반응형
국내에서 제작되어 설치시 바탕화면에 특정 이벤트 웹하드 사이트 바로가기 아이콘을 생성하는 HiDisk_Info 프로그램에 대해 살펴보도록 하겠습니다.
[생성 폴더 / 파일 등록 정보]
C:\Documents and Settings\(사용자 계정)\바탕 화면\최신모두받기.lnk
C:\Program Files\hidisk_info
C:\Program Files\hidisk_info\32_tv.ico
C:\Program Files\hidisk_info\hidisk_info.exe :: 시작 프로그램 등록 파일
C:\Program Files\hidisk_info\hidisk.url
해당 프로그램은 [C:\Program Files\hidisk_info] 폴더에 파일을 생성하며, Windows 시작시 hidisk_info.exe 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.
[hidisk_info.exe 파일 네트워크 연결 정보]
POST /fs_hidisk_info/updater.php?c=0&mac=(사용자 Mac Address),&prg_ver=2010&&pid=iepass&in=6&second=7 HTTP/1.0
Connection: keep-alive
Content-Type: multipart/form-data; boundary=--------051711005135704
Content-Length: 109
Host: olre.co.kr
Accept: text/html, */*
User-Agent: Mozilla/4.0 (compatible; MSIE 5.01; Windows NT)
현재 시점에서 시작 프로그램으로 등록된 hidisk_info.exe 파일은 추가적인 동작은 없지만, 관련 호스팅 사이트 성격을 고려한다면 안전성이 보장된 사이트는 아닙니다.
바탕화면에 [최신모두받기] 바로가기 아이콘이 생성되며, 해당 아이콘을 클릭할 경우 [C:\Program Files\hidisk_info\hidisk.url] 링크 파일로 연결되도록 구성되어 있습니다.
최종적으로 연결되는 사이트는 회원 가입을 유도하는 특정 웹하드로 접속이 이루어지고 있으며, 그 과정에서 광고자 아이디 정보가 포함되어 있는 것을 확인할 수 있습니다.
[생성 레지스트리 등록 정보]
HKEY_CURRENT_USER\Software\hidisk_info
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- hidisk_info = C:\Program Files\hidisk_info\hidisk_info.exe
프로그램은 삭제 기능을 제공하지 않고 있으므로, 사용자는 생성 폴더(파일), 레지스트리 정보를 참고하여 수동으로 삭제하시기 바랍니다.
728x90
반응형