본문 바로가기

벌새::Analysis

[삭제] FlashLinker

728x90
반응형

빠른 실행, 즐겨찾기, 바탕 화면에 바로가기 아이콘을 등록하며, 프로그램 삭제시 정상적으로 삭제되지 않고 지속적인 수익 활동을 하는 검색 도우미 FlashLinker 프로그램에 대해 살펴보도록 하겠습니다.

 

해당 프로그램의 설치 파일(MD5 : a751c4108b89c79ebc99cca55e7c3537)에 대하여 Hauri ViRobot 보안 제품에서는 Adware.Agent.126992.B (VT : 8/47) 진단명으로 진단되고 있습니다.

 

  [삭제] 엔터링(Entering) (2012.11.7)

 

또한 기존의 유사한 기능을 가진 엔터링(Entering) 프로그램이 존재하였으므로 참고하시기 바랍니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Documents and Settings\(사용자 계정)\Application Data\Microsoft\Internet Explorer\Quick Launch\11번가바로가기.lnk
C:\Documents and Settings\(사용자 계정)\Application Data\Microsoft\Internet Explorer\Quick Launch\섹시유머바로가기.lnk
C:\Documents and Settings\(사용자 계정)\Application Data\Microsoft\Internet Explorer\Quick Launch\옥션바로가기.lnk
C:\Documents and Settings\(사용자 계정)\Application Data\Microsoft\Internet Explorer\Quick Launch\지마켓바로가기.lnk
C:\Documents and Settings\(사용자 계정)\Favorites\11번가.url
C:\Documents and Settings\(사용자 계정)\Favorites\GS샵.url
C:\Documents and Settings\(사용자 계정)\Favorites\디앤샵.url
C:\Documents and Settings\(사용자 계정)\Favorites\섹시유머.url
C:\Documents and Settings\(사용자 계정)\Favorites\옥션.url
C:\Documents and Settings\(사용자 계정)\Favorites\지마켓.url
C:\Documents and Settings\(사용자 계정)\Favorites\하프클럽.url
C:\Documents and Settings\(사용자 계정)\바탕 화면\11번가.lnk
C:\Documents and Settings\(사용자 계정)\바탕 화면\섹시유머.lnk
C:\Documents and Settings\(사용자 계정)\바탕 화면\씨제이몰.lnk
C:\Documents and Settings\(사용자 계정)\바탕 화면\옥션.lnk
C:\Documents and Settings\(사용자 계정)\바탕 화면\이마트.lnk
C:\Documents and Settings\(사용자 계정)\바탕 화면\지마켓.lnk
C:\Program Files\icons
C:\Program Files\icons\flashlinker
C:\Program Files\icons\flashlinker\flashlinker.exe
C:\Program Files\icons\flashlinker\history1.txt
C:\Program Files\icons\flashlinker\history2.txt
C:\Program Files\icons\flashlinker\history3.txt
C:\Program Files\icons\flashlinker\uninst_flashlinker.exe :: 프로그램 삭제 파일
C:\Program Files\icons\tmp
C:\Program Files\icons\tmp\11st.ico
C:\Program Files\icons\tmp\auction.ico
C:\Program Files\icons\tmp\cjmall.ico
C:\Program Files\icons\tmp\dnshop.ico
C:\Program Files\icons\tmp\emart.ico
C:\Program Files\icons\tmp\gmarket.ico
C:\Program Files\icons\tmp\gseshop.ico
C:\Program Files\icons\tmp\halfclub.ico
C:\Program Files\icons\tmp\icon_30.ico
C:\WINDOWS\system32\flashlinker-se.exe :: 서비스(flashlinkerservice) 등록 파일
C:\WINDOWS\system32\flashlinkeru.exe

 

[생성 파일 진단 정보]

 

C:\Program Files\icons\flashlinker\flashlinker.exe
 - MD5 : 48fa2715ef96391d2f32ff88ea50c655
 - Hauri ViRobot : Adware.Agent.132616 (VT : 8/47)

 

C:\WINDOWS\system32\flashlinkeru.exe
 - MD5 : f55c3c9d898bcae180c481d0f0d80955
 - MSE : Rogue:Win32/Onescan (VT : 25/47)

해당 프로그램은 "C:\Program Files\icons" 폴더와 시스템 폴더(C:\WINDOWS\system32)에 주요 실행 파일을 생성하며, 시스템 시작시 다음과 같은 추가적인 동작을 확인할 수 있습니다.

"flashlinkerservice(Flashlinker Service)" 서비스 항목을 등록하여 시스템 시작시 "C:\WINDOWS\system32\flashlinker-se.exe" 파일을 자동 실행하며, 실행된 파일은 다음(Daum) 서버에 쿼리 전송을 통한 인터넷 연결 체크 및 "C:\WINDOWS\system32\flashlinkeru.exe" 파일을 추가적으로 로딩하도록 구성되어 있습니다.

이를 통해 실행된 flashlinkeru.exe 파일은 프로그램 버전 체크 및 제휴(스폰서) 프로그램 정보를 확인합니다.

