본문 바로가기

벌새::Analysis

[삭제] 엔터링(Entering)

728x90
반응형

빠른 실행, 즐겨찾기, 바탕 화면에 바로가기 아이콘을 생성하며, 프로그램 삭제 이후에도 정상적인 광고 행위가 지속되는 엔터링(Entering) 프로그램(MD5 : 75de1c4e7d813aed0b7328315ed96da0)에 대해 살펴보도록 하겠습니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Documents and Settings\(사용자 계정)\Application Data\Microsoft\Internet Explorer\Quick Launch\11번가바로가기.lnk
C:\Documents and Settings\(사용자 계정)\Application Data\Microsoft\Internet Explorer\Quick Launch\오락실게임바로가기.lnk
C:\Documents and Settings\(사용자 계정)\Application Data\Microsoft\Internet Explorer\Quick Launch\옥션바로가기.lnk
C:\Documents and Settings\(사용자 계정)\Application Data\Microsoft\Internet Explorer\Quick Launch\지마켓바로가기.lnk
C:\Documents and Settings\(사용자 계정)\Favorites\11번가.url
C:\Documents and Settings\(사용자 계정)\Favorites\GS샵.url
C:\Documents and Settings\(사용자 계정)\Favorites\디앤샵.url
C:\Documents and Settings\(사용자 계정)\Favorites\오락실게임.url
C:\Documents and Settings\(사용자 계정)\Favorites\옥션.url
C:\Documents and Settings\(사용자 계정)\Favorites\지마켓.url
C:\Documents and Settings\(사용자 계정)\Favorites\하프클럽.url
C:\Documents and Settings\(사용자 계정)\바탕 화면\11번가.lnk
C:\Documents and Settings\(사용자 계정)\바탕 화면\씨제이몰.lnk
C:\Documents and Settings\(사용자 계정)\바탕 화면\오락실게임.lnk
C:\Documents and Settings\(사용자 계정)\바탕 화면\옥션.lnk
C:\Documents and Settings\(사용자 계정)\바탕 화면\이마트.lnk
C:\Documents and Settings\(사용자 계정)\바탕 화면\지마켓.lnk
C:\Program Files\icons
C:\Program Files\icons\entering
C:\Program Files\icons\entering\entering.exe
C:\Program Files\icons\entering\history1.txt
C:\Program Files\icons\entering\history2.txt
C:\Program Files\icons\entering\history3.txt
C:\Program Files\icons\entering\uninst_entering.exe :: 프로그램 삭제 파일
C:\Program Files\icons\tmp
C:\Program Files\icons\tmp\11st.ico
C:\Program Files\icons\tmp\auction.ico
C:\Program Files\icons\tmp\cjmall.ico
C:\Program Files\icons\tmp\dnshop.ico
C:\Program Files\icons\tmp\emart.ico
C:\Program Files\icons\tmp\gmarket.ico
C:\Program Files\icons\tmp\gseshop.ico
C:\Program Files\icons\tmp\halfclub.ico
C:\Program Files\icons\tmp\playgames.ico
C:\WINDOWS\system32\entering-se.exe :: 서비스(Entering Service) 등록 파일
C:\WINDOWS\system32\enteringu.exe

 

엔터링(Entering) 프로그램은 "C:\Program Files\icons" 폴더 및 시스템 폴더에 실행 파일을 생성하며, "Entering Service" 서비스 항목을 등록하여 시스템 시작시 "C:\WINDOWS\system32\entering-se.exe" 파일을 자동 실행하도록 구성되어 있습니다.

 

자동 실행된 서비스 파일은 다음(Daum) 서버에 쿼리 전송을 통한 네트워크 연결 체크를 하며, "C:\WINDOWS\system32\enteringu.exe" 파일 실행을 통한 프로그램 버전 체크 및 "C:\Program Files\icons\entering\entering.exe" 파일 실행을 통한 바콘(Bacon) 정보를 확인하도록 제작되어 있습니다.

이를 통해 즐겨찾기, 바탕 화면, 빠른 실행 영역에 특정 광고 코드(click.clickstory.co.kr)로 연결되는 다수의 인터넷 쇼핑몰 및 상업적 사이트 관련 바로가기 아이콘을 생성합니다.

