본문 바로가기

벌새::Analysis

제휴(스폰서) 프로그램 : EyeSearch 1.0

반응형
국내에서 제작되어 웹 브라우저 즐겨찾기와 바탕화면에 인터넷 쇼핑몰 바로가기 아이콘을 생성하는 EyeSearch 1.0 프로그램에 대해 살펴보도록 하겠습니다.

[생성 폴더 / 파일 등록 정보]

C:\Documents and Settings\(사용자 계정)\Application Data\11.ico
C:\Documents and Settings\(사용자 계정)\Application Data\auction.ico
C:\Documents and Settings\(사용자 계정)\Application Data\gmarket.ico
C:\Documents and Settings\(사용자 계정)\Application Data\MLink.exe :: 시작 프로그램 등록 파일
C:\Documents and Settings\(사용자 계정)\Application Data\readme.txt
C:\Documents and Settings\(사용자 계정)\Application Data\uninst.exe :: 프로그램 삭제 파일
C:\Documents and Settings\(사용자 계정)\Favorites\11번가.url
C:\Documents and Settings\(사용자 계정)\Favorites\G마켓.url
C:\Documents and Settings\(사용자 계정)\Favorites\옥션.url

해당 프로그램은 사용자가 제대로 인지하기 어려운 [C:\Documents and Settings\(사용자 계정)\Application Data] 폴더 내부에 주요 파일을 생성하며, Windows 시작시 MLink.exe 파일을 시작 프로그램으로 등록하여 자동 실행되어 업데이트 체크를 하도록 구성되어 있습니다.

해당 프로그램은 Internet Explorer 웹 브라우저 즐겨찾기에 11번가, 옥션, G마켓 바로가기를 생성합니다.

또한 사용자가 해당 프로그램이 설치된 후, 시스템 재부팅을 할 경우 추가적으로 바탕화면에 11번가, 옥션, G마켓 바로가기를 생성하는 동작을 확인할 수 있습니다.

해당 쇼핑몰 바로가기를 통해 접속시 특정 광고 코드가 포함되어 조건을 만족시킬 경우 프로그램 배포자에게 금전적 수익이 발생할 것으로 추정됩니다.

프로그램 삭제는 제어판의 [EyeSearch 1.0] 삭제 항목을 이용하여 삭제하실 수 있습니다. 하지만 실제 해당 프로그램의 실질적인 기능을 하는 인터넷 쇼핑몰 바로가기는 삭제가 되지 않습니다.

그러므로 제어판을 통한 삭제 후에는 추가적으로 다음의 폴더, 파일, 생성 레지스트리 항목을 체크하여 수동으로 삭제하시기 바랍니다.
  • C:\Documents and Settings\(사용자 계정)\Application Data\11.ico
  • C:\Documents and Settings\(사용자 계정)\Application Data\auction.ico
  • C:\Documents and Settings\(사용자 계정)\Application Data\gmarket.ico
  • C:\Documents and Settings\(사용자 계정)\Favorites\11번가.url
  • C:\Documents and Settings\(사용자 계정)\Favorites\G마켓.url
  • C:\Documents and Settings\(사용자 계정)\Favorites\옥션.url
  • 11번가, G마켓, 옥션 바탕화면 바로가기 아이콘
[생성 레지스트리 등록 정보]

HKEY_CURRENT_USER\Software\MLink
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - MLink = C:\Documents and Settings\(사용자 계정)\Application Data\MLink.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{09B77220-D441-471f-9896-DE86FF77E65E}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8E8CBB75-9532-4cc9-B5E3-6D282E92151A}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9355B0DA-2A80-40cb-8E0E-C4A152467E18}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\MLink.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Desktop\
NameSpace\{09B77220-D441-471f-9896-DE86FF77E65E}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Desktop\
NameSpace\{8E8CBB75-9532-4cc9-B5E3-6D282E92151A}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Desktop\
NameSpace\{9355B0DA-2A80-40cb-8E0E-C4A152467E18}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
EyeSearch


해당 프로그램은 삭제 후에도 광고가 계속적으로 유지될 수 있도록 인터넷 바로가기가 유지되므로 주의하시기 바랍니다.
728x90
반응형
  • 김도움받은이 2012.01.19 18:58 댓글주소 수정/삭제 댓글쓰기

    감사합니다.
    저는 http://www.revouninstallerpro.com/index.html 이곳의 프로그램 강제 삭제 프로그램을 통해 eyesearch를 삭제했고 삭제한 후 뜨는 레지스트리 정리 란에서 글에 적힌 레지스트리 등록 정보뿐만 아니라 상위 폴더인 arpcache ? 인가 하는 것까지 전부 삭제했는데(arpcache의 상위 폴더 이름은 currentversion이었습니다) 문제는 없겠죠? 여하튼 덕분에 잘 해결했고, 늘 건승 바랍니다