만약 등록된 프로그램이 존재할 경우 특정 시점에서는 그림과 유사한 업데이트 창을 생성하여 다수의 수익성 프로그램들을 사용자의 부주의한 동의 과정을 거쳐 설치할 수 있으므로 주의하시기 바랍니다.

 

또한 "C:\Program Files\icons\flashlinker\flashlinker.exe" 파일을 실행하여 바로가기 아이콘 관련 정보를 체크한 후 자동으로 종료됩니다.

프로그램이 설치된 환경에서는 빠른 실행, 즐겨찾기, 바탕 화면에 다수의 인터넷 쇼핑몰 바로가기 아이콘을 등록하여, 해당 아이콘을 통해 웹 사이트에 접속할 경우 특정 광고 서버를 경유하여 제휴 코드가 추가됩니다.

프로그램 삭제는 제어판에 등록된 "flashlinker" 삭제 항목을 이용하여 삭제할 수 있으며, 프로그램 삭제 이후에도 빠른 실행, 즐겨찾기, 바탕 화면에 생성한 바로가기 아이콘은 삭제되지 않는 문제가 있습니다.

특히 "flashlinkerservice(Flashlinker Service)" 서비스 항목이 삭제되지 않고 시스템 시작시 정상적인 동작이 이루어지므로, 제어판을 통한 프로그램 삭제 이후에는 다음과 같은 절차에 따라 추가적인 삭제를 진행하시기 바랍니다.

 

(1) 실행창에 [sc delete "flashlinkerservice"] 명령어를 입력 및 실행하여 등록된 서비스를 삭제하시기 바랍니다.

 

(2) 다음의 폴더(파일)을 찾아 수동으로 삭제하시기 바라며, 레지스트리 편집기(regedit)를 실행하여 생성된 레지스트리 값이 존재한지 점검하시기 바랍니다.

 

  • C:\Documents and Settings\(사용자 계정)\Application Data\Microsoft\Internet Explorer\Quick Launch\11번가바로가기.lnk
  • C:\Documents and Settings\(사용자 계정)\Application Data\Microsoft\Internet Explorer\Quick Launch\섹시유머바로가기.lnk
  • C:\Documents and Settings\(사용자 계정)\Application Data\Microsoft\Internet Explorer\Quick Launch\옥션바로가기.lnk
  • C:\Documents and Settings\(사용자 계정)\Application Data\Microsoft\Internet Explorer\Quick Launch\지마켓바로가기.lnk
  • C:\Documents and Settings\(사용자 계정)\Favorites\11번가.url
  • C:\Documents and Settings\(사용자 계정)\Favorites\GS샵.url
  • C:\Documents and Settings\(사용자 계정)\Favorites\디앤샵.url
  • C:\Documents and Settings\(사용자 계정)\Favorites\섹시유머.url
  • C:\Documents and Settings\(사용자 계정)\Favorites\옥션.url
  • C:\Documents and Settings\(사용자 계정)\Favorites\지마켓.url
  • C:\Documents and Settings\(사용자 계정)\Favorites\하프클럽.url
  • C:\Documents and Settings\(사용자 계정)\바탕 화면\11번가.lnk
  • C:\Documents and Settings\(사용자 계정)\바탕 화면\섹시유머.lnk
  • C:\Documents and Settings\(사용자 계정)\바탕 화면\씨제이몰.lnk
  • C:\Documents and Settings\(사용자 계정)\바탕 화면\옥션.lnk
  • C:\Documents and Settings\(사용자 계정)\바탕 화면\이마트.lnk
  • C:\Documents and Settings\(사용자 계정)\바탕 화면\지마켓.lnk
  • C:\Program Files\icons
  • C:\Program Files\icons\tmp
  • C:\Program Files\icons\tmp\11st.ico
  • C:\Program Files\icons\tmp\auction.ico
  • C:\Program Files\icons\tmp\cjmall.ico
  • C:\Program Files\icons\tmp\dnshop.ico
  • C:\Program Files\icons\tmp\emart.ico
  • C:\Program Files\icons\tmp\gmarket.ico
  • C:\Program Files\icons\tmp\gseshop.ico
  • C:\Program Files\icons\tmp\halfclub.ico
  • C:\Program Files\icons\tmp\icon_30.ico
  • C:\WINDOWS\system32\flashlinker-se.exe
  • C:\WINDOWS\system32\flashlinkeru.exe
[생성 레지스트리 등록 정보]

 

HKEY_LOCAL_MACHINE\SOFTWARE\flashlinker
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer
 - flashlinker_pop = 1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Application Compatibility
 - fshlk = (6자리 숫자)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\flashlinker
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_FLASHLINKERSERVICE
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\flashlinkerservice

 

해당 프로그램은 차후 업데이트 창을 통해 원치 않는 수익성 프로그램의 설치를 유도할 수 있으며, 프로그램 삭제 이후에도 바로가기 아이콘을 삭제하지 않는 방식으로 지속적인 수익 창출이 가능하므로 주의하시기 바랍니다.

728x90
반응형