본문 바로가기

벌새::Analysis

[삭제] 검색 도우미 : v2ijet

반응형
출처를 알 수 없으며 제어판을 통한 삭제 기능을 제공하지 않는 국내에서 제작된 검색 도우미 v2ijet 프로그램에 대해 살펴보도록 하겠습니다.(※ 설치 파일 - MD5 : d28786543c9a7e058712a630fb0485c7)

[생성 폴더 / 파일 등록 정보]

C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\v2ijet :: 숨김(H) 속성
C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\v2ijet\for.dat
C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\v2ijet\ies.tml
C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\v2ijet\uninstall.exe :: 프로그램 삭제 파일
C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\v2ijet\v2.exe
C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\v2ijet\v2ijet.dll :: BHO 등록 파일
C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\v2ijet\v2ijet.exe :: 시작 프로그램 등록 파일

해당 프로그램은 사용자가 제대로 확인하기 어려운 숨김(H) 속성으로 등록된 [C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\v2ijet] 폴더에 파일을 생성하며, Windows 시작시 v2ijet.exe 파일을 시작 프로그램으로 등록하여 자동으로 실행되도록 구성되어 있습니다.

시작 프로그램으로 등록된 v2ijet.exe 파일은 특정 서버에 접속하여 업데이트 체크를 하는 것을 확인할 수 있습니다.

프로그램이 설치된 환경에서 인터넷 검색시 iexplore.exe 프로세스 하위에 v2.exe 프로세스가 생성되어 사용자가 입력한 키워드를 특정 서버로 전송하여 매칭되는 부분을 찾는 것으로 확인되고 있습니다.

특히 연결 서버가 기존의 Addendum 광고와 연관된 것으로 보이며, 이는 차후 사이드바 광고 등이 생성될 수 있을 것으로 판단됩니다.

[추가 기능 관리 : 도구 모음 및 확장 프로그램]

이름 : {9FD0D694-6A99-4980-B2FF-35460705F2B1}
유형 : 브라우저 도우미 개체
CLSID : {9FD0D694-6A99-4980-B2FF-35460705F2B1}
파일 : C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\v2ijet\v2ijet.dll


해당 프로그램은 Internet Explorer 웹 브라우저 실행시 iexplore.exe 프로세스에 v2ijet.dll 파일을 브라우저 도우미 개체(BHO)로 등록하여, 사용자가 입력하는 키워드 감시를 통해 광고 생성 등의 동작을 할 것으로 추정됩니다.

해당 프로그램은 삭제 기능을 하는 파일(uninstall.exe)은 포함하고 있으나 제어판을 통한 삭제 기능을 제공하지 않고 있으므로, Internet Explorer 웹 브라우저를 종료한 상태에서 [C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\v2ijet\uninstall.exe] 파일을 직접 찾아서 수동으로 실행하시기 바랍니다.

참고로 해당 폴더는 숨김(H) 속성이므로 폴더 옵션에서 [숨김 파일, 폴더 및 드라이브 표시] 항목에 체크를 하시고 확인하시기 바랍니다.


[생성 레지스트리 등록 정보]

HKEY_CURRENT_USER\Software\v2ijet
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9FD0D694-6A99-4980-B2FF-35460705F2B1}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{9FD0D694-6A99-4980-B2FF-35460705F2B1}

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - v2ijet = C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\v2ijet\v2ijet.exe


해당 프로그램은 정상적인 프로그램이 설치되는 경로가 아닌 위치에 프로그램을 설치하고 있으며, 삭제 기능을 비정상적으로 제공하여 사용자들이 삭제하지 못하도록 방해하는 것으로 판단됩니다.

특히 개인적으로 확인한 유포 방식이 사용자 몰래 특정 광고 프로그램을 통해 설치가 이루어지고 있으며, 프로그램 목록에 제시되지 않는 문제와 폴더명으로는 어떤 기능을 하는 프로그램인지 확인하기 어렵다는 점에서 매우 주의하시기 바랍니다.

728x90
반응형