본문 바로가기

벌새::Analysis

[삭제] 즐겨찾기 백업 프로그램 : EasyFavo

사용자 PC에 등록된 즐겨찾기 항목을 백업해주는 프로그램을 이용하여 다양한 인터넷 쇼핑몰 바로가기를 생성하는 즐겨찾기 백업 프로그램 "EasyFavo"에 대해 살펴보도록 하겠습니다.

 

해당 프로그램의 설치 파일(MD5 : 9bd35f2c7e9212f177a5a2e1852601b1)에 대하여 AhnLab V3 보안 제품에서는 PUP/Win32.EasyFavo (VirusTotal : 26/41) 진단명으로 진단되고 있습니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Documents and Settings\(사용자 계정)\Favorites\쟠쟏.url
C:\Documents and Settings\(사용자 계정)\Favorites\11.url
C:\Documents and Settings\(사용자 계정)\Favorites\11번.url
C:\Documents and Settings\(사용자 계정)\Favorites\11번가.lnk
C:\Documents and Settings\(사용자 계정)\Favorites\11번가.url
C:\Documents and Settings\(사용자 계정)\Favorites\auction.url
C:\Documents and Settings\(사용자 계정)\Favorites\dhrtus.url
C:\Documents and Settings\(사용자 계정)\Favorites\dnlwmdnlem.url
C:\Documents and Settings\(사용자 계정)\Favorites\gkvmzmffjq.url
C:\Documents and Settings\(사용자 계정)\Favorites\gmarket.url
C:\Documents and Settings\(사용자 계정)\Favorites\g마켓.url
C:\Documents and Settings\(사용자 계정)\Favorites\halfclub.url
C:\Documents and Settings\(사용자 계정)\Favorites\lotte.url
C:\Documents and Settings\(사용자 계정)\Favorites\sinsege.url
C:\Documents and Settings\(사용자 계정)\Favorites\tlstprP.url
C:\Documents and Settings\(사용자 계정)\Favorites\wizwid.url
C:\Documents and Settings\(사용자 계정)\Favorites\wizwith.url
C:\Documents and Settings\(사용자 계정)\Favorites\롯대쇼핑몰.url
C:\Documents and Settings\(사용자 계정)\Favorites\롯대홈쇼핑.url
C:\Documents and Settings\(사용자 계정)\Favorites\롯데쇼핑.url
C:\Documents and Settings\(사용자 계정)\Favorites\롯데쇼핑몰.url
C:\Documents and Settings\(사용자 계정)\Favorites\롯데홈쇼핑.url
C:\Documents and Settings\(사용자 계정)\Favorites\신라면세점.url
C:\Documents and Settings\(사용자 계정)\Favorites\신세개.url
C:\Documents and Settings\(사용자 계정)\Favorites\신세게.url
C:\Documents and Settings\(사용자 계정)\Favorites\신세게몰.url
C:\Documents and Settings\(사용자 계정)\Favorites\신세계.url
C:\Documents and Settings\(사용자 계정)\Favorites\신세계몰.url
C:\Documents and Settings\(사용자 계정)\Favorites\신세계쇼핑몰.url
C:\Documents and Settings\(사용자 계정)\Favorites\억션.url
C:\Documents and Settings\(사용자 계정)\Favorites\옥션.lnk
C:\Documents and Settings\(사용자 계정)\Favorites\옥션.url
C:\Documents and Settings\(사용자 계정)\Favorites\위즈위.url
C:\Documents and Settings\(사용자 계정)\Favorites\위즈위드.url
C:\Documents and Settings\(사용자 계정)\Favorites\지마캐.url
C:\Documents and Settings\(사용자 계정)\Favorites\지마켓.lnk
C:\Documents and Settings\(사용자 계정)\Favorites\지마켓.url
C:\Documents and Settings\(사용자 계정)\Favorites\하프.url
C:\Documents and Settings\(사용자 계정)\Favorites\하프크럽.url
C:\Documents and Settings\(사용자 계정)\Favorites\하프클럽.url
C:\Documents and Settings\(사용자 계정)\Favorites\하프클립.url
C:\Documents and Settings\(사용자 계정)\바탕 화면\11번가.lnk
C:\Documents and Settings\(사용자 계정)\바탕 화면\옥션.lnk
C:\Documents and Settings\(사용자 계정)\바탕 화면\즐겨찾기백업 EasyFavo.lnk
C:\Documents and Settings\(사용자 계정)\바탕 화면\지마켓.lnk
C:\Documents and Settings\(사용자 계정)\시작 메뉴\즐겨찾기백업 EasyFavo.lnk
C:\Documents and Settings\(사용자 계정)\시작 메뉴\프로그램\EasyFavo
C:\Documents and Settings\(사용자 계정)\시작 메뉴\프로그램\EasyFavo\즐겨찾기백업 EasyFavo.lnk
C:\Program Files\EasyFavo
C:\Program Files\EasyFavo\EasyFavo.exe :: 시작 프로그램 등록 파일 / 프로그램 실행 파일
C:\Program Files\EasyFavo\EasyFavoUninst.exe :: 프로그램 삭제 파일
C:\WINDOWS\11st.ico
C:\WINDOWS\auction.ico
C:\WINDOWS\gmarket.ico

 

[생성 파일 진단 정보]

 

C:\Program Files\EasyFavo\EasyFavo.exe
 - MD5 : 35efc6a64c32d5db52659125b0d25f5a
 - Hauri ViRobot : Trojan.Win32.S.Downloader.352768.A (VirusTotal : 25/41)

 

해당 프로그램은 Windows 시작시 "C:\Program Files\EasyFavo\EasyFavo.exe" 파일을 시작 프로그램으로 등록하여 자동 실행되어 업데이트 체크를 하도록 구성되어 있습니다. 

