본문 바로가기

벌새::Analysis

검색 도우미 : 컴퓨터119(COM119)

반응형

시스템 시작시 시스템 트레이 알림 아이콘 상단에 "컴퓨터 119" 관련 팝업창 생성 및 인터넷 검색시 팝업창을 생성하는 "컴퓨터119(COM119)" 프로그램에 대해 살펴보도록 하겠습니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Documents and Settings\(사용자 계정)\Application Data\com119 :: 숨김(H) 속성 폴더
C:\Documents and Settings\(사용자 계정)\Application Data\com119\Button.ocx
C:\Documents and Settings\(사용자 계정)\Application Data\com119\com119_STARTER.exe :: 시작 프로그램 등록 파일
C:\Documents and Settings\(사용자 계정)\Application Data\com119\com119.exe :: 프로그램 실행 파일
C:\Documents and Settings\(사용자 계정)\Application Data\com119\com119.ico
C:\Documents and Settings\(사용자 계정)\Application Data\com119\com119.lnk
C:\Documents and Settings\(사용자 계정)\Application Data\com119\icon.exe
C:\Documents and Settings\(사용자 계정)\Application Data\com119\MSCOMCTL.OCX
C:\Documents and Settings\(사용자 계정)\Application Data\com119\MSINET.OCX
C:\Documents and Settings\(사용자 계정)\Application Data\com119\msvbvm60.dll
C:\Documents and Settings\(사용자 계정)\Application Data\com119\temp.txt
C:\Documents and Settings\(사용자 계정)\Application Data\com119\text_db.txt
C:\Documents and Settings\(사용자 계정)\Application Data\com119\uninst.exe :: 프로그램 삭제 파일
C:\Documents and Settings\(사용자 계정)\Application Data\com119\UpdateTemp
C:\Documents and Settings\(사용자 계정)\Application Data\com119\VB6KO.DLL
C:\Documents and Settings\(사용자 계정)\Application Data\com119\vsflex8n.ocx
C:\Documents and Settings\(사용자 계정)\Application Data\com119\wininet.dll
C:\Documents and Settings\(사용자 계정)\Application Data\Microsoft\Internet Explorer\Quick Launch\컴퓨터수리 전문업체 - 컴119.Lnk
C:\Documents and Settings\(사용자 계정)\Favorites\컴퓨터수리 전문업체 - 컴119.Lnk
C:\Documents and Settings\(사용자 계정)\바탕 화면\컴퓨터119.lnk

 

해당 프로그램은 사용자가 확인하기 어려운 숨김(H) 속성값을 가진 폴더 내의 "C:\Documents and Settings\(사용자 계정)\Application Data\com119" 폴더에 파일을 생성하며, Windows 시작시 com119_STARTER.exe 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.

 

자동 실행된 com119_STARTER.exe 파일은 업데이트 체크를 통해 추가적으로 프로그램 버전 체크, 빠른 실행, 즐겨찾기에 "컴퓨터수리 전문업체 - 컴119" 바로가기 아이콘 추가, 프로그램 실행, 팝업창 생성 동작을 확인할 수 있습니다. 

우선 설치된 파일을 살펴보면 com119.exe, com119_STARTER.exe 2개의 파일 속성값에는 마이크로소프트(Microsoft) 업체의 파일을 위장을 하고 있는 점을 확인할 수 있습니다. 

또한 즐겨찾기와 빠른 실행에 등록된 "컴퓨터수리 전문업체 - 컴119" 바로가기 아이콘을 실행할 경우 국내 특정 PC 수리 관련 웹 사이트로 연결되고 있습니다. 

바탕 화면에 생성된 "컴퓨터119" 바로가기 아이콘을 실행할 경우 그림과 같은 홍보 목적으로 제작된 "컴퓨터119" 프로그램이 실행되면서 업데이트 체크 동작이 이루어지고 있습니다. 

또한 이와 함께 시스템 트레이 알림 아이콘 상단에서는 컴퓨터119 관련 홍보 팝업창이 생성되는 동작을 확인할 수 있습니다.(※ 해당 팝업창은 시스템 시작시에도 자동으로 노출됩니다.)

프로그램이 설치된 환경에서 사용자가 특정 검색 키워드를 입력할 경우, 시스템 트레이 알림 아이콘 상단에 해당 키워드 값을 기반으로 한 팝업창이 생성되는 동작을 확인할 수 있습니다. 

시스템이 실행되면 com119.exe 프로세스가 메모리에 상주하여 프로그램 실행 및 팝업창 생성 동작이 이루어지므로, 광고 동작 중지 및 프로그램 삭제시에는 Windows 작업 관리자를 실행하여 com119.exe 프로세스를 수동으로 종료하시기 바랍니다. 

프로그램 삭제는 제어판의 "컴퓨터119" 삭제 항목을 이용하여 삭제할 수 있으며, 프로그램 삭제 후에는 추가적으로 다음의 폴더(파일)를 찾아 수동으로 삭제하시기 바랍니다.

  • C:\Documents and Settings\(사용자 계정)\Application Data\com119
  • C:\Documents and Settings\(사용자 계정)\Application Data\com119\com119.lnk
  • C:\Documents and Settings\(사용자 계정)\Application Data\com119\icon.exe
  • C:\Documents and Settings\(사용자 계정)\Application Data\com119\temp.txt
  • C:\Documents and Settings\(사용자 계정)\Application Data\com119\UpdateTemp
  • C:\Documents and Settings\(사용자 계정)\Application Data\Microsoft\Internet Explorer\Quick Launch\컴퓨터수리 전문업체 - 컴119.Lnk
  • C:\Documents and Settings\(사용자 계정)\Favorites\컴퓨터수리 전문업체 - 컴119.Lnk
[생성 레지스트리 등록 정보]

 

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{4CDEF22B-0B6B-4166-BEB7-7D14AEC46F01}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{74233DB3-F72F-44ea-94DC-258A624037E6}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{2DD2C8FA-D19C-4B14-AC7E-3E5CBCFAE40F}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{6E70D75A-17C8-4652-A9CD-40AD15F743B3}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{8E203240-537D-11D3-BD8C-000000000000}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{99B81306-F18F-4C28-8801-EC9676762E88}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{AE0657D8-0755-4F44-B00B-18EB2CCC9E3D}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{F7BD8706-6CE2-4F7D-B797-1E3A9B617C00}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{FE41E29B-36E8-4841-99CA-C7ED4A93100A}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\MUC_Button2.MUCButton2
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{55D118D5-A5A3-4700-B2AF-B128BB8E6F29}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{9DB12C0E-8736-49E6-9CA1-896A1E67D6F3}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\VSFlexGrid8.VSFlexGridN
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\VSFlexGrid8.VSFlexGridN.1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\AppMainExe.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - COM119 = C:\Documents and Settings\(사용자 계정)\Application Data\com119\com119_STARTER.exe com119biz|ONESOFT
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\컴퓨터119

 

해당 프로그램은 프로그램 삭제 후에도 일부 바로가기 아이콘 등록을 통해 지속적인 홍보가 가능하며, 인터넷 검색시 원치 않는 팝업창 광고가 노출될 수 있으므로 주의하시기 바랍니다.

728x90
반응형