728x90
반응형
국내에서 제작되어 바탕 화면과 Internet Explorer 웹 브라우저 즐겨찾기에 다수의 인터넷 쇼핑몰 바로가기 아이콘을 생성하는 "Enjoy-Find" 프로그램으로 알려진 "maxclicks17 + ckobxomej.exe" 프로그램에 대해 살펴보도록 하겠습니다.
해당 프로그램의 설치 파일(MD5 : ec12212a43c3fe081bcfe5e74598a26e)에 대하여 하우리 바이로봇(Hauri ViRobot) 보안 제품에서는 Adware.Agent.465900 (VirusTotal : 14/43) 진단명으로 진단되고 있습니다.
해당 프로그램은 삭제 기능을 제공하지 않으므로, 삭제를 위해서는 생성 폴더(파일) 정보를 참고하여 수동으로 삭제하시기 바라며, 추가적으로 다음의 레지스트리 값을 찾아 삭제하시기 바랍니다.
이런 류의 프로그램은 다른 광고 프로그램을 통해 사용자 몰래 설치되는 경우가 많으며, 삭제 기능을 제공하지 않아 단순한 인터넷 바로가기 아이콘이 지속적으로 배포자에게 금전적 수익으로 연결될 수 있는 구멍이 될 수 있습니다.
그러므로 사용자가 등록한 바로가기 아이콘 또는 즐겨찾기가 아닌 경우에는 반드시 삭제를 하시기 바랍니다.
해당 프로그램의 설치 파일(MD5 : ec12212a43c3fe081bcfe5e74598a26e)에 대하여 하우리 바이로봇(Hauri ViRobot) 보안 제품에서는 Adware.Agent.465900 (VirusTotal : 14/43) 진단명으로 진단되고 있습니다.
[생성 폴더 / 파일 등록 정보]
C:\Documents and Settings\(사용자 계정)\Application Data\ckobxomej :: 숨김(H) 속성
C:\Documents and Settings\(사용자 계정)\Application Data\ckobxomej\ckobxomej.exe :: 시작 프로그램 등록 파일
C:\Documents and Settings\(사용자 계정)\Favorites\1시간 빠른 소셜커머스, 위메프.url
C:\Documents and Settings\(사용자 계정)\Favorites\Groupon Korea.url
C:\Documents and Settings\(사용자 계정)\Favorites\G마켓 - 새로운 세상을 여는 문, G마켓.url
C:\Documents and Settings\(사용자 계정)\Favorites\당신이 찾는 모든 스타일, 옥션.url
C:\Documents and Settings\(사용자 계정)\Favorites\디앤샵, 시즌 2.url
C:\Documents and Settings\(사용자 계정)\Favorites\쇼핑 스트리트, 11번가.url
C:\Documents and Settings\(사용자 계정)\Favorites\쿠팡.url
C:\Documents and Settings\(사용자 계정)\Favorites\티몬 - 대한민국의 모든 것 50% 할인.url
C:\Documents and Settings\(사용자 계정)\바탕 화면\11번가.URL
C:\Documents and Settings\(사용자 계정)\바탕 화면\G마켓.URL
C:\Documents and Settings\(사용자 계정)\바탕 화면\옥션.URL
C:\WINDOWS\11.ico
C:\WINDOWS\auction.ico
C:\WINDOWS\coopang_favi.ico
C:\WINDOWS\dnshop.ico
C:\WINDOWS\gmarket.ico
C:\WINDOWS\grou_favi.ico
C:\WINDOWS\timon_favi.ico
C:\WINDOWS\wemef_favi.ico
C:\Documents and Settings\(사용자 계정)\Application Data\ckobxomej :: 숨김(H) 속성
C:\Documents and Settings\(사용자 계정)\Application Data\ckobxomej\ckobxomej.exe :: 시작 프로그램 등록 파일
C:\Documents and Settings\(사용자 계정)\Favorites\1시간 빠른 소셜커머스, 위메프.url
C:\Documents and Settings\(사용자 계정)\Favorites\Groupon Korea.url
C:\Documents and Settings\(사용자 계정)\Favorites\G마켓 - 새로운 세상을 여는 문, G마켓.url
C:\Documents and Settings\(사용자 계정)\Favorites\당신이 찾는 모든 스타일, 옥션.url
