인터넷 검색시 웹 브라우저 상단에 광고바를 생성하며 프로그램 설치 및 삭제 과정에서 사용자 몰래 추가적인 프로그램을 등록하는 검색 도우미 "ezPlus V.1.0 for Windows" 프로그램에 대해 살펴보도록 하겠습니다.
해당 프로그램의 설치 파일(MD5 : 02cc1e9d8ed979bf11c1c5cb5eab7ce9)에 대하여 AhnLab V3 보안 제품에서는 PUP/Win32.EzPlus (VirusTotal : 6/41) 진단명으로 진단되고 있습니다.
C:\Program Files\Common Files\ezPlus
C:\Program Files\Common Files\ezPlus\ezPlus.dll :: BHO 등록 파일(이지플러스(ezPlus)_ezPlusbho)
C:\Program Files\Common Files\ezPlus\ezPlusDUDF.exe
C:\Program Files\Common Files\ezPlus\ezPlusP.dll :: BHO 등록 파일(이지플러스(ezPlus)_ezPlusbho Class)
C:\Program Files\Common Files\ezPlus\ezPlusSC.exe :: Windows ezPlus V.1.0 서비스 등록 파일
C:\Program Files\Common Files\ezPlus\ezPlusUDF.exe
C:\Program Files\Common Files\ezPlus\Uninstall.exe :: ezPlus V.1.0 for Windows 프로그램 삭제 파일
[생성 레지스트리 등록 정보]
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Windows ezPlus V.1.0
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{267C16E8-6C8A-4D45-9A61-33CE88A74DB3}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9FB30A80-CC8B-4275-B339-B3BD4BC8F110}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\EzPlus.ezPlusbho
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\EzPlus.ezPlusbho.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\EzPlusP.ezPlusPbho
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\EzPlusP.ezPlusPbho.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{08ADF327-67B5-4EC1-A1FC-A11D71DF383A}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{F89EA5FF-4FEB-4C5D-9B8F-240C099931BF}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{1CE6A78C-A4E9-442B-887F-58E28C5BFCF4}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{89F9952B-6470-4325-87BE-3A405808BE42}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{267C16E8-6C8A-4D45-9A61-33CE88A74DB3}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9FB30A80-CC8B-4275-B339-B3BD4BC8F110}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Windows ezPlus V.1.0
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_EZPLUS
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ezPlus
해당 프로그램은 사용자가 확인하기 어려운 "C:\Program Files\Common Files\ezPlus" 폴더에 파일을 생성하며, 설치된 ezPlus V.1.0 for Windows 프로그램은 "ezPlus(Windows ezPlus V.1.0)" 항목을 서비스에 등록하여 "C:\Program Files\Common Files\ezPlus\ezPlusSC.exe" 파일을 자동으로 실행하여 특정 서버로부터 추가적인 파일(nslog_blue1.exe)을 다운로드합니다.
다운로드된 파일은 "C:\WINDOWS\system32\nslog_blue1.exe" (MD5 : 3f16fd6f94ef48c019d246ad34d55391)에 생성되어, 사용자가 확인하기 어려운 숨김(H) 속성 폴더값을 가지는 "C:\Program Files\Common Files\Windows Favorites" 폴더에 파일을 생성하며 자가 삭제 처리됩니다.
