezlinker.P
HKEY_CURRENT_USER\Software\ezlinkerpp
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- ezlinkervk = C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\ezlinker\ezlinkers.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\ezlinker
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{A1C30F96-793E-45A0-A1A9-CAA0252D46BF}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
ezlinker
해당 프로그램은 악성코드 감염시 사용자 몰래 설치되는 것으로 확인이 되었으며, 설치 폴더가 사용자가 알 수 없는 곳에 위치하는 등의 문제가 있으므로 해당 프로그램 삭제와 함께 사용자 PC에 추가적으로 존재하는 악성 파일을 유명 보안 제품을 이용하여 진단 및 치료를 하시기 바랍니다.
728x90
반응형