Internet Explorer 웹 브라우저의 주소 표시줄에 검색어를 입력하여 검색을 시도할 경우 특정 검색 서버로 연결이 이루어질 것으로 추정되는 검색 도우미 honorzone 프로그램<MD5 : aeb42dff3298798f3f2035683d996eea - ESET : a variant of Win32/Adware.Kraddare.HO (VT : 22/49)>에 대해 살펴보도록 하겠습니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Users\(사용자 계정)\AppData\Roaming\honorzone
C:\Users\(사용자 계정)\AppData\Roaming\honorzone\honorzone.dll :: BHO 등록 파일
C:\Users\(사용자 계정)\AppData\Roaming\honorzone\honorzone.exe :: 시작 프로그램 등록 파일, 예약 작업(Windowshonorzone) 등록 파일
C:\Users\(사용자 계정)\AppData\Roaming\honorzone\uninstall.exe :: 프로그램 삭제 파일
C:\Windows\System32\Tasks\Windowshonorzone

 

[생성 파일 진단 정보]

 

C:\Users\(사용자 계정)\AppData\Roaming\honorzone\honorzone.dll
 - MD5 : 4243da698231d2d7161306b0321d3928
 - avast! : Win32:Downloader-SVI [Trj] (VT : 4/48)

 

C:\Users\(사용자 계정)\AppData\Roaming\honorzone\honorzone.exe
 - MD5 : c1aa3e00e95d34e7e0e44b9714d928be
 - avast! : Win32:Adware-gen [Adw] (VT : 18/47)

 

해당 프로그램은 "C:\Users\(사용자 계정)\AppData\Roaming\honorzone" 폴더에 파일을 생성하며 시스템 시작시 다음과 같은 동작을 수행합니다.

 

1. 예약 작업(Windowshonorzone) 등록 파일

시스템 시작시 예약 작업에 등록된 "Windowshonorzone" 작업 스케줄러 항목을 통해 ["C:\Users\(사용자 계정)\AppData\Roaming\honorzone\honorzone.exe" schcmd] 파일을 자동 실행하도록 구성되어 있습니다.

자동 실행된 honorzone.exe 파일은 특정 서버로부터 프로그램 업데이트 정보를 체크합니다.

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
 - honor = "C:\Users\(사용자 계정)\AppData\Roaming\honorzone\honorzone.exe" Runcmd

또한 Windows 부팅시마다 시작 프로그램(RunOnce) 영역에 honor 항목을 반복적으로 생성하여 honorzone.exe 파일이 자동 실행되도록 등록합니다.

 

2. 시작 프로그램(honorzone) 등록 파일

Windows 부팅시 ["C:\Users\(사용자 계정)\AppData\Roaming\honorzone\honorzone.exe" subcmd] 파일을 시작 프로그램으로 등록하여 자동 실행되어 또 다른 업데이트 정보를 체크합니다.

 

3. 기본적인 광고 동작

honorzone 프로그램이 설치된 환경에서는 사용자가 Internet Explorer 웹 브라우저를 실행할 경우 브라우저 도우미 개체(BHO)로 등록된 "C:\Users\(사용자 계정)\AppData\Roaming\honorzone\honorzone.dll" 파일은 특정 검색 관련 정보를 체크합니다.

 

이를 통해 Internet Explorer 웹 브라우저의 주소 표시줄에 검색어를 입력시 "h**p://www.cooolbuy.asia/search_result.php?search=" 검색 서버에 검색어를 전송할 것으로 추정되며, 테스트 당시에는 정상적으로 서버 연결이 이루어지지 않고 있습니다.

[추가 기능 관리 : 도구 모음 및 확장 프로그램]

 

이름 : Honorzone SubTap

게시자 : honorzone

유형 : 브라우저 도우미 개체

CLSID : {A599A91D-88AE-4561-939B-EEE293665C75}

파일 : C:\Users\(사용자 계정)\AppData\Roaming\honorzone\honorzone.dll

 

해당 광고 동작은 Internet Explorer 웹 브라우저 실행시 브라우저 도우미 개체(BHO)로 등록된 honorzone.dll 파일을 통해 이루어지므로, 광고 동작 중지 및 프로그램 삭제시에는 웹 브라우저의 추가 기능 관리에 등록된 "Honorzone SubTap" 항목을 선택하여 "사용 안 함"으로 변경하시기 바랍니다.

 

4. 프로그램 삭제 방법

프로그램 삭제시에는 Internet Explorer 웹 브라우저를 종료한 상태에서 제어판에 등록된 "honorzone" 삭제 항목을 이용하여 삭제할 수 있으며, 프로그램 삭제 후에는 레지스트리 편집기(regedit)를 실행하여 다음의 레지스트리 값을 추가적으로 삭제하시기 바랍니다.

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
 - honor = "C:\Users\(사용자 계정)\AppData\Roaming\honorzone\honorzone.exe" Runcmd
[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\honorzone
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - honorzone = "C:\Users\(사용자 계정)\AppData\Roaming\honorzone\honorzone.exe" subcmd
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
 - honor = "C:\Users\(사용자 계정)\AppData\Roaming\honorzone\honorzone.exe" Runcmd
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\{4DCE947D-3040-4F5F-9390-7C057C1BD755}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\honorzone_dll.DLL
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A599A91D-88AE-4561-939B-EEE293665C75}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\honorzone_dll.honorzone_Obj
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\honorzone_dll.honorzone_Obj.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{7A6C382C-8E16-424B-B312-D29286CBAA80}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{B57F0BF3-3450-40C9-BB5D-ABA8FFB75D53}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{A599A91D-88AE-4561-939B-EEE293665C75}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
honorzone uninstall
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{A01F29CD-ECE0-4262-A7C4-52BE1AD540C6}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Windowshonorzone

 

honorzone 검색 도우미 프로그램은 운영 주체를 확인하기 어려우며, 프로그램 설치로 인하여 인터넷 검색시 검색 키워드 값을 외부의 다른 검색 엔진에 전송하여 불필요한 트래픽을 유발할 수 있으므로 프로그램이 설치되지 않도록 주의하시기 바랍니다.

블로그 이미지

울지않는 벌새

울지않는벌새가 되고 싶은 나..