본문 바로가기

벌새::Analysis

바로 가기 아이콘 생성 프로그램 : FVPlus

반응형

바탕 화면, 즐겨찾기 영역에 인터넷 쇼핑몰 바로 가기 아이콘을 생성하는 국내에서 제작된 FVPlus 광고 프로그램에 대해 살펴보도록 하겠습니다.

 

 

해당 광고 프로그램은 기존의 인터넷 쇼핑몰 바로 가기 아이콘을 생성하는 FavoriteIconsV2 광고 프로그램의 변종으로 확인되고 있습니다.

 

 

2017년 8~9월경부터 배포된 것으로 추정되는 FVPlus 광고 프로그램의 대표적인 배포 방식은 멀티코덱(MultiCodec) 설치 시 "FavoriteIcons Plus" 이름으로 추가될 수 있습니다.

 

 

제휴 프로그램 설치에 동의할 경우 "C:\Users\%UserName%\AppData\Local\Temp\FVPlus_SETUP.exe" 설치 파일(SHA-1 : 4e3c61e2ce00321be154fdc8e38b596ca9ad8f91 - Norton : Trojan.Gen.2)을 다운로드한 후 화면에 표시되지 않도록 명령어(/verysilent)을 통해 자동 설치됩니다.

 

생성 폴더 / 파일 등록 정보

 

C:\Users\%UserName%\AppData\Roaming\FVPlus
C:\Users\%UserName%\AppData\Roaming\FVPlus\FVPlus.exe :: 작업 스케줄러(FVPlusUpdate) 등록 파일
C:\Users\%UserName%\AppData\Roaming\FVPlus\GetIconList.ini
C:\Users\%UserName%\AppData\Roaming\FVPlus\ICO
C:\Users\%UserName%\AppData\Roaming\FVPlus\ICO\11st.ico
C:\Users\%UserName%\AppData\Roaming\FVPlus\ICO\11st1.ico
C:\Users\%UserName%\AppData\Roaming\FVPlus\ICO\auction.ico
C:\Users\%UserName%\AppData\Roaming\FVPlus\ICO\auction1.ico
C:\Users\%UserName%\AppData\Roaming\FVPlus\ICO\gmarket[2].ico
C:\Users\%UserName%\AppData\Roaming\FVPlus\ICO\gmarket[2]3.ico
C:\Users\%UserName%\AppData\Roaming\FVPlus\ICO\gmarket[2]5.ico
C:\Users\%UserName%\AppData\Roaming\FVPlus\log
C:\Users\%UserName%\AppData\Roaming\FVPlus\log\server.log
C:\Users\%UserName%\AppData\Roaming\FVPlus\unins000.dat
C:\Users\%UserName%\AppData\Roaming\FVPlus\unins000.exe :: 프로그램 삭제 파일
C:\Users\%UserName%\Desktop\11번가.url
C:\Users\%UserName%\Favorites\11번가.url
C:\Users\%UserName%\Favorites\11st.url
C:\Users\%UserName%\Favorites\옥션.url
C:\Users\%UserName%\Favorites\지마켓.url
C:\Users\%UserName%\Favorites\auction.url
C:\Users\%UserName%\Favorites\G마켓.url
C:\Users\%UserName%\Favorites\Gmarket.url
C:\Windows\System32\Tasks\FVPlusUpdate

 

생성 파일 진단 정보

 

C:\Users\%UserName%\AppData\Roaming\FVPlus\FVPlus.exe
 - SHA-1 : 2157c30733b0d5621fb444aeb1174ba9d1e0b207
 - Panda : PUP/PopAd

 

 

"주식회사 휴먼디지털웍스" 디지털 서명이 포함된 해당 광고 프로그램은 "C:\Users\%UserName%\AppData\Roaming\FVPlus" 폴더에 파일을 생성합니다.

 

시스템 시작 시 FVPlusUpdate 작업 스케줄러 등록값을 통해 ["C:\Users\%UserName%\AppData\Roaming\FVPlus\FVPlus.exe" /schtasks] 파일을 자동 실행하도록 구성되어 있습니다.

 

자동 실행된 FVPlus.exe 파일은 FVPlus 광고 프로그램 버전 체크를 통해 업데이트를 수행할 수 있습니다.

 

또한 바탕 화면, 즐겨찾기에 추가될 다수의 인터넷 쇼핑몰 바로 가기 아이콘을 다운로드하여 추가할 수 있습니다.

 

이를 통해 바탕 화면과 즐겨찾기 영역에 11번가, G마켓, 옥션 바로 가기 아이콘을 추가할 수 있으며, 사용자가 클릭 시 "api.favorite-icons.com" 서버로 연결되어 제휴 코드가 포함되어 인터넷 쇼핑몰로 연결됩니다.

 

FVPlus 광고 프로그램 제거 방법

 

 

제어판의 프로그램 및 기능 또는 체크잇(CheckIt : www.checkitinfo.com) 프로그램에 등록된 FVPlus 프로그램을 찾아 제거하시기 바라며, 프로그램 제거 후에는 삭제되지 않은 다음의 폴더 및 바로 가기 아이콘을 찾아 직접 삭제하시기 바랍니다.

 

  • C:\Users\%UserName%\AppData\Roaming\FVPlus
  • C:\Users\%UserName%\Desktop\11번가.url
  • C:\Users\%UserName%\Favorites\11번가.url
  • C:\Users\%UserName%\Favorites\11st.url
  • C:\Users\%UserName%\Favorites\옥션.url
  • C:\Users\%UserName%\Favorites\지마켓.url
  • C:\Users\%UserName%\Favorites\auction.url
  • C:\Users\%UserName%\Favorites\G마켓.url
  • C:\Users\%UserName%\Favorites\Gmarket.url

 

생성 레지스트리 등록 정보

 

HKEY_CURRENT_USER\Environment
 - CLSID = {1655A382-3C13-49C0-A3FB-C96EE2015F4D}
HKEY_CURRENT_USER\Software\FVPlus
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{05F997EE-3A8E-4E3C-AC6F-62DBCB019195}_is1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{1D6AC86E-C582-4225-9D1E-0DA383794454}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\FVPlusUpdate

 

 

FVPlus 광고 프로그램을 비롯하여 다수의 바로 가기 생성 기능을 가진 광고 프로그램은 제거된 후에도 핵심 기능인 인터넷 쇼핑몰 바로 가기 아이콘을 그대로 유지하여 지속적인 수익 활동을 수행하므로 주의하시기 바랍니다.

 

728x90
반응형