728x90
반응형
시스템 시작시마다 바탕 화면에 상업적 목적의 광고 코드가 추가된 인터넷 바로가기 아이콘을 생성하는 "Favorite Icons Manager" 프로그램에 대해 살펴보도록 하겠습니다.
[생성 폴더 / 파일 등록 정보]
C:\Program Files\Favorite_Icons
C:\Program Files\Favorite_Icons\FavoriteIcons.dll :: BHO 등록 파일
C:\Program Files\Favorite_Icons\FavoriteIcons.exe
C:\Program Files\Favorite_Icons\FavoriteIconsControl.exe
C:\Program Files\Favorite_Icons\FavoriteIconsUninstall.exe :: 프로그램 삭제 파일
C:\Program Files\Favorite_Icons\FavoriteIconsUpdate.exe :: 시작 프로그램 등록 파일
C:\Program Files\Favorite_Icons\fvr.dat
C:\Program Files\Favorite_Icons\ic.exe
C:\WINDOWS\system32\favoriteicons.not
C:\Program Files\Favorite_Icons
C:\Program Files\Favorite_Icons\FavoriteIcons.dll :: BHO 등록 파일
C:\Program Files\Favorite_Icons\FavoriteIcons.exe
C:\Program Files\Favorite_Icons\FavoriteIconsControl.exe
C:\Program Files\Favorite_Icons\FavoriteIconsUninstall.exe :: 프로그램 삭제 파일
C:\Program Files\Favorite_Icons\FavoriteIconsUpdate.exe :: 시작 프로그램 등록 파일
C:\Program Files\Favorite_Icons\fvr.dat
C:\Program Files\Favorite_Icons\ic.exe
C:\WINDOWS\system32\favoriteicons.not
해당 프로그램은 "C:\Program Files\Favorite_Icons" 폴더에 파일을 생성하며, Windows 시작시 FavoriteIconsUpdate.exe 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.
참고로 최초 Favorite Icons Manager 프로그램이 설치된 환경에서는 바탕 화면에 인터넷 바로가기 아이콘 생성 동작이 없으며, 재부팅 과정에서 다음과 같은 추가적인 동작을 확인할 수 있습니다.
시스템 시작시 시작 프로그램으로 등록된 FavoriteIconsUpdate.exe 파일은 프로그램 버전을 체크하며, 추가로 실행된 FavoriteIcons.exe 파일은 특정 서버에 접속하여 그림과 같은 2개의 바로가기 아이콘을 다운로드하는 동작을 확인할 수 있습니다.
[추가 생성 파일 등록 정보]
C:\Documents and Settings\(사용자 계정)\바탕 화면\11st.lnk
C:\Documents and Settings\(사용자 계정)\바탕 화면\공짜영화.lnk
C:\Documents and Settings\All Users\시작 메뉴\프로그램\바탕화면 아이콘
C:\Documents and Settings\All Users\시작 메뉴\프로그램\바탕화면 아이콘\바탕화면 아이콘 관리마법사 실행.lnk
C:\Documents and Settings\All Users\시작 메뉴\프로그램\바탕화면 아이콘\바탕화면 아이콘 관리마법사 제거.lnk
C:\Program Files\Favorite_Icons\bacon.db
C:\Program Files\Favorite_Icons\res
C:\Program Files\Favorite_Icons\res\11st.ico
C:\Program Files\Favorite_Icons\res\filejo.ico
C:\Documents and Settings\(사용자 계정)\바탕 화면\11st.lnk
C:\Documents and Settings\(사용자 계정)\바탕 화면\공짜영화.lnk
C:\Documents and Settings\All Users\시작 메뉴\프로그램\바탕화면 아이콘
C:\Documents and Settings\All Users\시작 메뉴\프로그램\바탕화면 아이콘\바탕화면 아이콘 관리마법사 실행.lnk
C:\Documents and Settings\All Users\시작 메뉴\프로그램\바탕화면 아이콘\바탕화면 아이콘 관리마법사 제거.lnk
C:\Program Files\Favorite_Icons\bacon.db
C:\Program Files\Favorite_Icons\res
C:\Program Files\Favorite_Icons\res\11st.ico
C:\Program Files\Favorite_Icons\res\filejo.ico
이런 과정에서 사용자들은 해당 공짜영화, 11번가 바로가기 아이콘이 어떤 프로그램을 통해 설치되었는지 확인하기 어려우며, 해당 바로가기 아이콘만을 삭제한 경우 다음 재부팅 과정에서 반복적으로 설치되는 문제가 발생합니다.
해당 프로그램은 바탕 화면에 바로가기 아이콘 생성 이외에 추가적으로 사용자가 인터넷 검색을 시도할 경우, iexplore.exe 프로세스 하위에 ic.exe 프로세스를 일시적으로 생성하여 특정 서버에 입력한 키워드를 전송합니다.
