본문 바로가기

벌새::Analysis

검색 도우미 : Internet linelink Client

반응형

인터넷 검색시 웹 브라우저 하단에 광고바 생성 및 팝업창을 생성하는 검색 도우미 Internet linelink Client 프로그램에 대해 살펴보도록 하겠습니다.

 

  국내 악성코드 : Windows Onestep System (2011.11.12)

 

  검색 도우미 : Windows Onestep System - onestep (2011.11.22)

 

  국내 악성코드 : Addendum Sidebar(gamjoa) (2012.1.15)

 

  국내 악성코드 : Windows smartlink System (2012.2.14)

 

  검색 도우미 : Internet SubJet Client (2012.2.18)

 

  검색 도우미 : SideMatch2.0 (2012.4.1)

 

  국내 악성코드 : Windows findcheck System (2012.4.9)

 

해당 프로그램(MD5 : 7d106b1ddc728be095ce1ef4e6840ca0)은 기존에 다양한 이름의 유사성이 강한 검색 도우미 프로그램이 존재하였으며, 일부 프로그램은 시스템 시작시 사용자 동의없이 다수의 수익성 프로그램을 설치하는 동작이 있었으므로 참고하시기 바랍니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Program Files\linelink
C:\Program Files\linelink\a.lod
C:\Program Files\linelink\b.lod
C:\Program Files\linelink\category.dt
C:\Program Files\linelink\ies.tml
C:\Program Files\linelink\linelink.dll
C:\Program Files\linelink\linelinkb.dll :: BHO 등록 파일
C:\Program Files\linelink\linelinke.exe :: 시작 프로그램 등록 파일
C:\Program Files\linelink\llk.exe
C:\Program Files\linelink\ls.plc
C:\Program Files\linelink\nhopen.dll
C:\Program Files\linelink\ntop.exe :: 시작 프로그램 등록 파일 / 메모리 상주 프로세스
C:\Program Files\linelink\uninstall.exe :: 프로그램 삭제 파일

 

[생성 파일 진단 정보]

 

C:\Program Files\linelink\llk.exe
 - MD5 : 334cec628d8feca75ddfa15038d72a2c
 - AhnLab V3 : PUP/Win32.Subject (VirusTotal : 8/42)

 

해당 프로그램은 "C:\Program Files\linelink" 폴더에 파일을 생성하며, Windows 시작시 linelinke.exe, ntop.exe 2개의 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다. 

자동 실행된 linelinke.exe 파일은 특정 서버에서 업데이트 체크 기능을 수행하며, 추가적으로 llk.exe 파일을 실행하여 설치 PC의 Mac Address 정보를 체크하도록 구성되어 있습니다.(※ 해당 프로그램과 유사한 다른 프로그램의 사례를 통해 추정해보면 차후 프로그램 배포자의 의도에 따라 추가적인 수익성 프로그램을 설치할 가능성이 존재합니다.)

 

또한 추가로 자동 실행된 ntop.exe 파일은 메모리에 상주하여 사용자가 인터넷 검색 과정에서 팝업창 생성 동작을 합니다. 

해당 프로그램은 인터넷 검색을 시도하는 과정에서 iexplore.exe 프로세스 하위에 llk.exe 프로세스를 일시적으로 생성하여 검색 키워드 값을 특정 광고 서버에 전송하여 참조하는 동작을 확인할 수 있습니다. 

이를 통해 포털 사이트 검색 결과를 클릭할 경우 정상적인 검색 결과창에서는 웹 브라우저 하단에 광고바를 생성하며, 메모리에 상주하는 ntop.exe 프로세스는 추가적인 광고창을 생성하는 동작을 확인할 수 있습니다. 

ntop.exe 프로세스가 생성하는 광고창의 연결 경로를 살펴보면 OpenMatch 광고 서버에서 제공하는 광고창을 생성하는 것을 확인할 수 있습니다. 

정상적인 포털 사이트에서 제공하는 결과창 하단에 생성된 광고바에서는 애드앤클릭(adnclick.com) 광고 서버에서 제공하는 광고가 전송되는 것을 확인할 수 있습니다. 

[추가 기능 관리 : 도구 모음 및 확장 프로그램]

 

이름 : linelink

유형 : 브라우저 도우미 개체

CLSID : {7E940C3A-C689-4C73-BDC8-47D97C4E6332}

파일 : C:\Program Files\linelink\linelinkb.dll

 

이름 : linelink

유형 : 탐색창

CLSID : {3D31E3A7-B253-4C85-BA3F-57BB2A399896}

파일 : C:\Program Files\linelink\linelink.dll

 

해당 프로그램은 Internet Explorer 웹 브라우저가 실행시 iexplore.exe 프로세스에 linelinkb.dll 파일을 브라우저 도우미 개체(BHO)로 등록하여 키워드 감시를 통한 웹 브라우저 하단에 광고바를 생성하는 동작을 합니다.

 

그러므로 광고 동작의 중지를 위해서는 웹 브라우저의 추가 기능 관리에 등록된 "linelink" 항목을 선택하여 "사용 안 함"으로 변경하시기 바랍니다. 

또한 광고창 생성 광고 기능의 중지를 위해서는 Windows 작업 관리자에서 ntop.exe 프로세스를 찾아 수동으로 종료하시기 바랍니다. 

프로그램 삭제시에는 Internet Explorer 웹 브라우저를 종료한 상태에서 제어판의 "Internet linelink Client" 삭제 항목을 이용하여 삭제할 수 있으며, 프로그램 삭제 후에는 추가적으로 "C:\Program Files\linelink" 폴더를 수동으로 삭제하시기 바랍니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\linelink
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - linelink = C:\Program Files\linelink\linelinke.exe
 - ntop = C:\Program Files\linelink\ntop.exe
HKEY_CURRENT_USER\Software\nolinelink
HKEY_CURRENT_USER\Software\ntop
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3D31E3A7-B253-4C85-BA3F-57BB2A399896}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7E940C3A-C689-4C73-BDC8-47D97C4E6332}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\linelink.one
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\linelink
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{7E940C3A-C689-4C73-BDC8-47D97C4E6332}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
linelink

 

해당 프로그램은 프로그램 목록에 제시되지 않는 문제로 설치 여부를 확인하기 어려우며, 생성되는 광고창(광고바)을 통해서는 어떤 프로그램을 통한 동작인지 확인이 어려우므로 주의하시기 바랍니다.

728x90
반응형