해당 프로그램의 설치 파일(MD5 : 8cebb56c93bef89bd7b9d36fc22786d1)에 대하여 BitDefender 보안 제품에서는 Trojan.Generic.KDV.242295 (VirusTotal : 7/43) 진단명으로 진단되고 있는 것을 확인할 수 있습니다.
해당 프로그램은 다양한 version 1.0.0 시리즈 변형이 존재하므로 참고하시기 바랍니다.
C:\Documents and Settings\(사용자 계정)\Favorites\가장 싸게 살수 있는 인터넷 시장,G마켓.url
C:\Documents and Settings\(사용자 계정)\Favorites\당신이 찾는 모든 스타일, 옥션.url
C:\Documents and Settings\(사용자 계정)\Favorites\무료다운로드
C:\Documents and Settings\(사용자 계정)\Favorites\무료다운로드\본디스크.url
C:\Documents and Settings\(사용자 계정)\Favorites\무료다운로드\쉐어박스.url
C:\Documents and Settings\(사용자 계정)\Favorites\무료다운로드\에이드라이브.url
C:\Documents and Settings\(사용자 계정)\Favorites\무료다운로드\예스파일.url
C:\Documents and Settings\(사용자 계정)\Favorites\무료다운로드\톰파일.url
C:\Documents and Settings\(사용자 계정)\Favorites\무료다운로드\투투디스크.url
C:\Documents and Settings\(사용자 계정)\Favorites\무료다운로드\파일큐.url
C:\Documents and Settings\(사용자 계정)\Favorites\무료다운로드\파일함.url
C:\Documents and Settings\(사용자 계정)\Favorites\쇼핑 스트리트, 11번가.url
C:\Documents and Settings\(사용자 계정)\Favorites\연결\가장 싸게 살수 있는 인터넷 시장,G마켓.url
C:\Documents and Settings\(사용자 계정)\Favorites\연결\당신이 찾는 모든 스타일, 옥션.url
C:\Documents and Settings\(사용자 계정)\Favorites\연결\쇼핑 스트리트, 11번가.url
C:\Documents and Settings\(사용자 계정)\Favorites\연결\오늘만 국내 최저가격보장 원어데이 쇼핑몰.url
C:\Documents and Settings\(사용자 계정)\Favorites\연결\테마형 소셜커머스 - 미스터티켓.url
C:\Documents and Settings\(사용자 계정)\Favorites\연결\하루에 한가지 쇼퍼스데이.url
C:\Documents and Settings\(사용자 계정)\Favorites\연결\하루하나.url
C:\Documents and Settings\(사용자 계정)\Favorites\원어데이특가몰
C:\Documents and Settings\(사용자 계정)\Favorites\원어데이특가몰\매일매일 지역별 특가 상품을 제공하는 원어데이쇼핑몰.url
C:\Documents and Settings\(사용자 계정)\Favorites\원어데이특가몰\오늘만 국내 최저가격보장 원어데이 쇼핑몰.url
C:\Documents and Settings\(사용자 계정)\Favorites\원어데이특가몰\테마형 소셜커머스 - 미스터티켓.url
C:\Documents and Settings\(사용자 계정)\Favorites\원어데이특가몰\하루에 한가지 쇼퍼스데이.url
C:\Documents and Settings\(사용자 계정)\Favorites\원어데이특가몰\하루하나.url
C:\Documents and Settings\(사용자 계정)\Favorites\원어데이특가몰\하유미팩 등 코스메틱 기부소셜커머스.url
C:\Documents and Settings\(사용자 계정)\Favorites\종합쇼핑몰
C:\Documents and Settings\(사용자 계정)\Favorites\종합쇼핑몰\CJ홈쇼핑 종합쇼핑몰.url
C:\Documents and Settings\(사용자 계정)\Favorites\종합쇼핑몰\gs이숍의 새이름 GS SHOP.url
C:\Documents and Settings\(사용자 계정)\Favorites\종합쇼핑몰\Qook TV쇼핑.url
C:\Documents and Settings\(사용자 계정)\Favorites\종합쇼핑몰\국내최대할인점 E-MART 온라인쇼핑몰.url
C:\Documents and Settings\(사용자 계정)\Favorites\종합쇼핑몰\농수산물 및 특산물 농협 쇼핑몰.url
C:\Documents and Settings\(사용자 계정)\Favorites\종합쇼핑몰\농수산홈쇼핑 NS이숍.url
C:\Documents and Settings\(사용자 계정)\Favorites\종합쇼핑몰\롯데마트인터넷쇼핑몰.url
C:\Documents and Settings\(사용자 계정)\Favorites\종합쇼핑몰\쇼핑 테라피 dnshop.url
C:\Documents and Settings\(사용자 계정)\Favorites\종합쇼핑몰\신세계 인터넷 쇼핑몰.url
C:\Documents and Settings\(사용자 계정)\Favorites\종합쇼핑몰\우체국 ePOST 종합쇼핑몰.url
C:\Documents and Settings\(사용자 계정)\Favorites\종합쇼핑몰\인터넷 종합쇼핑몰 여인닷컴.url
C:\Documents and Settings\(사용자 계정)\Favorites\종합쇼핑몰\인터넷종합쇼핑몰 - 롯데아이몰.url
C:\Documents and Settings\(사용자 계정)\Favorites\종합쇼핑몰\종합쇼핑몰의 명가 - Hmall.url
C:\Documents and Settings\All Users\Application Data\ico
C:\Documents and Settings\All Users\Application Data\ico\11market.ico
C:\Documents and Settings\All Users\Application Data\ico\auctionicon.ico
C:\Documents and Settings\All Users\Application Data\ico\gmarket.ico
C:\Program Files\Ningal
C:\Program Files\Ningal\ningal.exe :: 시작 프로그램 등록 파일
C:\Program Files\Ningal\nrp.exe
C:\Program Files\Ningal\unins000.dat
C:\Program Files\Ningal\unins000.exe :: 프로그램 삭제 파일
C:\Program Files\Ningal\ningal.exe
- MD5 : ed0e2f3617e91c66d650c6ed7b613690
- Avira AntiVir : TR/ATRAPS.Gen (VirusTotal : 11/43)
해당 프로그램은 즐겨찾기에 다수의 바로가기 항목을 생성하며, [C:\Program Files\Ningal] 폴더에 주요 파일을 생성하고 있습니다.
