해당 프로그램은 기존의 version 1.0.0 시리즈가 다수 존재하므로 참고하시기 바랍니다.
C:\Documents and Settings\All Users\Application Data\ico
C:\Documents and Settings\All Users\Application Data\ico\FileHam.ico
C:\Documents and Settings\All Users\바탕 화면\최신자료파일함.url
C:\Documents and Settings\Default User\My Documents\Apsu.exe :: 시작 프로그램 등록 파일
C:\Program Files\Di
C:\Program Files\Di\Dico.exe :: 시작 프로그램 등록 파일
C:\Program Files\Di\rdi.exe
C:\Program Files\Di\unins000.dat
C:\Program Files\Di\unins000.exe :: 프로그램 삭제 파일
C:\WINDOWS\hpst.log
C:\WINDOWS\ttb.log
C:\WINDOWS\ttbc.log
해당 프로그램은 Windows 시작시 [C:\Documents and Settings\Default User\My Documents\Apsu.exe] 파일과 [C:\Program Files\Di\Dico.exe] 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.
Dico.exe 파일은 [h**p://iring**.co.kr/dico/dico.php] 서버에 접속하여 바탕화면에 생성되어 특정 웹하드로 연결되는 [최신자료파일함] 바로가기 아이콘을 체크하는 기능을 합니다.
사용자 몰래 추가로 생성된 Apsu.exe 파일은 [114.200.199.251] 서버에 접속하여 사용자 IP, Mac Address 정보를 체크하는 기능을 하는 것으로 보입니다.
바탕화면에 생성된 바로가기 아이콘에는 특정 추천인 아이디가 포함되어 해당 아이콘을 통해 접속하여 회원 가입을 할 경우 프로그램 배포자에게 금전적 수익이 발생할 것으로 보입니다.
프로그램에서는 제어판의 [Di version 1.0.0] 삭제 항목을 이용하여 삭제 기능이 존재하는 것으로 보이지만, 실제 프로그램 삭제를 시도할 경우 해당 프로그램의 핵심적인 바탕화면 바로가기 아이콘 미삭제와 사용자 몰래 설치한 Apsu.exe 파일 등이 삭제되지 않는 문제가 있습니다.
그러므로 제어판을 통한 삭제 후에는 추가적으로 다음의 폴더(파일), 레지스트리 항목을 확인하여 수동으로 삭제하시기 바랍니다.
- C:\Documents and Settings\All Users\Application Data\ico
- C:\Documents and Settings\All Users\Application Data\ico\FileHam.ico
- C:\Documents and Settings\All Users\바탕 화면\최신자료파일함.url
- C:\Documents and Settings\Default User\My Documents\Apsu.exe
- C:\WINDOWS\hpst.log
- C:\WINDOWS\ttb.log
- C:\WINDOWS\ttbc.log
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- Apsu = C:\Documents and Settings\Default User\My Documents\Apsu.exe
- Dico = C:\Program Files\Di\Dico.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{74C51451-8E7F-4617-9014-80E7C3100173}_is1
해당 변종 시리즈는 앞으로도 꾸준하게 발견될 것으로 생각되므로 사용자들은 프로그램 설치시 주의하시기 바랍니다.