본문 바로가기

벌새::Analysis

제휴(스폰서) 프로그램 : Windows barocon

웹 브라우저의 즐겨찾기 모음에 인터넷 쇼핑몰 바로가기 아이콘을 등록하는 "Windows barocon" 프로그램(MD5 : f382aa65b69aa3fb9d7288b0d0883856)에 대해 살펴보도록 하겠습니다.

 

참고로 해당 프로그램은 "윈도우즈 권장 인터넷 확장 업데이트" 또는 "바로아이콘(Barocon) 업데이트 컨트롤러 프로그램"으로 설치가 이루어지고 있는 것으로 보입니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Documents and Settings\(사용자 계정)\Favorites\연결\11번가.url
C:\Documents and Settings\(사용자 계정)\Favorites\연결\옥션.url
C:\Documents and Settings\(사용자 계정)\Favorites\연결\지마켓.url
C:\Program Files\barocn
C:\Program Files\barocn\barocn.exe
C:\Program Files\barocn\barosvc.exe :: 서비스(barocn svc) 등록 파일
C:\Program Files\barocn\uninst.exe :: 프로그램 삭제 파일
C:\WINDOWS\1.ico
C:\WINDOWS\2.ico
C:\WINDOWS\3.ico

해당 프로그램은 "C:\Program Files\barocn" 폴더에 파일을 생성하며, "barocn(barocn svc)" 서비스 항목을 등록하여 시스템 시작시 "C:\Program Files\barocn\barosvc.exe" 파일을 자동 실행하도록 구성되어 있습니다.

자동 실행된 서비스 파일(barosvc.exe)은 "C:\Program Files\barocn\barocn.exe" 파일을 로딩하여 추가적인 업데이트 및 실행 로그를 외부 서버에서 체크합니다.(※ 해당 업데이트 기능을 통해 추가적인 수익성 프로그램 설치 등의 동작은 현재 확인되지 않고 있지만, 차후 업데이트 창 생성 등을 통해 설치 유도가 이루어질 가능성이 있습니다.)

"Windows barocon" 프로그램이 설치된 환경에서는 웹 브라우저의 즐겨찾기 모음에 11번가, G마켓, 옥션 바로가기 아이콘이 등록되며, 해당 연결을 통해 특정 광고 코드(cl.ilikeclick.com)가 추가되는 방식으로 인터넷 쇼핑몰에 접속이 이루어집니다.

프로그램 삭제는 제어판의 "Windows barocon" 삭제 항목을 이용하여 삭제할 수 있습니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
Windows barocon
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_BAROCN
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\barocn

 

해당 프로그램은 일반적인 바로가기 아이콘 등록을 통한 수익 창출 방식이지만, 시스템 시작시 업데이트 체크 동작은 차후 원치 않는 프로그램 설치의 통로가 될 가능성이 존재하므로 주의하시기 바랍니다.