본문 바로가기

벌새::Analysis

검색 도우미 : FindLock

반응형

인터넷 검색시 광고창 생성을 유발하는 검색 도우미 FindLock 프로그램에 대해 살펴보도록 하겠습니다.

 

해당 프로그램의 설치 파일(MD5 : 2eef2d0ca0efef2a7172d90365954ecf)에 대하여 AhnLab V3 보안 제품에서는 Win-PUP/Helper.FindLock.513264 (VirusTotal : 10/42) 진단명으로 진단되고 있습니다.

 

  검색 도우미 : Dual Matching (2011.12.17)

 

  검색 도우미 : DualMatching (2012.3.15)

 

또한 해당 프로그램은 기존의 Dual Matching 검색 도우미 프로그램과 유사성이 강하므로 참고하시기 바랍니다.

 

[생성 폴더 / 파일 등록 정보]

 

 

C:\Documents and Settings\(사용자 계정)\Application Data\FindLock :: 숨김(H) 속성 폴더
C:\Documents and Settings\(사용자 계정)\Application Data\FindLock\dns.dat
C:\Documents and Settings\(사용자 계정)\Application Data\FindLock\excepturl.dat
C:\Documents and Settings\(사용자 계정)\Application Data\FindLock\exceptwrd.dat
C:\Documents and Settings\(사용자 계정)\Application Data\FindLock\findlock.dll :: BHO 등록 파일
C:\Documents and Settings\(사용자 계정)\Application Data\FindLock\fl_dn.exe :: 시작 프로그램 등록 파일
C:\Documents and Settings\(사용자 계정)\Application Data\FindLock\fl_install.exe
C:\Documents and Settings\(사용자 계정)\Application Data\FindLock\fl_uninstall.exe :: 프로그램 삭제 파일
C:\Documents and Settings\(사용자 계정)\Application Data\FindLock\popc.dat
C:\Documents and Settings\(사용자 계정)\Application Data\FindLock\qur.dat

 

해당 프로그램은 사용자가 확인하기 어려운 숨김(H) 속성 폴더 내부의 "C:\Documents and Settings\(사용자 계정)\Application Data\FindLock" 폴더에 파일을 생성하며, Windows 시작시 fl_dn.exe 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.

자동 실행된 fl_dn.exe 파일은 FindLock 업데이트 체크 이외에 서치스타(SearchStar) 적립금 프로그램 관련 서버에 연결하여 파일을 다운로드하는 시도를 확인할 수 있습니다.(※ 현재 테스트 시점에서는 다운로드는 차단되어 진행되지 않고 있으며, 만약 정상적으로 다운로드되어 설치가 이루어진 환경에서는 "Windows searchstar" 프로그램이 설치되는 것으로 추정됩니다.)

해당 프로그램이 설치된 환경에서 Internet Explorer 웹 브라우저의 주소 표시줄에 검색어를 입력할 경우, 자동으로 FindLock 광고 서버를 경유하여 네이버(Naver)로 연결되어 검색이 이루어지는 동작을 확인할 수 있습니다.

또한 포털 사이트 검색시 자동으로 추가적인 광고창이 생성되는 동작을 확인할 수 있습니다.

[추가 기능 관리 : 도구 모음 및 확장 프로그램]

 

 

이름 : FindLock
게시자 : LEEYEON communication
유형 : 브라우저 도우미 개체
CLSID : {350E5B3F-54E1-4E4C-8699-507885B4F9FC}
파일 : C:\Documents and Settings\(사용자 계정)\Application Data\FindLock\findlock.dll

 

해당 프로그램은 Internet Explorer 웹 브라우저 실행시 iexplore.exe 프로세스에 findlock.dll 파일을 브라우저 도우미 개체(BHO)로 등록하여 키워드 감시를 통한 광고창 생성 동작을 하도록 제작되어 있습니다.

 

그러므로 광고 동작의 중지를 위해서는 웹 브라우저의 추가 기능 관리에 등록된 "FindLock" 항목을 선택하여 "사용 안 함"으로 변경하시기 바랍니다.

프로그램 삭제시에는 Internet Explorer 웹 브라우저를 종료한 상태에서 제어판의 "FindLock" 삭제 항목을 이용하여 삭제할 수 있습니다.

 

[생성 레지스트리 등록 정보]

 

 

HKEY_CURRENT_USER\Software\8F983392-BD38-40D7-9B50-4F8C545B29CD
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\TabbedBrowsing
 - Enabled = 1
 - PopupsUseNewWindow = 2
 - ShortcutBehavior = 0
 - WarnOnClose = 0
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - FindLock = C:\Documents and Settings\(사용자 계정)\Application Data\FindLock\fl_dn.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\FindLock
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{350E5B3F-54E1-4E4C-8699-507885B4F9FC}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{350E5B3F-54E1-4E4C-8699-507885B4F9FC}

 

해당 프로그램은 프로그램 목록에 제시되지 않는 문제로 설치 여부를 확인하기 어려우며, 인터넷 검색시 광고창 생성 동작으로 불편을 유발할 수 있으므로 주의하시기 바랍니다.

728x90
반응형