울지않는벌새 : Security, Movie & Society

검색 도우미 : Double Ad System in

벌새::Analysis

특정 인터넷 쇼핑몰 접속시 광고 코드가 포함된 동일한 웹 사이트를 추가로 생성하는 검색 도우미 "Double Ad System in" 프로그램(MD5 : 7fd5c3d5eaf707c2ed00a13636a6f335)에 대해 살펴보도록 하겠습니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Documents and Settings\(사용자 계정)\Application Data\eqqlip
C:\Documents and Settings\(사용자 계정)\Application Data\eqqlip\eqqlipm.exe :: 메모리 상주 프로세스
C:\Documents and Settings\(사용자 계정)\Application Data\eqqlip\eqqlips.exe :: 서비스(Double Data Ad System Component) 등록 파일
C:\Documents and Settings\(사용자 계정)\Application Data\eqqlip\eqqlipu.exe
C:\Documents and Settings\(사용자 계정)\Application Data\eqqlip\focus.dat
C:\Documents and Settings\(사용자 계정)\Application Data\eqqlip\info.dat
C:\Documents and Settings\(사용자 계정)\Application Data\eqqlip\key.dat
C:\Documents and Settings\(사용자 계정)\Application Data\eqqlip\msvcp100.dll
C:\Documents and Settings\(사용자 계정)\Application Data\eqqlip\msvcr100.dll
C:\Documents and Settings\(사용자 계정)\Application Data\eqqlip\uninstall.exe :: 프로그램 삭제 파일
C:\Documents and Settings\(사용자 계정)\Application Data\eqqlip\up.dat

 

※ 해당 프로그램의 폴더명은 배포 파일에 따라 달라질 수 있습니다.(예, C:\Documents and Settings\(사용자 계정)\Application Data\ayuuoii)

해당 프로그램은 사용자가 확인하기 어려운 숨김(H) 속성값을 가진 폴더 내의 "C:\Documents and Settings\(사용자 계정)\Application Data\eqqlip" 폴더에 파일을 생성합니다.

설치된 프로그램은 "eqqlip(Double Data Ad System Component)" 서비스 항목을 등록하여 시스템 시작시 "C:\Documents and Settings\(사용자 계정)\Application Data\eqqlip\eqqlips.exe" 파일을 자동 실행하도록 구성되어 있습니다.

자동 실행된 eqqlips.exe 서비스 파일은 5분이 경과하는 시점에서 eqqlipm.exe 파일을 실행하여 카운터(Counter) 체크를 하며, eqqlipu.exe 파일을 실행하여 업데이트 체크 및 메모리에 상주하도록 구성되어 있습니다.

이 과정을 프로세스를 통해 살펴보면 최초 Windows 시작 후 5분 동안 eqqlips.exe 서비스 파일이 실행된 후 최종적으로 eqqlipm.exe 파일이 메모리에 상주하게 됩니다.

프로그램의 기능을 살펴보면 사용자가 11번가, G마켓, 옥션 등 특정 인터넷 쇼핑몰에 접속할 경우 추가적인 동일한 창을 생성하는 동작을 확인할 수 있습니다.

이 과정에서 추가적으로 생성된 웹 사이트는 광고 코드(click.interich.com)가 추가되어 열리는 것을 확인할 수 있습니다.

프로그램 삭제를 위해서는 Windows 작업 관리자를 실행하여 eqqlipm.exe 프로세스를 찾아 수동으로 종료한 후, 제어판의 "Double Ad System in" 삭제 항목을 이용하여 삭제할 수 있습니다.

 

또한 프로그램 삭제 후에는 추가적으로 다음의 폴더(파일)를 수동으로 삭제하시기 바랍니다.

  • C:\Documents and Settings\(사용자 계정)\Application Data\eqqlip
  • C:\Documents and Settings\(사용자 계정)\Application Data\eqqlip\focus.dat
  • C:\Documents and Settings\(사용자 계정)\Application Data\eqqlip\uninstall.exe
[생성 레지스트리 등록 정보]

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
doublead
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_EQQLIP
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\eqqlip

 

해당 프로그램은 폴더명(eqqlip)과 제어판에 등록된 프로그램 이름(Double Ad System in)이 달라 삭제에 불편이 예상되며, 인터넷 이용시 원치 않는 광고창이 생성되므로 주의하시기 바랍니다.