본문 바로가기

벌새::Analysis

제휴(스폰서) 프로그램 : CxIm Application AkX

바탕 화면에 11번가 인터넷 쇼핑몰 바로가기 아이콘을 생성하지만, 실제적인 목적은 추가적인 수익성 프로그램 설치를 위한 "빠른 가로가기" 창을 생성하는 "CxIm Application AkX" 프로그램(MD5 : 6e351e585b9e6f0ecb799afd328fd1a3)에 대해 살펴보도록 하겠습니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Documents and Settings\(사용자 계정)\바탕 화면\11st바로가기.url
C:\Program Files\newbac
C:\Program Files\newbac\11st.ico
C:\Program Files\newbac\BaconUp.exe :: 시작 프로그램 등록 파일
C:\Program Files\newbac\RemoveBC.exe :: 프로그램 삭제 파일

해당 프로그램은 "C:\Program Files\newbac" 폴더에 파일을 생성하며, Windows 시작시 BaconUp.exe 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.

생성된 프로그램은 바탕 화면에 "11st바로가기" 아이콘을 생성하고 있지만, 일반적인 사례를 비추어봤을 때 등록된 URL 주소가 광고 코드가 포함된 11번가 인터넷 쇼핑몰 형태가 아니라는 점에 주목할 필요가 있습니다.(※ 어쩌면 테스트 목적상 광고 코드를 넣지 않았을 수 있습니다.)

 

즉, "CxIm Application AkX" 프로그램은 11번가 인터넷 쇼핑몰 광고 프로그램이 아닌 다른 목적을 가진 것으로 추정됩니다.

프로그램의 핵심 기능을 살펴보면 시스템 시작시 자동 실행된 BaconUp.exe 파일은 특정 서버에 연결되는 것을 확인할 수 있습니다.

BaconUp.exe 파일 실행 후 1분 10초가 경과하는 시점에서 "빠른 바로가기" 창이 생성되면서 "구성요소 및 추가 프로그램 업데이트" 영역에 수익성 프로그램을 등록하는 방식으로 설치를 유도하는 동작을 확인할 수 있습니다.

실제 사용자가 "확인" 버튼을 클릭하면 서버에 등록된 abc.exe 값을 받아 다운로드를 시도하는 동작을 확인할 수 있습니다.(※ 현재는 테스트 목적으로 체크 박스 선택이 이루어지지 않으며, 실제적인 파일 다운로드도 이루어지지 않습니다.)

그러므로 "빠른 바로가기" 창이 생성되는 경우에는 우측 상단의 "닫기(X)" 버튼 클릭 또는 Windows 작업 관리자를 실행하여 BaconUp.exe 프로세스를 찾아 수동으로 종료하시기 바랍니다.

프로그램 삭제는 제어판의 "CxIm Application AkX" 삭제 항목을 이용하여 삭제할 수 있으며, 프로그램 삭제 후에는 추가적으로 "C:\Documents and Settings\(사용자 계정)\바탕 화면\11st바로가기.url" 바탕 화면 바로가기 아이콘을 찾아 수동으로 삭제하시기 바랍니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\nbcon
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - newbac = C:\Program Files\newbac\baconup.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\newbac

 

해당 프로그램은 제어판에 등록된 이름(CxIm Application AkX)으로는 어떤 기능을 하는 프로그램인지 전혀 알 수 없으며, 시스템 시작시 원치 않는 업데이트 창을 통해 추가적인 프로그램의 설치를 유도하므로 주의하시기 바랍니다.