본문 바로가기

벌새::Analysis

제휴(스폰서) 프로그램 : 조이쇼핑(JoyShopping) 즐겨찾기

안철수연구소(AhnLab) V3 보안 제품에서 Downloader/Win32.Agent 진단명으로 진단되는 국내 특정 웹하드 설치 파일(MD5 : 19C0DC327190510A7FE95074120B12AE)을 통해 설치가 이루어질 수 있는 조이쇼핑(JoyShopping) 즐겨찾기 제휴(스폰서) 프로그램에 대해 살펴보도록 하겠습니다.

[생성 폴더, 파일 등록 정보]

C:\WINDOWS\11market.ico
C:\WINDOWS\auction.ico
C:\WINDOWS\gmarket.ico
C:\WINDOWS\system32\11market.ico
C:\WINDOWS\system32\auction.ico
C:\WINDOWS\system32\gmarket.ico
C:\Documents and Settings\(사용자 계정)\Favorites\당신이 찾는 모든 스타일, 옥션.url
C:\Documents and Settings\(사용자 계정)\Favorites\디앤샵, 시즌 2.url
C:\Documents and Settings\(사용자 계정)\Favorites\새로운 세상을 여는 문, G마켓.url
C:\Documents and Settings\(사용자 계정)\Favorites\쇼핑 스트리트, 11번가.url

[생성 레지스트리 등록 정보]

HKEY_CLASSES_ROOT\CLSID\{A1B227E0-C6E7-4606-8CEC-5C78FF041636}
HKEY_CLASSES_ROOT\CLSID\{EEF59998-2F18-41d8-876C-727C874CF768}
HKEY_LOCAL_MACHINE\software\joyshopping
HKEY_LOCAL_MACHINE\software\Microsoft\Internet Explorer\Extensions\{5C239114-3979-4085-B91A-9AA9729E67ED}
HKEY_LOCAL_MACHINE\software\Microsoft\Internet Explorer\Extensions\{C4DE98AA-727C-4ba5-8E7D-BF4104FD1384}
HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Explorer\Desktop\NameSpace
\{A1B227E0-C6E7-4606-8CEC-5C78FF041636}
HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Explorer\Desktop\NameSpace
\{EEF59998-2F18-41d8-876C-727C874CF768}

해당 프로그램이 설치된 환경에서는 Internet Explorer 상에 옥션(Auction), 디앤샵, G마켓, 11번가와 같은 인터넷 쇼핑몰 즐겨찾기가 생성되는 것을 확인할 수 있습니다.


Internet Explorer 명령 모음에 [G마켓 바로가기], [11번가 바로가기] 항목이 생성되는 것을 확인할 수 있습니다.


해당 도구 모음에 등록된 바로가기를 통해 인터넷 쇼핑몰에 접속할 경우 특정 광고 코드를 포함하여 특정 조건이 만족될 경우 프로그램 배포자에게 금전적 수익이 발생할 것으로 추정됩니다.


[추가 기능 관리 : 도구 모음 및 확장 프로그램]

G마켓 바로가기
 - 게시자 : 알 수 없음
 - CLSID : {5C239114-3979-4085-B91A-9AA9729E67ED}

11번가 바로가기
 - 게시자 : 알 수 없음
 - CLSID : {C4DE98AA-727C-4BA5-8E7D-BF4104FD1384}


즐겨찾기 항목에서도 총 4개의 인터넷 쇼핑몰 바로가기 항목이 생성되는 동작을 확인할 수 있습니다.


해당 즐겨찾기 항목을 통한 쇼핑몰 접속 경로를 살펴보면 프로그램 배포처로 추정되는 특정 도메인을 경유하여 접속이 이루어지는 것을 확인할 수 있습니다.

이처럼 Internet Explorer에 금전적 수익을 목적으로 생성하는 즐겨찾기 및 명령 모음 바로가기 항목에 대하여 레지스트리 등록까지 하면서 프로그램 삭제 기능을 제공하지 않으므로 사용자는 수동으로 삭제해야 하는 불편함이 있습니다.