본문 바로가기

벌새::Analysis

검색 도우미 : Win Search forezlinker

728x90
반응형
국내에서 제작되어 인터넷 검색시 팝업창을 생성하는 검색 도우미 Win Search forezlinker 프로그램에 대해 살펴보도록 하겠습니다.

해당 프로그램의 설치 파일(MD5 : bbcf16da2b63d46ab4c6e95bb949079d)에 대하여 BitDefender 보안 제품에서는 Trojan.Generic.5480676 (VirusTotal : 7/43) 진단명으로 진단되므로 참고하시기 바랍니다.

해당 프로그램은 작년에 소개한 SearchFree - Win Search forsearchfree 프로그램의 변종으로 추정되므로 참고하시기 바랍니다.


[생성 폴더 / 파일 등록 정보]

C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\ezlinker\evdat2.dmc
C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\ezlinker\ezlinker.dll :: BHO 등록 파일
C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\ezlinker\ezlinkers.exe :: 시작 프로그램 등록 파일
C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\ezlinker\ezlinkers_sp.exe
C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\ezlinker\uninstall.exe :: 프로그램 삭제 파일
C:\WINDOWS\system32\sircheckfile.dat
[생성 파일 진단 정보]

C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\ezlinker\ezlinkers.exe (MD5 : 1521919d52cbbd930b329b0e88e0e7a3)
 - AhnLab V3 : Adware/Win32.Rogue (VirusTotal : 15/43)

C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\ezlinker\ezlinkers_sp.exe (MD5 : e1fca321a756abbcea870954db6b8339)
 - AhnLab V3 : Adware/Win32.Rogue (VirusTotal : 10/43)

해당 프로그램은 [C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\ezlinker] 폴더에 파일을 생성하며, Windows 시작시 ezlinkers.exe 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.

프로그램의 동작 방식은 사용자가 인터넷 검색을 시도할 경우 프로그램에 등록된 특정 사이트를 팝업창 방식으로 생성하는 동작을 하는 것을 확인할 수 있습니다.

해당 팝업창 연결에서는 특정 광고 코드를 포함하여 사용자가 해당 팝업창 사이트에서 특정 조건을 만족할 경우 프로그램 배포자에게 금전적 수익이 발생할 것으로 추정됩니다.

[추가 기능 관리 : 도구 모음 및 확장 프로그램]

O
 - 게시자 : 알 수 없음
 - CLSID : {A1C30F96-793E-45A0-A1A9-CAA0252D46BF}
 - 파일 : C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\ezlinker\ezlinker.dll

해당 프로그램은 사용자가 Internet Explorer를 실행할 경우 iexplore.exe 프로세스에 ezlinker.dll 파일을 BHO 방식으로 추가하여 동작하는 것을 확인할 수 있습니다.

프로그램 삭제시에는 모든 Internet Explorer를 종료한 상태에서 제어판의 [Win Search forezlinker] 삭제 항목을 이용하여 삭제하실 수 있습니다.

프로그램 삭제 후에는 추가적으로 [C:\WINDOWS\system32\sircheckfile.dat] 파일을 수동으로 삭제하시기 바랍니다.

[생성 레지스트리 등록 정보]

HKEY_CLASSES_ROOT\CLSID\{A1C30F96-793E-45A0-A1A9-CAA0252D46BF}
HKEY_CLASSES_ROOT\ezlinker.P
HKEY_CURRENT_USER\Software\ezlinkerpp
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - ezlinkervk = C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\ezlinker\ezlinkers.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\ezlinker
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{A1C30F96-793E-45A0-A1A9-CAA0252D46BF}

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
ezlinker


해당 프로그램은 악성코드 감염시 사용자 몰래 설치되는 것으로 확인이 되었으며, 설치 폴더가 사용자가 알 수 없는 곳에 위치하는 등의 문제가 있으므로 해당 프로그램 삭제와 함께 사용자 PC에 추가적으로 존재하는 악성 파일을 유명 보안 제품을 이용하여 진단 및 치료를 하시기 바랍니다.


728x90
반응형