C:\Documents and Settings\(사용자 계정)\Application Data\Microsoft\Internet Explorer\Quick Launch\11번가.url
C:\Documents and Settings\(사용자 계정)\Application Data\Microsoft\Internet Explorer\Quick Launch\G마켓.url
C:\Documents and Settings\(사용자 계정)\Application Data\Microsoft\Internet Explorer\Quick Launch\옥션.url
C:\Documents and Settings\(사용자 계정)\Favorites\11번가.url
C:\Documents and Settings\(사용자 계정)\Favorites\G마켓.url
C:\Documents and Settings\(사용자 계정)\Favorites\옥션.url
C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\Microsoft\Windows ezPlus V.1.0
C:\Documents and Settings\(사용자 계정)\바탕 화면\11번가.url
C:\Documents and Settings\(사용자 계정)\바탕 화면\G마켓.url
C:\Documents and Settings\(사용자 계정)\바탕 화면\옥션.url
C:\Documents and Settings\All Users\시작 메뉴\11번가.url
C:\Documents and Settings\All Users\시작 메뉴\G마켓.url
C:\Documents and Settings\All Users\시작 메뉴\옥션.url
C:\Documents and Settings\Default User\Favorites\11번가.url
C:\Documents and Settings\Default User\Favorites\G마켓.url
C:\Documents and Settings\Default User\Favorites\옥션.url
C:\Documents and Settings\Default User\바탕 화면\11번가.url
C:\Documents and Settings\Default User\바탕 화면\G마켓.url
C:\Documents and Settings\Default User\바탕 화면\옥션.url
C:\Program Files\Common Files\Windows Favorites :: 숨김(H) 속성 폴더
C:\Program Files\Common Files\Windows Favorites\ezLink_svc.exe :: Windows Favorites ezLink 서비스 등록 파일
C:\Program Files\Common Files\Windows Favorites\ezLink.exe
C:\Program Files\Common Files\Windows Favorites\ezLinkcfg.exe
C:\Program Files\Common Files\Windows Favorites\win_res
C:\WINDOWS\system32\11st.ico
C:\WINDOWS\system32\auction.ico
C:\WINDOWS\system32\gmarket.ico
[생성 레지스트리 등록 정보]
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Windows Favorites ezLink
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_EZLINK
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ezLink
이렇게 추가적으로 설치된 프로그램(Windows Favorites)은 설치 카운터(Counter) 체크 및 "ezLink(Windows Favorites ezLink)" 항목을 서비스에 등록하여 "C:\Program Files\Common Files\Windows Favorites\ezLink_svc.exe"을 자동으로 실행하여 광고 구성값을 받아오는 동작을 확인할 수 있습니다.
이렇게 설치된 최종적인 프로그램 폴더를 확인해보면 ezPlus V.1.0 for Windows 프로그램을 통해 설치된 "C:\Program Files\Common Files\ezPlus" 폴더 이외에 추가적으로 설치된 Windows Favorites 프로그램은 사용자가 찾지 못하도록 숨김(H) 속성값을 가진 "C:\Program Files\Common Files\Windows Favorites" 폴더에 생성된 것을 확인할 수 있습니다.
1. ezPlus V.1.0 for Windows 프로그램(C:\Program Files\Common Files\ezPlus)
ezPlus V.1.0 for Windows 프로그램은 "ezPlus(Windows ezPlus V.1.0)" 서비스 항목을 등록하여 시스템 시작시 "C:\Program Files\Common Files\ezPlus\ezPlusSC.exe" 파일을 자동으로 실행하며, 해당 파일은 "C:\Program Files\Common Files\ezPlus\ezPlusDUDF.exe" 파일을 추가로 실행하여 특정 서버로부터 업데이트 정보를 체크하도록 구성되어 있습니다.
프로그램이 설치된 환경에서 Internet Explorer 웹 브라우저를 실행할 경우, 특정 서버에서 광고 구성값을 체크하는 동작을 확인할 수 있습니다.
광고 동작을 확인해보면 Internet Explorer 웹 브라우저 주소 표시줄에 11번가, G마켓, 옥션 검색어를 입력하여 연결을 시도할 경우 특정 광고 코드(cl.ilikeclick.com)가 추가되는 동작을 확인할 수 있습니다.
또한 특정 검색 키워드 값을 이용한 인터넷 검색시 웹 브라우저 상단에 추가 검색 정보 사이트 관련 광고바가 생성되는 동작을 확인할 수 있습니다.
이름 : 이지플러스(ezPlus)_ezPlusbho
게시자 : Nbiz Solution
유형 : 브라우저 도우미 개체
CLSID : {267C16E8-6C8A-4D45-9A61-33CE88A74DB3}
파일 : C:\Program Files\Common Files\ezPlus\ezPlus.dll
이름 : 이지플러스(ezPlus)_ezPlusbho Class
게시자 : Nbiz Solution
유형 : 브라우저 도우미 개체
CLSID : {9FB30A80-CC8B-4275-B339-B3BD4BC8F110}
파일 : C:\Program Files\Common Files\ezPlus\ezPlusP.dll
해당 프로그램은 Internet Explorer 웹 브라우저 실행시 iexplore.exe 프로세스에 ezPlus.dll, ezPlusP.dll 2개의 모듈을 브라우저 도우미 개체(BHO)로 등록하며, 사용자 키워드 감시를 통해 "이지플러스(ezPlus)_ezPlusbho" 항목을 통해 웹 브라우저 상단에 광고바 생성 등의 광고 동작을 합니다.
