반응형
국내에서 제작되어 특정 웹하드 추천인 아이디를 통한 금전적 수익을 위해 배포가 이루어지고 있는 Infocon 프로그램에 대해 살펴보도록 하겠습니다.
해당 프로그램은 외형상 정상적인 프로그램의 모습을 갖추고 있지만, 프로그램에서 제공하는 삭제 기능을 이용하여 삭제하여도 프로그램의 핵심인 추천인 아이디와 관련된 즐겨찾기, 바탕화면 바로가기 아이콘이 그대로 사용자 컴퓨터에 노출되어 계속적인 수익을 추구할 가능성이 있습니다.
Infocon 프로그램 설치 파일(MD5 : 9032dd07461286dfc9d4dae2c614a663)에 대하여 안철수연구소(AhnLab) V3 보안 제품에서는 Malware/Win32.Generic (VirusTotal : 13/43) 진단명으로 사전 차단을 하고 있습니다.
해당 프로그램은 외형상 정상적인 프로그램의 모습을 갖추고 있지만, 프로그램에서 제공하는 삭제 기능을 이용하여 삭제하여도 프로그램의 핵심인 추천인 아이디와 관련된 즐겨찾기, 바탕화면 바로가기 아이콘이 그대로 사용자 컴퓨터에 노출되어 계속적인 수익을 추구할 가능성이 있습니다.
Infocon 프로그램 설치 파일(MD5 : 9032dd07461286dfc9d4dae2c614a663)에 대하여 안철수연구소(AhnLab) V3 보안 제품에서는 Malware/Win32.Generic (VirusTotal : 13/43) 진단명으로 사전 차단을 하고 있습니다.
참고로 해당 프로그램은 최근 배포되는 국내 특정 웹하드와 동일한 바로가기 아이콘을 사용하고 있는 특징을 가지고 있으므로 참고하시기 바랍니다.
[생성 파일 등록 정보]
C:\Program Files\infocon\CoreCon.dll
C:\Program Files\infocon\infocon.exe
C:\Program Files\infocon\infocon_uninstall.exe
C:\WINDOWS\ccicon.ico
C:\Documents and Settings\(사용자 계정)\Favorites\최신영화무료다운.url
C:\Documents and Settings\(사용자 계정)\바탕 화면\최신영화무료다운.url
[관련 URL 정보]
h**p://www.easy****.co.kr/infocon/infocon.exe
h**p://www.easy****.co.kr/infocon/infocon_uninstall.exe
h**p://www.easy****.co.kr/infocon/CoreCon.dll
h**p://www.easy****.co.kr/infocon/ccicon.ico
h**p://www.easy****.co.kr/infocon/count.asp?act=install&exe=babacc2
h**p://www.easy****.co.kr/infocon/Xml/update_i001.xml
h**p://www.easy****.co.kr/infocon/count_live.asp?exe=babacc2
h**p://www.easy****.co.kr/infocon/count.asp?act=uninstall&exe=babacc2
C:\Program Files\infocon\CoreCon.dll
C:\Program Files\infocon\infocon.exe
C:\Program Files\infocon\infocon_uninstall.exe
C:\WINDOWS\ccicon.ico
C:\Documents and Settings\(사용자 계정)\Favorites\최신영화무료다운.url
C:\Documents and Settings\(사용자 계정)\바탕 화면\최신영화무료다운.url
[관련 URL 정보]
h**p://www.easy****.co.kr/infocon/infocon.exe
h**p://www.easy****.co.kr/infocon/infocon_uninstall.exe
h**p://www.easy****.co.kr/infocon/CoreCon.dll
h**p://www.easy****.co.kr/infocon/ccicon.ico
h**p://www.easy****.co.kr/infocon/count.asp?act=install&exe=babacc2
h**p://www.easy****.co.kr/infocon/Xml/update_i001.xml
h**p://www.easy****.co.kr/infocon/count_live.asp?exe=babacc2
h**p://www.easy****.co.kr/infocon/count.asp?act=uninstall&exe=babacc2
해당 프로그램은 Windows 시작시 infocon.exe 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.