사용자가 바탕 화면 또는 시작 메뉴에 등록된 "즐겨찾기백업 EasyFavo" 바로가기 아이콘을 실행할 경우, 즐겨찾기 백업 프로그램이 동작하여 회원 가입을 통한 사용자 즐겨찾기를 백업할 수 있습니다. 

하지만 프로그램 설치를 통해 즐겨찾기, 바탕 화면, 브라우저 확장 영역에 G마켓, 11번가, 옥션 바로가기 아이콘이 생성됩니다. 

해당 바로가기 아이콘을 이용하여 인터넷 쇼핑몰에 접속할 경우 특정 광고 코드(click.linkprice.com)를 경유하여, 특정 조건을 만족시킬 경우 프로그램 제작자(배포자)에게 금전적 수익이 발생할 수 있습니다. 

  • C:\Documents and Settings\(사용자 계정)\Favorites\11번가.lnk
  • C:\Documents and Settings\(사용자 계정)\Favorites\옥션.lnk
  • C:\Documents and Settings\(사용자 계정)\Favorites\지마켓.lnk

그런데 프로그램 설치로 인해 생성된 인터넷 쇼핑몰 바로가기 아이콘은 11번가, G마켓, 옥션 3종이지만, 실제 즐겨찾기 영역(C:\Documents and Settings\(사용자 계정)\Favorites)에 등록된 바로가기를 확인해보면 그 외에 38종의 인터넷 바로가기 아이콘이 등록되어 있는 것을 확인할 수 있습니다. 

해당 인터넷 바로가기 아이콘은 숨김(H) 속성값을 가지고 있으며, 윈도우(Windows) 기본 폴더값에서는 표시되지 않습니다.

 

만약 사용자가 해당 즐겨찾기에 등록된 다수의 인터넷 쇼핑몰 바로가기 아이콘 일부를 삭제를 시도한 경우에는 시스템 재부팅 과정에서 다음과 같은 추가적인 동작을 확인할 수 있습니다. 

시스템 시작시 자동으로 실행되는 EasyFavo.exe 파일은 등록된 인터넷 바로가기를 체크하여 일부가 삭제된 경우 "C:\" 폴더에 숨김(H) 속성값을 가지는 38종의 인터넷 쇼핑몰 바로가기 아이콘을 등록하는 동작을 확인할 수 있습니다.

 

실제 이런 숨김(H) 속성값을 가지는 인터넷 바로가기 아이콘이 웹 브라우저의 즐겨찾기에 표시되지는 않지만, 해당 인터넷 바로가기 아이콘 역시 광고 코드가 추가되어 있으므로 광고에 활용될 수도 있습니다. 

EasyFavo 즐겨찾기 백업 프로그램이 실행되면 EasyFavo.exe 프로세스가 생성되므로, 프로그램 삭제시에는 Windows 작업 관리자에서 해당 프로세스가 존재할 경우 수동으로 종료하시고 삭제를 진행하시기 바랍니다. 

프로그램 삭제는 제어판의 "EasyFavo" 삭제 항목을 이용하여 프로그램을 삭제할 수 있으며, 제어판을 통한 삭제를 진행할 경우 다음의 폴더(파일)만 삭제 처리가 이루어집니다.

  • C:\Documents and Settings\(사용자 계정)\바탕 화면\즐겨찾기백업 EasyFavo.lnk
  • C:\Documents and Settings\(사용자 계정)\시작 메뉴\즐겨찾기백업 EasyFavo.lnk
  • C:\Documents and Settings\(사용자 계정)\시작 메뉴\프로그램\EasyFavo
  • C:\Documents and Settings\(사용자 계정)\시작 메뉴\프로그램\EasyFavo\즐겨찾기백업 EasyFavo.lnk
  • C:\Program Files\EasyFavo
  • C:\Program Files\EasyFavo\EasyFavo.exe
  • C:\Program Files\EasyFavo\EasyFavoUninst.exe

그러므로 즐겨찾기, 바탕 화면, 브라우저 확장 영역에 등록된 11번가, G마켓, 옥션 바로가기 아이콘은 삭제되지 않은 상태로 지속적인 수익 창출이 가능하므로, 삭제되지 않는 부분은 다음의 절차에 따라 수동으로 삭제를 진행하시기 바랍니다.

 

(1) "생성 폴더(파일) 등록 정보"를 참조하여 삭제되지 않은 파일을 찾아 삭제하시기 바랍니다.

 

(2) Internet Explorer 웹 브라우저의 추가 기능 관리를 실행하여 "G마켓 바로가기, 옥션 바로가기, 11번가 바로가기" 항목을 선택하여 "사용 안 함"으로 변경하시기 바랍니다. 

 

(3) 레지스트리 편집기(regedit)를 실행하여 생성된 레지스트리 값을 찾아 수동으로 삭제하시기 바랍니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\EasyFavo
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{22921FA5-FB8F-4F5A-BA21-3FEE5371ECAE}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{2A110AA2-C539-4E9E-B0CE-DC03ECD04BBD}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{79C6AB14-79A8-4803-B4F7-FB59D6A6136E}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - EasyFavo = "C:\Program Files\EasyFavo\EasyFavo.exe" /update
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
EasyFavo

 

인터넷 쇼핑몰 바로가기 아이콘을 생성하는 광고 프로그램 중에서는 이번과 같이 프로그램 삭제 이후에도 제대로 삭제하지 않는 방식으로 수익을 유발하는 사례가 많으므로 주의하시기 바랍니다.