그러므로 광고 동작의 중지를 위해서는 웹 브라우저의 추가 기능 관리에 등록된 "이지플러스(ezPlus)_ezPlusbho", "이지플러스(ezPlus)_ezPlusbho Class" 2개의 항목을 선택하여 "사용 안 함"으로 변경하시기 바랍니다.
2. Windows Favorites 프로그램(C:\Program Files\Common Files\Windows Favorites)
Windows Favorites 프로그램은 "ezLink(Windows Favorites ezLink)" 서비스 항목을 등록하여 시스템 시작시 "C:\Program Files\Common Files\Windows Favorites\ezLink_svc.exe" 파일을 자동으로 실행하도록 하였으며, 이를 통해 "C:\Program Files\Common Files\Windows Favorites\ezLinkcfg.exe" 파일을 실행하여 업데이트 체크를 하도록 제작되어 있습니다.
설치된 프로그램은 빠른 실행, 즐겨찾기, 바탕 화면, 시작 메뉴에 11번가, G마켓, 옥션 바로가기 아이콘을 등록하며, 해당 아이콘을 이용하여 인터넷 쇼핑몰 접속시 광고 코드(cl.ilikeclick.com)가 추가되도록 설정되어 있습니다.
특히 해당 프로그램은 프로그램 상에서 삭제 기능을 제공하지 않으므로 지속적인 수익 창출이 가능하도록 제작되어 있습니다.
3. 제어판을 통한 "ezPlus V.1.0 for Windows" 프로그램 삭제 문제
해당 프로그램은 제어판을 통해 ezPlus V.1.0 for Windows 프로그램(C:\Program Files\Common Files\ezPlus)은 삭제할 수 있도록 지원하고 있습니다.
하지만 프로그램 삭제 과정에서 삭제 파일(C:\Program Files\Common Files\ezPlus\Uninstall.exe)을 이용하여 사용자 몰래 "C:\Program Files\Common Files\ezPlus Remove" 폴더 및 파일을 추가하는 동작을 확인할 수 있습니다.
C:\Program Files\Common Files\ezPlus Remove :: 숨김(H) 속성 폴더
C:\Program Files\Common Files\ezPlus Remove\ezPlusR.dll :: BHO 등록 파일(Windows Internet Helper Object ezPlus)
[생성 레지스트리 등록 정보]
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B405CBE8-9185-4E2B-B2CB-AABFBD3F26AB}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\EzPlusR.ezPlusRbho
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\EzPlusR.ezPlusRbho.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{252FE8A8-1FAD-4629-88EF-D280AE808D97}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{D85B68BD-DA25-4F40-A2BC-136D43592DA4}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{B405CBE8-9185-4E2B-B2CB-AABFBD3F26AB}
결국 ezPlus V.1.0 for Windows 프로그램 삭제를 한 이후에는 사용자가 확인할 수 없도록 숨김(H) 속성값을 가지는 "C:\Program Files\Common Files\ezPlus Remove", "C:\Program Files\Common Files\Windows Favorites" 폴더에 생성된 파일을 통해 지속적으로 광고 동작이 이루어지게 됩니다.
이름 : Windows Internet Helper Object ezPlus
유형 : 브라우저 도우미 개체
CLSID : {B405CBE8-9185-4E2B-B2CB-AABFBD3F26AB}
파일 : C:\Program Files\Common Files\ezPlus Remove\ezPlusR.dll
사용자 몰래 추가로 설치된 ezPlus Remove 프로그램은 Internet Explorer 웹 브라우저 실행시 iexplore.exe 프로세스에 ezPlusR.dll 모듈을 추가하여 광고 동작을 하도록 구성되어 있습니다.
그러므로 해당 광고 동작의 중지를 위해서는 웹 브라우저의 추가 기능 관리에 등록된 "Windows Internet Helper Object ezPlus" 항목을 선택하여 "사용 안 함"으로 변경하시기 바랍니다.
또한 해당 프로그램 역시 정상적인 삭제 기능을 제공하지 않고 있으므로 수동으로 폴더(파일), 레지스트리 값을 찾아 제거하시기 바랍니다.
이번 사례와 같이 일부 광고 프로그램의 경우 제어판에서 제공되는 삭제 기능을 이용할 경우 설치된 프로그램을 삭제하면서 또 다른 파일을 몰래 설치하는 경우가 있으므로 되도록 광고 프로그램은 수동 삭제를 하시는 것이 안전할 때도 있어 보입니다. 