프로그램은 제어판의 "entering" 삭제 항목을 통해 정상적으로 삭제를 지원하는 것처럼 제작되어 있지만, 제어판을 통한 삭제에서는 다음의 폴더(파일)만을 삭제 처리합니다.

 

  • C:\Program Files\icons\entering
  • C:\Program Files\icons\entering\entering.exe
  • C:\Program Files\icons\entering\history1.txt
  • C:\Program Files\icons\entering\history2.txt
  • C:\Program Files\icons\entering\history3.txt
  • C:\Program Files\icons\entering\uninst_entering.exe

이로 인하여 프로그램 삭제 이후에도 서비스 실행 및 바로가기 아이콘을 통한 지속적인 수익 창출이 가능하므로, 제어판을 통한 삭제 이후에 다음과 같은 추가적인 절차를 통해 프로그램을 제거하시기 바랍니다.

 

(1) 실행창에 [sc delete "enteringservice"] 명령어를 입력하여 서비스를 삭제하시기 바랍니다.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ENTERINGSERVICE
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\enteringservice

(2) 다음의 폴더(파일), 레지스트리 값을 찾아 수동으로 삭제하시기 바랍니다.

 

  • C:\Documents and Settings\(사용자 계정)\Application Data\Microsoft\Internet Explorer\Quick Launch\11번가바로가기.lnk
  • C:\Documents and Settings\(사용자 계정)\Application Data\Microsoft\Internet Explorer\Quick Launch\오락실게임바로가기.lnk
  • C:\Documents and Settings\(사용자 계정)\Application Data\Microsoft\Internet Explorer\Quick Launch\옥션바로가기.lnk
  • C:\Documents and Settings\(사용자 계정)\Application Data\Microsoft\Internet Explorer\Quick Launch\지마켓바로가기.lnk
  • C:\Documents and Settings\(사용자 계정)\Favorites\11번가.url
  • C:\Documents and Settings\(사용자 계정)\Favorites\GS샵.url
  • C:\Documents and Settings\(사용자 계정)\Favorites\디앤샵.url
  • C:\Documents and Settings\(사용자 계정)\Favorites\오락실게임.url
  • C:\Documents and Settings\(사용자 계정)\Favorites\옥션.url
  • C:\Documents and Settings\(사용자 계정)\Favorites\지마켓.url
  • C:\Documents and Settings\(사용자 계정)\Favorites\하프클럽.url
  • C:\Documents and Settings\(사용자 계정)\바탕 화면\11번가.lnk
  • C:\Documents and Settings\(사용자 계정)\바탕 화면\씨제이몰.lnk
  • C:\Documents and Settings\(사용자 계정)\바탕 화면\오락실게임.lnk
  • C:\Documents and Settings\(사용자 계정)\바탕 화면\옥션.lnk
  • C:\Documents and Settings\(사용자 계정)\바탕 화면\이마트.lnk
  • C:\Documents and Settings\(사용자 계정)\바탕 화면\지마켓.lnk
  • C:\Program Files\icons
  • C:\Program Files\icons\tmp
  • C:\Program Files\icons\tmp\11st.ico
  • C:\Program Files\icons\tmp\auction.ico
  • C:\Program Files\icons\tmp\cjmall.ico
  • C:\Program Files\icons\tmp\dnshop.ico
  • C:\Program Files\icons\tmp\emart.ico
  • C:\Program Files\icons\tmp\gmarket.ico
  • C:\Program Files\icons\tmp\gseshop.ico
  • C:\Program Files\icons\tmp\halfclub.ico
  • C:\Program Files\icons\tmp\playgames.ico
  • C:\WINDOWS\system32\entering-se.exe
  • C:\WINDOWS\system32\enteringu.exe
[생성 레지스트리 등록 정보]

 

HKEY_LOCAL_MACHINE\SOFTWARE\entering
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer
 - entering_utkorea = 1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Application Compatibility
 - entig = (6자리 숫자)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\entering
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ENTERINGSERVICE
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\enteringservice

 

바로가기 아이콘을 생성하여 수익을 창출하는 광고 프로그램 중에는 제어판을 통한 프로그램 삭제 이후에도 제대로 삭제하지 않는 문제를 가진 프로그램이 상당수 존재하므로 주의하시기 바랍니다.

728x90
반응형