반응형
국내에서 제작된 검색 도우미 프로그램 쇼핑알리미 - JAinfo 제품에 대해 살펴보도록 하겠습니다.
해당 프로그램의 설치 파일(MD5 : f93d18a9b6f79ddba2f766861e0c04b1)에 대하여 AVG 보안 제품에서는 Generic4.AILP (VirusTotal : 4/40) 진단명으로 진단될 수 있으므로 참고하시기 바랍니다.
해당 프로그램은 [JAinfo] 폴더에 파일을 생성하며, Windows 시작시 jamgrup.exe 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.
실행된 프로그램은 jamgr.exe 파일을 메모리에 상주시켜 일정 시간 주기로 국내 특정 사이드바 광고 서버에 특정 검색어를 포함한 쿼리(Query)를 발송하는 동작을 확인할 수 있습니다.
참고로 이런 동작의 경우 발송 주기가 짧으면 인터넷 속도 저하 등의 문제가 발생할 수 있으리라 생각됩니다.
프로그램의 기본적인 동작 방식은 사용자가 Internet Explorer를 통해 국내 포털 사이트 등에서 검색을 시도할 경우 해당 검색어와 연관된 광고를 시스템 트레이 상단에 [JoyInfo] 팝업창을 생성하는 동작을 하고 있습니다.
일반적으로 해당 팝업창은 네이트온(NateOn) 메신저의 팝업창에 익숙한 사용자들에게는 오해의 소지가 있으며, JoyInfo 정보를 통해서는 어떤 프로그램이 팝업창을 생성하는지 인지하기 어렵다는 문제가 있습니다.
Internet Explorer에서 제공하는 추가 기능 관리에 등록된 정보를 확인해보면 게시자를 알 수 없는 IESearch.Mon 컨트롤 항목이 등록된 것을 확인할 수 있으며, 해당 항목은 iesearch.dll 파일과 연동되도록 구성되어 있습니다.
프로세스 정보를 살펴보면 메모리에 상주하는 jamgr.exe 프로세스와 함께, 사용자가 Internet Explorer를 실행할 경우 iexplore.exe 프로세스에 iesearch.dll 파일이 BHO 방식으로 동작하는 것을 확인할 수 있습니다.
프로그램 삭제시에는 Internet Explorer를 비롯한 모든 프로그램을 완전히 종료한 상태에서 제어판의 [JAinfo] 삭제 항목을 이용하여 삭제하실 수 있습니다.
하지만 프로그램 삭제 후에도 제어판에 등록된 해당 삭제 항목 목록이 정상적으로 제거되지 않는 문제가 발견되므로 사용자는 추가적으로 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\JAinfo] 레지스트리 항목을 수동으로 삭제하시기 바랍니다.
해당 프로그램의 설치 파일(MD5 : f93d18a9b6f79ddba2f766861e0c04b1)에 대하여 AVG 보안 제품에서는 Generic4.AILP (VirusTotal : 4/40) 진단명으로 진단될 수 있으므로 참고하시기 바랍니다.
해당 프로그램은 [JAinfo] 폴더에 파일을 생성하며, Windows 시작시 jamgrup.exe 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.
실행된 프로그램은 jamgr.exe 파일을 메모리에 상주시켜 일정 시간 주기로 국내 특정 사이드바 광고 서버에 특정 검색어를 포함한 쿼리(Query)를 발송하는 동작을 확인할 수 있습니다.
참고로 이런 동작의 경우 발송 주기가 짧으면 인터넷 속도 저하 등의 문제가 발생할 수 있으리라 생각됩니다.
일반적으로 해당 팝업창은 네이트온(NateOn) 메신저의 팝업창에 익숙한 사용자들에게는 오해의 소지가 있으며, JoyInfo 정보를 통해서는 어떤 프로그램이 팝업창을 생성하는지 인지하기 어렵다는 문제가 있습니다.
Internet Explorer에서 제공하는 추가 기능 관리에 등록된 정보를 확인해보면 게시자를 알 수 없는 IESearch.Mon 컨트롤 항목이 등록된 것을 확인할 수 있으며, 해당 항목은 iesearch.dll 파일과 연동되도록 구성되어 있습니다.
프로세스 정보를 살펴보면 메모리에 상주하는 jamgr.exe 프로세스와 함께, 사용자가 Internet Explorer를 실행할 경우 iexplore.exe 프로세스에 iesearch.dll 파일이 BHO 방식으로 동작하는 것을 확인할 수 있습니다.
프로그램 삭제시에는 Internet Explorer를 비롯한 모든 프로그램을 완전히 종료한 상태에서 제어판의 [JAinfo] 삭제 항목을 이용하여 삭제하실 수 있습니다.
하지만 프로그램 삭제 후에도 제어판에 등록된 해당 삭제 항목 목록이 정상적으로 제거되지 않는 문제가 발견되므로 사용자는 추가적으로 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\JAinfo] 레지스트리 항목을 수동으로 삭제하시기 바랍니다.
[생성 레지스트리 등록 정보]
HKEY_CLASSES_ROOT\CLSID\{548B3D75-6197-4DFF-86A6-72DCC5861F6C}
HKEY_CLASSES_ROOT\CLSID\{6CEFA6C6-033F-4AE0-933F-D4CA81045C65}
HKEY_CLASSES_ROOT\IESearch.Mon
HKEY_CLASSES_ROOT\Interface\{08C5A58C-68D0-4CF8-BE4B-D6D7E060E28D}
HKEY_CLASSES_ROOT\Interface\{2DF281AC-65BD-482D-8EFC-50E605B82065}
HKEY_CLASSES_ROOT\JoyMsgMng.MsgMng
HKEY_CLASSES_ROOT\TypeLib\{4A327D46-FA44-436C-8433-6688074D331A}
HKEY_CLASSES_ROOT\TypeLib\{6002CF8A-6B5B-4888-851D-F68165AE2B15}
HKEY_LOCAL_MACHINE\SOFTWARE\JAinfo
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6CEFA6C6-033F-4AE0-933F-D4CA81045C65}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- JAinfo = C:\Program Files\JAinfo\jamgrup.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\JAinfo
HKEY_CLASSES_ROOT\CLSID\{548B3D75-6197-4DFF-86A6-72DCC5861F6C}
HKEY_CLASSES_ROOT\CLSID\{6CEFA6C6-033F-4AE0-933F-D4CA81045C65}
HKEY_CLASSES_ROOT\IESearch.Mon
HKEY_CLASSES_ROOT\Interface\{08C5A58C-68D0-4CF8-BE4B-D6D7E060E28D}
HKEY_CLASSES_ROOT\Interface\{2DF281AC-65BD-482D-8EFC-50E605B82065}
HKEY_CLASSES_ROOT\JoyMsgMng.MsgMng
HKEY_CLASSES_ROOT\TypeLib\{4A327D46-FA44-436C-8433-6688074D331A}
HKEY_CLASSES_ROOT\TypeLib\{6002CF8A-6B5B-4888-851D-F68165AE2B15}
HKEY_LOCAL_MACHINE\SOFTWARE\JAinfo
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6CEFA6C6-033F-4AE0-933F-D4CA81045C65}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- JAinfo = C:\Program Files\JAinfo\jamgrup.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\JAinfo
728x90
반응형