자동으로 광고창 생성 및 포털 사이트 검색 영역에 광고 배너를 생성할 수 있는 국내에서 제작된 InnerLink 광고 프로그램(SHA-1 : ba79fd99d82a876b21c4683806273aa9db2b2086 - BitDefender : Gen:Variant.Graftor.290338)에 대해 살펴보도록 하겠습니다.
해당 광고 프로그램은 설치 시 특정 추가 명령어(/Skip)가 추가되어야 정상적으로 설치되며, 특히 가상 환경, 네트워크 분석툴, 체크잇(CheckIt) 등의 분석 환경을 체크하여 핵심 파일 생성 및 실행 여부를 결정하도록 제작되어 있습니다.
생성 폴더 / 파일 등록 정보 |
C:\Users\%UserName%\AppData\Local\InnerLink
|
생성 파일 진단 정보 |
C:\Users\%UserName%\AppData\Local\InnerLink\InnerToast.exe
C:\Users\%UserName%\AppData\Local\InnerLink\ts_bcon.dll
C:\Users\%UserName%\AppData\Local\InnerLink\ts_top.dll
C:\Users\%UserName%\AppData\Local\InnerLink\ts_web.dll
C:\Users\%UserName%\AppData\Roaming\Windows InnerLink\InnerConf.exe
C:\Users\%UserName%\AppData\Roaming\Windows InnerLink\uninst.exe
|
GeoCube, PioneerSoft 2종의 디지털 서명이 포함된 InnerLink 광고 프로그램은 다음과 같은 2개의 폴더에 파일을 각각 생성합니다.
- C:\Users\%UserName%\AppData\Local\InnerLink
- C:\Users\%UserName%\AppData\Roaming\Windows InnerLink
"Windows Service InnerLink (표시 이름 : Windows Service InnerLink)" 서비스 항목을 등록하여 시스템 시작 시 "C:\Users\%UserName%\AppData\Roaming\Windows InnerLink\InnerLinkServ.exe" 파일(SHA-1 : 06bcb0137fb9c5c475324bbaf320e32ef7bdf64b)을 자동 실행한 후 메모리에 상주시킵니다.
또한 Windows 시작 시 RunOnce 시작 프로그램 영역에 InnerLink 등록값을 추가하여 "C:\Users\%UserName%\AppData\Roaming\Windows InnerLink\InnerConf.exe" 파일을 자동 실행하여 광고 기능을 수행하는 "C:\Users\%UserName%\AppData\Local\InnerLink\InnerToast.exe" 파일을 로딩하여 메모리에 상주시킵니다.
InnerLink 광고 프로그램이 설치된 경우 1일 단위로 바탕 화면 중앙 및 좌측 시작 버튼 상단 영역에 구글 애드센스(Google AdSense) 광고 배너를 생성할 수 있습니다.
특히 핵심적인 광고 기능을 수행하는 광고 모듈(ts_bcon.dll, ts_top.dll, ts_web.dll)을 통해 다음과 같은 광고 행위가 이루어질 수 있습니다.
우선 바탕 화면 영역에 "덕혜옹주 다운로드" 바로 가기 아이콘 생성을 통해 클릭 시 특정 웹하드 제휴 아이디가 추가된 형태로 회원 가입을 유도할 수 있습니다.
또한 메모리에 상주하는 InnerToast.exe 파일은 자동으로 다양한 사이트 연결을 통해 광고창을 생성할 수 있으며, 해당 연결 시 "click.dotmap.co.kr" 제휴 코드가 포함된 상태로 연결이 이루어질 수 있습니다.
특히 인터넷 검색 시 특정 키워드 값에 따라 포털 사이트 검색 영역 우측 하단에 광고 배너를 일정 시간 생성하여 클릭을 유도하는 행위가 있으며, 광고 배너에는 서비스 제공자가 표시되어 있지 않은 문제로 포털 사이트에서 제공하는 광고로 착각할 수 있습니다.
생성된 광고 배너를 클릭할 경우 "click.dotmap.co.kr" 광고 서버에서 키워드 정보를 포함하여 광고 배너에서 표시하는 사이트로 접속이 이루어지는 방식으로 연결됩니다.
■ InnerLink 광고 프로그램 제거 방법
InnerLink 광고 프로그램은 제어판을 통한 제거 기능을 제공하는 것처럼 표시되어 있지만, 실제로는 "C:\Users\%UserName%\AppData\Local\InnerLink" 파일만 삭제하고 "C:\Users\%UserName%\AppData\Roaming\Windows InnerLink" 폴더는 그대로 유지되어 부팅 시마다 자동 실행되도록 구성되어 있습니다.
(a) 명령 프롬프트(관리자)를 실행하여 sc stop "Windows Service InnerLink" 명령어를 입력 및 실행하여 InnerLinkServ.exe 서비스 파일을 자동 종료합니다.
(b) 작업 관리자를 실행하여 메모리에 상주하는 InnerToast.exe 프로세스를 종료하시기 바랍니다.
(c) 제어판의 프로그램 및 기능 또는 체크잇(CheckIt : www.checkitinfo.com) 프로그램에 등록된 InnerLink 프로그램을 찾아 제거(C:\Users\%UserName%\AppData\Local\InnerLink\uninstall.exe)하시기 바랍니다.
(d) "C:\Users\%UserName%\AppData\Roaming\Windows InnerLink\uninst.exe" 파일을 찾아 직접 실행하시면 이너링크(InnerLink) 프로그램을 추가적으로 제거할 수 있습니다.
(e) 프로그램 제거 후 다음의 폴더 및 파일을 추가적으로 제거하시기 바랍니다.
- C:\Users\%UserName%\AppData\Roaming\Windows InnerLink
- C:\Users\%UserName%\Desktop\덕혜옹주 다운로드.url
생성 레지스트리 등록 정보 |
HKEY_CURRENT_USER\SOFTWARE\InnerLink
|
InnerLink 광고 프로그램은 기본적으로 프로그램에서 제공하는 제거 기능을 관련 파일이 삭제되지 않으며, 특히 포털 사이트 검색 화면에 광고 배너를 직접적으로 노출시켜 사이트 접속을 유도하고 있으므로 설치되지 않도록 각별히 주의하시기 바랍니다.