전송된 키워드 정보를 바탕으로 사전에 등록된 특정 키워드와 매치될 경우, 바탕 화면에 등록되어 있던 11번가 바로가기 아이콘의 이름을 "11st (사용자 키워드)" 형태로 반복적으로 변경하는 동작을 확인할 수 있습니다.
전송된 키워드 정보를 바탕으로 사전에 등록된 특정 키워드와 매치될 경우, 바탕 화면에 등록되어 있던 11번가 바로가기 아이콘의 이름을 "11st (사용자 키워드)" 형태로 반복적으로 변경하는 동작을 확인할 수 있습니다.
[추가 기능 관리 : 도구 모음 및 확장 프로그램]
이름 : BrKeywordObj Class
게시자 : (주)네오유엑스
유형 : 브라우저 도우미 개체
CLSID : {4D4D2A74-0249-49E6-BC41-0586A0333CB3}
파일 : C:\Program Files\Favorite_Icons\FavoriteIcons.dll
이름 : BrKeywordObj Class
게시자 : (주)네오유엑스
유형 : 브라우저 도우미 개체
CLSID : {4D4D2A74-0249-49E6-BC41-0586A0333CB3}
파일 : C:\Program Files\Favorite_Icons\FavoriteIcons.dll
해당 프로그램은 Internet Explorer 웹 브라우저를 실행할 경우 iexplore.exe 프로세스에 FavoriteIcons.dll 파일을 브라우저 도우미 개체(BHO)로 등록하여 키워드 감시를 통한 바탕 화면 바로가기 아이콘의 이름을 변경하는 동작으로 연결되도록 구성되어 있습니다.
그러므로 해당 동작의 중지를 위해서는 웹 브라우저의 추가 기능 관리에 등록된 "BrKeywordObj Class" 항목을 선택하여 "사용 안 함"으로 변경하시기 바랍니다.
프로그램 삭제시에는 Internet Explorer 웹 브라우저를 종료한 상태에서 제어판의 "Favorite Icons Manager" 삭제 항목을 이용하여 삭제할 수 있습니다.
하지만 프로그램 삭제 이후에도 해당 프로그램의 실제적인 수익을 창출하는 바탕 화면에 등록된 바로가기 아이콘이 여전히 존재하므로 사용자는 수동으로 반드시 삭제를 하시는 것이 좋습니다.
그렇지 않다면 프로그램 삭제 이후에도 지속적으로 해당 바로가기 아이콘을 이용하여 특정 웹하드, 11번가 쇼핑을 할 경우 프로그램 제작자(배포자)에게 금전적 수익이 발생할 수 있습니다.
그렇지 않다면 프로그램 삭제 이후에도 지속적으로 해당 바로가기 아이콘을 이용하여 특정 웹하드, 11번가 쇼핑을 할 경우 프로그램 제작자(배포자)에게 금전적 수익이 발생할 수 있습니다.
- C:\Documents and Settings\(사용자 계정)\바탕 화면\11st.lnk :: 해당 바로가기 아이콘 이름을 "11st (특정 검색어)" 형태입니다.
- C:\Documents and Settings\(사용자 계정)\바탕 화면\공짜영화.lnk
- C:\Program Files\Favorite_Icons
[생성 레지스트리 등록 정보]
HKEY_CURRENT_USER\Software\Favorite_Icons
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- Favorite_Icons = C:\Program Files\Favorite_Icons\FavoriteIconsUpdate.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\BrandKeywordSys.BrKeywordObj
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\BrandKeywordSys.BrKeywordObj.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{4D4D2A74-0249-49E6-BC41-0586A0333CB3}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{D64484F6-0169-49BA-8A89-3CFF22F2E9BB}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{0F87A3C0-7ADE-40BE-9268-C07B28E7EC7E}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{4D4D2A74-0249-49E6-BC41-0586A0333CB3}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Favorite_Icons_is1
HKEY_CURRENT_USER\Software\Favorite_Icons
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- Favorite_Icons = C:\Program Files\Favorite_Icons\FavoriteIconsUpdate.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\BrandKeywordSys.BrKeywordObj
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\BrandKeywordSys.BrKeywordObj.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{4D4D2A74-0249-49E6-BC41-0586A0333CB3}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{D64484F6-0169-49BA-8A89-3CFF22F2E9BB}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{0F87A3C0-7ADE-40BE-9268-C07B28E7EC7E}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{4D4D2A74-0249-49E6-BC41-0586A0333CB3}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Favorite_Icons_is1
해당 프로그램은 사용자의 의도와 상관없이 반복적으로 바탕 화면에 인터넷 바로가기 아이콘을 생성할 수 있으며, 프로그램 삭제 이후에도 바로가기 아이콘을 삭제하지 않아 지속적인 수익을 유발할 수 있으므로 주의하시기 바랍니다.
728x90
반응형