[추가 기능 관리 : 도구 모음 및 확장 프로그램]
최신영화무료다운
- 게시자 : 알 수 없음
- CLSID : {8831B7DF-2E3F-491C-9A45-AD0307E95541}
- 파일 : C:\Program Files\infocon\CoreCon.dll
최신영화무료다운
- 게시자 : 알 수 없음
- CLSID : {8831B7DF-2E3F-491C-9A45-AD0307E95541}
- 파일 : C:\Program Files\infocon\CoreCon.dll
하지만 프로그램 삭제 후에도 추가적으로 다음과 같은 폴더, 파일을 수동으로 삭제하시기 바랍니다.
C:\Program Files\infocon
C:\Program Files\infocon\infocon_uninstall.exe
C:\WINDOWS\ccicon.ico
C:\Documents and Settings\(사용자 계정)\Favorites\최신영화무료다운.url
C:\Documents and Settings\(사용자 계정)\바탕 화면\최신영화무료다운.url
C:\Program Files\infocon\infocon_uninstall.exe
C:\WINDOWS\ccicon.ico
C:\Documents and Settings\(사용자 계정)\Favorites\최신영화무료다운.url
C:\Documents and Settings\(사용자 계정)\바탕 화면\최신영화무료다운.url
특히 해당 프로그램의 배포 목적인 추천인 아이디가 등록된 웹하드 바로가기 항목이 여전히 존재하므로 프로그램 삭제에 문제가 있다고 할 수 있습니다.
[생성 레지스트리 등록 정보]
HKEY_CLASSES_ROOT\CLSID\{8831B7DF-2E3F-491C-9A45-AD0307E95541}
HKEY_CLASSES_ROOT\CoreCon.CCHelper
HKEY_CLASSES_ROOT\CoreCon.CCHelper.1
HKEY_CLASSES_ROOT\Interface\{2FEC889B-2D71-4E44-BD2F-70E493D7BBBE}
HKEY_CLASSES_ROOT\TypeLib\{9B031F28-61A6-45D9-8BCD-A283B63BC47F}
HKEY_CURRENT_USER\Software\infocon
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- infocon = C:\Program Files\infocon\infocon.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\infocon
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{8831B7DF-2E3F-491C-9A45-AD0307E95541}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{8831B7DF-2E3F-491C-9A45-AD0307E95541}
HKEY_CLASSES_ROOT\CLSID\{8831B7DF-2E3F-491C-9A45-AD0307E95541}
HKEY_CLASSES_ROOT\CoreCon.CCHelper
HKEY_CLASSES_ROOT\CoreCon.CCHelper.1
HKEY_CLASSES_ROOT\Interface\{2FEC889B-2D71-4E44-BD2F-70E493D7BBBE}
HKEY_CLASSES_ROOT\TypeLib\{9B031F28-61A6-45D9-8BCD-A283B63BC47F}
HKEY_CURRENT_USER\Software\infocon
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- infocon = C:\Program Files\infocon\infocon.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\infocon
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{8831B7DF-2E3F-491C-9A45-AD0307E95541}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{8831B7DF-2E3F-491C-9A45-AD0307E95541}
일반적으로 특정 프로그램을 통해 생성되는 웹하드 바로가기는 대다수가 프로그램 배포자에게 금전적 수익으로 연결될 수 있으므로 사용자의 판단이 중요하리라 생각됩니다.
728x90
반응형
벌새님 이글 다음뷰 베스트됬네요. 축하드립니다.
베스트가 되었나요? 찾아봐야겠군요.
감사합니다.^^ 근데 뭐 이런 글이 베스트지?
안녕하세요 항상 유용한 정보를 주셔서 감사히 잘 보고 있습니다
다름이 아니라 궁금한게 있는데요
분석글중에서 해당툴이 설치되면서 어떠한 파일들이 설치되고 하는 뷰 기능이 있던 툴을 사용하시던데요?
그 툴 이름좀 알수 있을까요?
안녕하세요.
해당 프로그램은 Sandboxie라는 프로그램입니다.
블로그에 해당 프로그램에 대해 소개를 한 내용이 있으니 참고하시기 바랍니다.
http://www.sandboxie.com/
예를 들면 setup.exe 파일이 설치되면 program files 밑에 어떤한 설치파일들이 생성되고 이러한 정보를 알고 싶은데 확인 가능한 툴이 있나요?
답변 감사합니다
하나만 더 물어볼께요
sandboxie 툴을 설치했는데 어떤 메뉴를 사용해야 되나요?
이것저것 해봤는데 모르겠네요 ㅠㅠ
제 블로그 우측 사이드바에서 검색을 통해 sandboxie 검색을 하시면 기본적인 활용 방법이 나옵니다.^^