Windows 시작시 ningal.exe 파일을 시작 프로그램으로 등록하여 다음과 같은 동작을 확인할 수 있습니다.
(1) 사용자 PC 고유 정보 체크
GET /fie/ngliveins.php?pmac=0&lmac=(사용자 Mac Address)&ip=(사용자 IP)&pid= HTTP/1.1
Accept: */*
User-Agent: Mozilla/4.0 (compatible; Win32; WinHttp.WinHttpRequest.5)
Host: 114.2**.199.2**
Connection: Keep-Alive
(2) 즐겨찾기 항목 체크
GET /favorbutton.php HTTP/1.1
Accept: */*
User-Agent: Mozilla/4.0 (compatible; Win32; WinHttp.WinHttpRequest.5)
Host: iring4u.co.kr
Connection: Keep-Alive
(3) 명령 모음에 등록된 11번가, 옥션, G마켓 체크
GET /fie/ico/11market.ico HTTP/1.1
Accept: */*
User-Agent: Mozilla/4.0 (compatible; Win32; WinHttp.WinHttpRequest.5)
Host: iring4u.co.kr
Connection: Keep-Alive
GET /fie/ico/auctionicon.ico HTTP/1.1
Accept: */*
User-Agent: Mozilla/4.0 (compatible; Win32; WinHttp.WinHttpRequest.5)
Host: iring4u.co.kr
Connection: Keep-Alive
GET /fie/ico/gmarket.ico HTTP/1.1
Accept: */*
User-Agent: Mozilla/4.0 (compatible; Win32; WinHttp.WinHttpRequest.5)
Host: iring4u.co.kr
Connection: Keep-Alive
설치된 항목을 살펴보면 그림과 같이 사용자가 제대로 인지하지 못하는 과정에서 즐겨찾기와 명령 모음에 다수의 인터넷 바로가기가 생성된 것을 확인할 수 있습니다.
해당 인터넷 바로가기 항목은 그림과 같이 특정 광고 코드가 포함되어 사용자가 해당 즐겨찾기에 등록된 바로가기를 통해 인터넷 사이트에 접속하여 특정 조건을 만족할 경우 프로그램 배포자에게 금전적 수익이 발생할 것으로 추정됩니다.
쇼핑 스트리트 11번가
- CLSID : {01BF62C2-F110-11D2-BB9E-00C04F795681}
당신이 찾는 모든 스타일, 옥션
- CLSID : {01BF62C2-F110-11D2-BB9E-00C04F795682}
가장 싸게 살수 있는 인터넷 시장, G마켓
- CLSID : {01BF62C2-F110-11D2-BB9E-00C04F795683}
명령 모음에 등록된 3개의 항목은 추가 기능 관리에 등록된 항목을 선택하여 [사용 안 함]으로 변경을 하시면 바로가기 아이콘 기능을 중지할 수 있습니다.
프로그램 삭제시에는 제어판의 [Ningal version 1.0.0] 삭제 항목을 이용하여 삭제할 수 있습니다.
하지만 해당 삭제 기능은 [C:\Program Files\Ningal] 폴더에 설치된 파일만을 제거할 뿐, 실질적인 기능을 하는 즐겨찾기, 명령 모음 등록 바로가기 항목은 삭제가 되지 않는 문제가 있습니다.
그러므로 사용자는 생성 파일에 등록된 즐겨찾기, 명령 모음 항목에 등록된 바로가기 파일 및 레지스트리 항목을 확인하여 수동으로 제거하시기 바랍니다.
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\CommandBar
- CommandBarEnabled = 1 :: 추가
- SmallIcons = 0 :: 추가
- ToolBandWidth = 244 :: 추가
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{01BF62C2-F110-11d2-BB9E-00C04F795681}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{01BF62C2-F110-11d2-BB9E-00C04F795682}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{01BF62C2-F110-11d2-BB9E-00C04F795683}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- Ningal = C:\Program Files\Ningal\ningal.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{D5DD046C-21DE-438B-8450-CF23F4B50748}_is1
해당 프로그램은 프로그램 삭제 후에도 즐겨찾기에 등록된 인터넷 바로가기 항목을 그대로 남겨서 계속적인 금전적 수익을 유발하는 악의적인 기능을 하므로 주의하시기 바랍니다.