국내에서 제작된 SignKey 검색 도우미 프로그램이 설치된 환경에서 인터넷 검색시 자동 생성되는 CJ오클락 웹 사이트에 표시된 "오클락(O'Clock) 바로가기 서비스" 창을 통해 추가적으로 설치될 수 있는 oclock 광고 프로그램에 대해 살펴보도록 하겠습니다.
사용자가 광고창에 표시된 오클락 바로가기 설정 버튼을 클릭할 경우 추가적인 파일<SHA-1 : d11a0a12cdeb3ee323a398c85e56ed264a78a302 - Avira : Adware/FunFunFun.2 (VT : 16/50)> 다운로드를 통해 설치가 이루어질 수 있으며, SignKey 검색 도우미 프로그램이 설치된 환경에서는 "C:\Users\(사용자 계정)\AppData\Local\signkey\signkeyexa.exe" 파일이 "C:\Users\(사용자 계정)\AppData\Local\Temp\oclock_setup.exe" 파일<SHA-1 : 555211a2d40ac27f379654304e47495d07c027b0 - BitDefender : Spyware.3825 (VT : 10/51)> 생성 및 실행을 통해 설치가 이루어지고 있습니다.
C:\Program Files\oclock
C:\Program Files\oclock\check.ini
C:\Program Files\oclock\Config.ini
C:\Program Files\oclock\Data
C:\Program Files\oclock\Data\bg.png
C:\Program Files\oclock\Data\HappyIcon.dat
C:\Program Files\oclock\Data\main_bg.bmp
C:\Program Files\oclock\Data\Thumbs.db
C:\Program Files\oclock\dconchecker.exe
C:\Program Files\oclock\desktopicon
C:\Program Files\oclock\Dynamic
C:\Program Files\oclock\Dynamic\Config.ini
C:\Program Files\oclock\Dynamic\HappyIcon.dat
C:\Program Files\oclock\Dynamic\main_bg.bmp
C:\Program Files\oclock\Dynamic\Thumbs.db
C:\Program Files\oclock\EULA.txt
C:\Program Files\oclock\imi
C:\Program Files\oclock\imi\check.php
C:\Program Files\oclock\imi\Config.ini
C:\Program Files\oclock\imi\data0.bmp
C:\Program Files\oclock\imi\data1.bmp
C:\Program Files\oclock\imi\data2.bmp
C:\Program Files\oclock\imi\data3.bmp
C:\Program Files\oclock\imi\HappyIcon.dat
C:\Program Files\oclock\imi\Link.ini
C:\Program Files\oclock\Install.ini
C:\Program Files\oclock\MainOpen_oclock.exe :: 바탕 화면 광고 생성 파일
C:\Program Files\oclock\MFC71.dll
C:\Program Files\oclock\msvcp71.dll
C:\Program Files\oclock\msvcr71.dll
C:\Program Files\oclock\msvcr71d.dll
C:\Program Files\oclock\oclock.exe :: 시작 프로그램 등록 파일, 메모리 상주 프로세스
C:\Program Files\oclock\Show_desktop.scf
C:\Program Files\oclock\uninst.exe :: 프로그램 삭제 파일
C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\oclock
C:\Program Files\oclock\oclock.exe
- SHA-1 : 89f66b1f2bf8229e67dc665979f1f2e56466f713
- Avira : Adware/FunFunFun.2 (VT : 16/51)
해당 프로그램은 "C:\Program Files\oclock" 폴더에 파일을 생성하며, Windows 시작시 "C:\Program Files\oclock\oclock.exe" 파일을 시작 프로그램으로 등록하여 자동 실행 및 메모리에 상주하도로 구성되어 있습니다.
▷ <Right Security Blog> 검색 도우미 : FunTop - Windows Title bar Info Service (2011.4.12)
▷ 검색 도우미 : FunTop - Windows Dynamic ShortCut (2011.4.23)
생성된 파일 구성을 보면 기존의 FunTop 시리즈 광고 프로그램과 유사성이 강하므로 참고하시기 바랍니다.
이를 통해 자동 실행된 oclock.exe 파일은 특정 서버로부터 파일을 추가 다운로드하여 "C:\Program Files\oclock\imi" 폴더 내의 파일을 업데이트 합니다.
프로그램이 설치된 환경에서는 바탕 화면 우측 상단 영역에 "CJ가 만든 소셜커머스" 광고 아이콘(※ 해당 아이콘은 바로가기 아이콘처럼 삭제할 수 없습니다.)이 생성되며, 사용자가 마우스를 위치할 경우 "C:\Program Files\oclock\MainOpen_oclock.exe" 파일(SHA-1 : ce489c4b42f3ce2258c4b7219ce1f98a6e6d60e5)을 추가 로딩하여 특정 서버에서 불러온 광고 배너가 노출되는 방식으로 동작하며 마우스를 이동시 MainOpen_oclock.exe 프로세스가 종료되어 광고 배너는 사라집니다.
바탕 화면에 생성된 광고 아이콘을 종료하기 위해서는 Windows 작업 관리자를 실행하여 oclock.exe 프로세스를 종료하시기 바랍니다.
프로그램 삭제는 제어판에 등록된 "oclock" 삭제 항목을 이용하여 삭제할 수 있습니다.
HKEY_CURRENT_USER\Software\YJOON
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\oclock.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- oclock = C:\Program Files\oclock\oclock.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\oclock
HKEY_LOCAL_MACHINE\SOFTWARE\YJOON
이번 사례와 같이 일부 광고 프로그램이 설치된 환경에서 노출되는 광고창을 통해 추가적인 광고 프로그램의 설치 유도 행위가 발생할 수 있으므로 주의하시기 바랍니다.