울지않는벌새 : Security, Movie & Society

제휴(스폰서) 프로그램 : 조이콘(Joicon) - 엔터디스크/뽐디스크/싸이미르/쇼핑 바콘(Bacon) 설치

벌새::Analysis
국내에서 제작되어 바탕화면에 웹하드, 인터넷 쇼핑몰, 성인 관련 사이트 바로가기 아이콘을 생성하는 [조이콘(Joicon) - 엔터디스크/뽐디스크/싸이미르/쇼핑 바콘(Bacon) 설치] 프로그램에 대해 살펴보도록 하겠습니다.

[생성 파일 등록 정보]

C:\Documents and Settings\(사용자 계정)\Application Data\11st.ico
C:\Documents and Settings\(사용자 계정)\Application Data\bbom.ico
C:\Documents and Settings\(사용자 계정)\Application Data\file.ico
C:\Documents and Settings\(사용자 계정)\Application Data\gmarket.ico
C:\Documents and Settings\(사용자 계정)\Application Data\njoicon.exe
C:\Documents and Settings\(사용자 계정)\Application Data\sexy.ico
C:\Documents and Settings\(사용자 계정)\바탕 화면\11번가.lnk
C:\Documents and Settings\(사용자 계정)\바탕 화면\G마켓.lnk
C:\Documents and Settings\(사용자 계정)\바탕 화면\공짜자료실 소개사이트.lnk
C:\Documents and Settings\(사용자 계정)\바탕 화면\무료19성인 싸이미르.lnk
C:\Documents and Settings\(사용자 계정)\바탕 화면\영화TV방송 무료 다운 뽐디스크.lnk

[생성 레지스트리 등록 정보]

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - njoicon = C:\Documents and Settings\(사용자 계정)\Application Data\njoicon.exe

해당 프로그램이 설치된 환경에서는 Windows 시작시 [C:\Documents and Settings\(사용자 계정)\Application Data\njoicon.exe] 파일을 시작 프로그램으로 등록하여 바탕화면에 다양한 상업적 목적의 인터넷 바로가기 아이콘을 생성하도록 구성되어 있습니다.

[njoicon.exe (MD5 : 70094d6d6c7034aa94116ccc4ea1e90c) 파일 네트워크 연결 정보]

GET /request_down/bacon_setup.php HTTP/1.1
Accept: */*
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0; .NET CLR 1.1.4322; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; .NET4.0C; .NET4.0E)
Host: postmedia.joicon.com
Connection: Keep-Alive

특히 사용자가 바탕화면에 자신도 모르게 설치된 다양한 바로가기 아이콘을 삭제하였을 경우에 시스템 재시작시 njoicon.exe 파일은 매번 자동으로 재설치를 하는 동작이 있을 수 있습니다.

해당 바로가기 아이콘의 연결 정보를 살펴보면 인터넷 쇼핑몰 11번가의 경우 공식 홈페이지가 아닌 특정 도메인으로 접속하도록 구성되어 있는 것을 확인할 수 있습니다.

해당 도메인을 경유하여 11번가 홈페이지로 접속을 시도하는 과정에서 특정 광고 코드가 추가되어 일정한 조건을 만족할 경우 프로그램 배포자에게 금전적 수익이 발생할 것으로 추정됩니다.

그 외의 웹하드 바로가기에서도 접속을 시도할 경우 특정 아이디를 추천인으로 등록하며, 자동으로 성인 관련 검색 용어(섹스, 노모)를 이용한 검색 결과 및 팝업창을 생성하여 가입을 유도하고 있습니다.

특히 나이와 관계없이 설치되는 해당 프로그램을 고려한다면 이런 검색 노출은 문제가 있다고 판단됩니다.

해당 프로그램은 설치시에는 동의 과정이 있는 반면 프로그램 삭제 기능을 제공하지 않으며, njoicon.exe 파일의 위치가 사용자가 찾기 어려운 곳에 존재하므로 바탕화면 바로가기 아이콘 삭제만으로는 매번 반복적으로 설치되는 문제가 발생합니다.

그러므로 프로그램 삭제를 위해서는 반드시 njoicon.exe 파일 및 레지스트리를 수동으로 삭제하시고, 바탕화면의 바로가기 아이콘을 제거하시기 바랍니다.