본문 바로가기

벌새::Analysis

웹하드 광고 프로그램 : Windows IE Button

국내에서 제작된 특정 웹하드 광고 프로그램 Windows IE Button 제품에 대해 살펴보도록 하겠습니다.


[관련 URL 정보]

h**p://rhksflwk.tipoint.co.kr/count/install.asp?PID=0005
h**p://rhksflwk.tipoint.co.kr/ping.asp
h**p://rhksflwk.tipoint.co.kr/version/iebutton_version_data_ver.dll
h**p://rhksflwk.tipoint.co.kr/count/boot.asp?PID=0005

해당 프로그램이 설치된 환경에서는 프로그램 설치 폴더(%Program Files%\iebutton)가 아닌 Windows 시스템 폴더 내부에 iebutton.exe 파일을 생성하여 Windows 시작시 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.

iebutton.exe


해당 iebutton.exe 파일은 메모리에 상주하면서 프로그램 버전 체크, 프로그램 설치와 삭제 관련 카운터(Counter) 기능을 수행하는 것을 확인할 수 있습니다.


해당 프로그램이 설치된 환경에서는 Internet Explorer 도구 모음에 그림과 같은 영화 관련 바로가기 아이콘이 생성되는 것을 확인할 수 있습니다.



세부적인 연결 정보를 확인해보면 도구 모음에 등록된 바로가기 아이콘을 실행할 경우 open.exe 파일이 실행되면서 국내 특정 웹하드 광고 페이지로 이동을 하는 것을 확인할 수 있으며, 그 과정에서 사용자 몰래 추천인(파트너) 아이디가 등록되는 것을 확인할 수 있습니다.


프로그램 삭제시에는 작업 관리자에서 iebutton.exe 프로세스를 수동으로 종료한 후, 제어판의 [Windows ie button] 삭제 항목을 이용하여 삭제하실 수 있습니다.

[생성 레지스트리 등록 정보]

HKEY_LOCAL_MACHINE\software\iebutton
HKEY_LOCAL_MACHINE\software\microsoft\Internet Explorer\Extensions\{39C98479-624B-4e1e-8865-F4FE46238123}
HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\Run
 - iebutton = C:\WINDOWS\system32\iebutton.exe
HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\Uninstall\iebutton