웹 브라우저 상단에 광고바를 생성하는 검색 도우미 "EZ플러스 V.1.1 for Windows" 프로그램에 대해 살펴보도록 하겠습니다.
해당 프로그램의 설치 파일(MD5 : 9c80af1d628f30abce7e103a5b7a6022)에 대하여 AhnLab V3 보안 제품에서는 Win-PUP/Helper.EzPlus.1169304 (VirusTotal : 14/46) 진단명으로 진단되고 있습니다.
▷ 국내 악성코드 : ezPlus V.1.0 for Windows (2012.7.24)
또한 해당 프로그램은 기존의 "ezPlus V.1.0 for Windows" 검색 도우미의 변형된 프로그램이므로 참고하시기 바랍니다.
C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\Microsoft\Windows ez-Plus V.1.1
C:\Program Files\Common Files\EZ-Plus
C:\Program Files\Common Files\EZ-Plus\ez-Plus.dll :: BHO(이지플러스(ez-Plus)_ezPlusbho) 등록 파일
C:\Program Files\Common Files\EZ-Plus\ez-PlusDUDF.exe
C:\Program Files\Common Files\EZ-Plus\ez-PlusP.dll :: BHO(이지플러스(ez-Plus)_ezPlusbho Class) 등록 파일
C:\Program Files\Common Files\EZ-Plus\ez-PlusSC.exe :: 서비스(Windows ez-Plus V.1.1) 등록 파일
C:\Program Files\Common Files\EZ-Plus\ez-PlusUDF.exe
C:\Program Files\Common Files\EZ-Plus\Uninstall.exe :: 프로그램 삭제 파일
C:\Program Files\Common Files\EZ-Plus\ez-Plus.dll
- MD5 : 564edb0077bc86b4de6eedace053e78d
- nProtect : Adware/W32.KrAdword.200984 (VirusTotal : 4/46)
C:\Program Files\Common Files\EZ-Plus\ez-PlusDUDF.exe
- MD5 : 96311da9397e578c4f3b0de216fca5c5
- nProtect : Adware/W32.KrAdword.342296 (VirusTotal : 3/46)
C:\Program Files\Common Files\EZ-Plus\ez-PlusP.dll
- MD5 : b91f7707972dc98138f1488f0a8417af
- nProtect : Adware/W32.KrAdword.196888 (VirusTotal : 4/41)
C:\Program Files\Common Files\EZ-Plus\ez-PlusSC.exe
- MD5 : f29276206071b34251ed04f945c55f0b
- nProtect : Adware/W32.KrAdword.76056 (VirusTotal : 5/46)
C:\Program Files\Common Files\EZ-Plus\ez-PlusUDF.exe
- MD5 : f6a2595af530450b08a79d19d7592a81
- nProtect : Adware/W32.KrAdword.421144 (VirusTotal : 5/46)
"EZ플러스 V.1.1 for Windows" 프로그램은 사용자의 눈을 피하기 위하여 "C:\Program Files\Common Files\EZ-Plus" 폴더에 파일을 생성합니다.
설치된 프로그램은 "ez-Plus(Windows ez-Plus V.1.1)" 서비스 항목을 등록하여 시스템 시작시 "C:\Program Files\Common Files\EZ-Plus\ez-PlusSC.exe" 파일을 자동으로 실행하도록 구성되어 있습니다.
자동 실행된 서비스 파일(ez-PlusSC.exe)은 ez-PlusUDF.exe 파일을 로딩하여 특정 업데이트 서버와 연결되지만, 테스트 시점에서는 업데이트 서버는 "404 Not Found" 상태입니다.
하지만 이전 버전(ezPlus V.1.0 for Windows)을 고려한다면 추가적인 다운로드를 통해 프로그램 설치 가능성이 존재합니다.
프로그램이 설치된 환경에서 인터넷 검색시 특정 검색 키워드 값을 입력할 경우 웹 브라우저 상단에 그림과 같은 광고바를 생성하는 동작을 확인할 수 있습니다.
이름 : 이지플러스(ez-Plus)_ezPlusbho
게시자 : Nbiz Solution
유형 : 브라우저 도우미 개체
CLSID : {1F810C3E-B96E-400D-A8CB-B822620AC3BE}
파일 : C:\Program Files\Common Files\EZ-Plus\ez-Plus.dll
이름 : 이지플러스(ez-Plus)_ezPlusbho Class
게시자 : Nbiz Solution
유형 : 브라우저 도우미 개체
CLSID : {26ABCC55-0790-466A-8F3F-8C176D6C9CA1}
파일 : C:\Program Files\Common Files\EZ-Plus\ez-PlusP.dll
해당 프로그램은 ez-Plus.dll, ez-PlusP.dll 2개의 파일을 브라우저 도우미 개체(BHO)로 등록하여 웹 브라우저를 이용한 인터넷 검색시 키워드 감시를 통한 광고바 생성 및 광고 코드 추가 동작이 이루어집니다.
그러므로 광고 동작의 중지를 위해서는 웹 브라우저의 추가 기능 관리에 등록된 "이지플러스(ez-Plus)_ezPlusbho", "이지플러스(ez-Plus)_ezPlusbho Class" 2개의 항목을 선택하여 "사용 안 함"으로 변경하시기 바랍니다.
프로그램 삭제시에는 Internet Explorer 웹 브라우저를 종료한 상태에서 제어판의 "EZ플러스 V.1.1 for Windows (only Remove)" 삭제 항목을 이용하여 삭제할 수 있습니다.
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Windows ez-Plus V.1.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1F810C3E-B96E-400d-A8CB-B822620AC3BE}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{26ABCC55-0790-466A-8F3F-8C176D6C9CA1}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\EzPlus.ezPlusbho
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\EzPlus.ezPlusbho.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\EzPlusP.ezPlusPbho
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\EzPlusP.ezPlusPbho.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{5D35294E-DD42-4924-8326-EDCB7146B2F8}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{C8346282-748D-4E57-9FFD-16AE67150721}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{7FB37ACF-ABB4-4964-AE0D-D1F58B07F466}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{ED17B490-CBAB-4924-A265-92CBB8DF8E16}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{1F810C3E-B96E-400d-A8CB-B822620AC3BE}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{26ABCC55-0790-466A-8F3F-8C176D6C9CA1}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Windows ez-Plus V.1.1
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_EZ-PLUS
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ez-Plus
해당 프로그램은 배포 초기에 업데이트 기능을 통한 추가적인 프로그램 설치가 있었을 수 있으며, 인터넷 이용시 원치 않는 광고바가 생성되므로 주의하시기 바랍니다.