● 원본 작성 : 2010년 8월 13일
● 1차 수정 : 2011년 7월 2일
국내에서 제작되어 인터넷 검색시 포털 사이트 검색 상단을 덮어씌우는 방식의 광고를 생성하는 검색 도우미 114KTi - ingrid114 프로그램에 대해 살펴보도록 하겠습니다.
해당 프로그램의 설치 파일(MD5 : 32d26725d5bf6bceb5e4a80342fef136)에 대하여 알약(ALYac) 2.0 보안 제품에서는 Backdoor.Generic.448608 (VirusTotal : 23/42) 진단명으로 진단되고 있으므로 참고하시기 바랍니다.
[생성 폴더 / 파일 등록 정보]
C:\Program Files\ingrid114
C:\Program Files\ingrid114\ingrid114.exe :: 시작 프로그램 등록 파일 / 메모리 상주 프로세스
C:\Program Files\ingrid114\ingrid114un.exe :: 프로그램 삭제 파일
C:\Program Files\ingrid114\ingrid114up.exe
C:\Program Files\ingrid114\ktifloat.dll
C:\Program Files\ingrid114\ktifloatno.dll :: BHO 등록 파일
C:\WINDOWS\system32\114ktisetup.exe
C:\WINDOWS\system32\114ktiup.exe
C:\WINDOWS\system32\inetko.dll
C:\WINDOWS\system32\MSINET.OCX
C:\WINDOWS\system32\VB6KO.DLL
[생성 파일 진단 정보]
C:\Program Files\ingrid114\ingrid114un.exe
- MD5 : 08edef5cc5538519f9dfa6622812e63b
- AhnLab V3 : Malware/Win32.Generic (VirusTotal : 24/41)
C:\WINDOWS\system32\114ktiup.exe
- MD5 : 3976cda8b0c02acdb21a99a5e2294f2a
- AhnLab V3 : Trojan/Win32.Bancos (VirusTotal : 33/42)
※ AhnLab V3 보안 제품을 사용하시는 사용자의 경우 해당 프로그램의 삭제 파일 진단으로 인하여 프로그램 삭제가 제어판을 통해 이루어지지 않으므로 프로그램 삭제시에는 수동으로 삭제를 하시기 바랍니다.
해당 프로그램은 [C:\Program Files\ingrid114] 폴더에 파일을 생성하고 있으며, Windows 시작시 ingrid114.exe 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.
해당 프로그램이 설치된 환경에서 사용자가 다음(Daum), 네이버(Naver) 등의 유명 사이트에서 검색을 시도할 경우 해당 검색어와 연관된 광고를 그림과 같이 정상적인 검색 결과 상단에 덮어쓰기 방식으로 구성하여 정상적인 인터넷 사용에 방해가 될 수 있습니다.
특히 해당 광고를 생성하는 프로그램 명칭을 표기하지 않는 관계로 사용자가 프로그램 삭제에 어려움을 겪을 수 있습니다.
[추가 기능 관리 : 도구 모음 및 확장 프로그램]
winktifloatno.ktifloatno
- 게시자 : 114KTI
- CLSID : {559EED31-820D-46ED-8B90-5C779039F94A}
- 파일 : C:\Program Files\ingrid114\ktifloatno.dll
해당 광고 동작의 중지를 위해서는 Internet Explorer 웹 브라우저의 추가 기능 관리에 등록된 winktifloatno.ktifloatno 항목을 선택하여 [사용 안 함]으로 변경하시기 바랍니다.
프로세스 정보를 살펴보면 ingrid114.exe 프로세스가 메모리에 상주하고 있으며, 사용자가 Internet Explorer 웹 브라우저를 실행할 경우 iexplore.exe 프로세스에 ktifloatno.dll 파일을 BHO 방식으로 등록하여 동작하는 것을 확인할 수 있습니다.
프로그램 삭제시에는 작업 관리자에서 ingrid114.exe 프로세스를 수동으로 종료한 후, 실행 중인 Internet Explorer 웹 브라우저를 모두 종료한 상태에서 제어판의 [114KTI] 삭제 항목을 이용하여 삭제하실 수 있습니다.
프로그램 삭제 후에는 추가적으로 다음의 폴더와 파일을 수동으로 삭제하시기 바랍니다.
- C:\Program Files\ingrid114
- C:\Program Files\ingrid114\ingrid114un.exe
- C:\Program Files\ingrid114\ktifloatno.dll
- C:\WINDOWS\system32\114ktisetup.exe
- C:\WINDOWS\system32\114ktiup.exe
[생성 레지스트리 등록 정보]
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{559EED31-820D-46ED-8B90-5C779039F94A}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8BF4656A-BB39-4EFA-B472-3C5E9968FFA0}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{05B1C85F-7195-4669-8CBD-BE6789E3C651}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{419CA536-EFFA-4FDF-A136-7335EE64FDBA}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{4C48A2DA-20C3-42EE-A9A0-C690D5CD83AE}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{D8B1E2E1-DC0A-4464-A6B3-FE2D5501D359}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\winktifloat.ktifloat
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\winktifloatno.ktifloatno
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{559EED31-820D-46ED-8B90-5C779039F94A}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- ingrid.exe =
- IngridFloating = C:\Program Files\ingrid114\ingrid114.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ingrid114
HKEY_LOCAL_MACHINE\SOFTWARE\ingrid114
프로그램 삭제 후에도 깨끗한 삭제를 원하시는 분들은 [C:\Documents and Settings\(사용자 계정)\Local Settings\Temp] 폴더 내부의 7zS(Random 숫자).tmp 폴더 2개를 찾아서 수동으로 삭제하시기 바랍니다.
해당 프로그램은 프로그램 목록에 제시되지 않는 점과 광고를 통해 어떤 프로그램의 동작인지 확인하기 어렵다는 점에서 주의하시기 바랍니다.