C:\Documents and Settings\(사용자 계정)\Favorites\디앤샵, 시즌 2.url
C:\Documents and Settings\(사용자 계정)\Favorites\쇼핑 스트리트, 11번가.url
C:\Documents and Settings\(사용자 계정)\Favorites\쿠팡.url
C:\Documents and Settings\(사용자 계정)\Favorites\티몬 - 대한민국의 모든 것 50% 할인.url
C:\Documents and Settings\(사용자 계정)\바탕 화면\11번가.URL
C:\Documents and Settings\(사용자 계정)\바탕 화면\G마켓.URL
C:\Documents and Settings\(사용자 계정)\바탕 화면\옥션.URL
C:\WINDOWS\11.ico
C:\WINDOWS\auction.ico
C:\WINDOWS\coopang_favi.ico
C:\WINDOWS\dnshop.ico
C:\WINDOWS\gmarket.ico
C:\WINDOWS\grou_favi.ico
C:\WINDOWS\timon_favi.ico
C:\WINDOWS\wemef_favi.ico
[생성 파일 진단 정보]
C:\Documents and Settings\(사용자 계정)\Application Data\ckobxomej\ckobxomej.exe
- MD5 : 99f9c6a5c419f3baefc437525335ca59
- Hauri ViRobot : Adware.Agent.458752.E (VirusTotal : 14/43)
C:\Documents and Settings\(사용자 계정)\Application Data\ckobxomej\ckobxomej.exe
- MD5 : 99f9c6a5c419f3baefc437525335ca59
- Hauri ViRobot : Adware.Agent.458752.E (VirusTotal : 14/43)
해당 프로그램은 바탕 화면에 11번가, G마켓, 옥션 바로가기 아이콘을 생성하며, 해당 바로가기 아이콘을 통해 인터넷 쇼핑몰에 접속을 시도할 경우 다음과 같은 로그(Log) 기록을 확인할 수 있습니다.
즉, 인터넷 쇼핑몰 접속시 특정 광고 코드를 포함하여 접속자가 특정 조건을 만족시킬 경우 프로그램 제작자(배포자)에게 금전적 수익이 발생할 것으로 추정됩니다.
또한 Internet Explorer 웹 브라우저의 즐겨찾기 항목에 다수의 인터넷 쇼핑몰 바로가기가 등록되는 것을 확인할 수 있습니다.
해당 프로그램은 추가적으로 사용자가 확인하기 어려운 숨김(H) 속성의 [C:\Documents and Settings\(사용자 계정)\Application Data\ckobxomej] 폴더에 ckobxomej.exe 파일을 생성하여, 해당 파일을 시작 프로그램으로 등록하여 시스템 시작시마다 자동으로 실행하도록 구성하였습니다.
ckobxomej.exe 파일이 실행시 연결되는 정보를 확인해보면 "countmoa.co.kr" 서버에 접속하여 업데이트 및 카운터(Counter) 체크를 하는 동작을 확인할 수 있습니다.
해당 프로그램은 삭제 기능을 제공하지 않으므로, 삭제를 위해서는 생성 폴더(파일) 정보를 참고하여 수동으로 삭제하시기 바라며, 추가적으로 다음의 레지스트리 값을 찾아 삭제하시기 바랍니다.
[생성 레지스트리 등록 정보]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- ckobxomej = C:\Documents and Settings\(사용자 계정)\Application Data\ckobxomej\ckobxomej.exe
HKEY_LOCAL_MACHINE\SOFTWARE\ckobxomej
HKEY_LOCAL_MACHINE\SOFTWARE\maxclicks17
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- ckobxomej = C:\Documents and Settings\(사용자 계정)\Application Data\ckobxomej\ckobxomej.exe
HKEY_LOCAL_MACHINE\SOFTWARE\ckobxomej
HKEY_LOCAL_MACHINE\SOFTWARE\maxclicks17
이런 류의 프로그램은 다른 광고 프로그램을 통해 사용자 몰래 설치되는 경우가 많으며, 삭제 기능을 제공하지 않아 단순한 인터넷 바로가기 아이콘이 지속적으로 배포자에게 금전적 수익으로 연결될 수 있는 구멍이 될 수 있습니다.
그러므로 사용자가 등록한 바로가기 아이콘 또는 즐겨찾기가 아닌 경우에는 반드시 삭제를 하시기 바랍니다.
728x90
반응형