울지않는벌새 : Security, Movie & Society

해외 악성코드 : CheckRun22find

벌새::Analysis

PDF 뷰어 프로그램으로 유명한 Foxit Reader 프로그램을 설치하는 과정에서 기본값으로 체크된 스폰서 프로그램(22find.com)을 설치할 경우, AhnLab V3 보안 제품에서 Trojan/Win32.StartPage (VirusTotal : 9/46) 진단명으로 진단되는 부분이 있어서 확인을 해 보았습니다.

  • Make 22find my default search provider :: 기본 검색 공급자 변경
  • Make 22find.com my browser home page and new tags page :: 홈 페이지와 새 탭 페이지 변경

설치 화면에서는 22find.com 프로그램을 설치할 경우 웹 브라우저에서 제공하는 기본 검색 공급자와 홈 페이지 및 새 탭 페이지 값을 22find.com으로 변경한다고 안내하고 있습니다.

 

또한 제어판을 통한 삭제 지원 및 Google Chrome, Mozilla Firefox, Internet Explorer 웹 브라우저에서 동작하며, 테스트에서는 Internet Explorer 웹 브라우저를 기준으로 살펴보았습니다.

 

[생성 파일 등록 정보]

 

C:\Documents and Settings\(사용자 계정)\Application Data\CheckRun22find.exe :: 시작 프로그램 등록 파일 / 프로그램 삭제 파일
C:\Documents and Settings\(사용자 계정)\Application Data\Microsoft\Internet Explorer\Quick Launch\22find.lnk
C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\1.ico
C:\Documents and Settings\(사용자 계정)\바탕 화면\22find.lnk
C:\extensions.sqlite

 

[변경 파일 등록 정보 : 파일 속성 중 "대상" 변경]

 

C:\Documents and Settings\(사용자 계정)\Application Data\Microsoft\Internet Explorer\Quick Launch\Internet Explorer 브라우저 시작.lnk
C:\Documents and Settings\(사용자 계정)\시작 메뉴\프로그램\보조프로그램\시스템 도구\Internet Explorer(추가 기능 없음).lnk
C:\Documents and Settings\(사용자 계정)\시작 메뉴\프로그램\Internet Explorer.lnk

22find.com 프로그램이 설치되면 기본적으로 바탕 화면에 "22find" 바로가기 아이콘이 등록되며, 해당 아이콘을 클릭할 경우 웹 브라우저를 통해 "22Find Portal Site"로 연결이 이루어집니다.

문제는 22find.com 프로그램 설치로 인하여 PC에 기본적으로 등록되어 있는 Internet Explorer 웹 브라우저의 바로가기 등록 정보가 변경되어, 사용자가 웹 브라우저를 실행할 때마다 지정한 홈 페이지 값을 무시하고 22find.com으로 연결이 이루어지게 됩니다.

22find.com 프로그램 설치로 인해 변경된 Internet Explorer 웹 브라우저 등록 정보를 확인해보면 "대상" 정보에 22find.com URL 값이 추가되어 있는 것을 확인할 수 있습니다.

 

이로 인하여 사용자가 인터넷 옵션 및 프로그램 삭제를 하여도 지속적으로 웹 브라우저 실행시 22find.com으로 연결이 됩니다.

 

그러므로 22find.com 프로그램이 설치된 환경에서는 다음과 같은 방식으로 프로그램 삭제 및 추가적인 수정을 통해 이전 상태로 복구를 하시기 바랍니다.

 

(1) 제어판의 삭제 항목에서 "CheckRun22find_uninstaller" 항목을 찾아 실행하시기 바랍니다.

프로그램 삭제를 진행하면 "다음 계정으로 실행" 창이 생성될 경우, "권한 없는 프로그램 동작으로부터 내 컴퓨터 및 데이터 보호" 체크 박스를 해제한 후 "확인" 버튼을 클릭하시면 삭제가 진행됩니다.

 

(2) 제어판을 통한 프로그램 삭제 이후에도 생성된 파일이 존재하므로 수동으로 삭제하시기 바랍니다.

  • C:\Documents and Settings\(사용자 계정)\Application Data\Microsoft\Internet Explorer\Quick Launch\22find.lnk
  • C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\1.ico
  • C:\Documents and Settings\(사용자 계정)\바탕 화면\22find.lnk
  • C:\extensions.sqlite

(3) Internet Explorer 웹 브라우저 아이콘의 "속성" 값을 클릭하여 "대상" 정보를 수정하시기 바랍니다.

  • C:\Documents and Settings\(사용자 계정)\Application Data\Microsoft\Internet Explorer\Quick Launch\Internet Explorer 브라우저 시작.lnk
  • C:\Documents and Settings\(사용자 계정)\시작 메뉴\프로그램\보조프로그램\시스템 도구\Internet Explorer(추가 기능 없음).lnk
  • C:\Documents and Settings\(사용자 계정)\시작 메뉴\프로그램\Internet Explorer.lnk

수정에 필요한 Internet Explorer 웹 브라우저 바로가기는 총 3개이며, 해당 메뉴를 마우스 우클릭하여 "속성" 메뉴를 통해 접근하실 수 있습니다.

  • 변경 전 : "C:\Program Files\Internet Explorer\iexplore.exe" http://www.22find.com/?utm_source=b&utm_medium=fox&from=fox&uid=531364863_132775_D45BB61E&ts=1360233896
  • 변경 후 : "C:\Program Files\Internet Explorer\iexplore.exe"

생성된 창의 "바로가기 → 대상" 항목에 등록된 값을 "변경 전" 값에서 "변경 후" 값으로 수정하시기 바랍니다.

 

(4) 인터넷 옵션를 실행하여 "홈 페이지"에 등록된 22find.com 주소를 사용자가 원하는 주소(URL)로 변경하시기 바랍니다.

참고로 홈 페이지 변경을 하여도 "기본값 사용" 페이지의 경우에는 여전히 22find.com으로 등록되어 있습니다.

 

(5) 레지스트리 편집기(regedit)를 실행하여 생성(추가)된 값은 삭제하시고, "변경 후" 값은 "변경 전" 값으로 수정하시기 바랍니다.

 

HKEY_CURRENT_USER\Software\lnkguard
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
 - Default_Page_URL = http://www.22find.com/newtab?utm_source=b&utm_medium=fox&from=fox&uid=531364863_132775_D45BB61E&ts=1360233898 :: 추가
 - Start Page = (사용자 지정 홈 페이지 URL) :: 변경 전
 - Start Page = http://www.22find.com/newtab?utm_source=b&utm_medium=fox&from=fox&uid=531364863_132775_D45BB61E&ts=1360233898 :: 변경 후
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes
 - DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A} :: 변경 전
 - DefaultScope = {33BB0A4E-99AF-4226-BDF6-49120163DE86} :: 변경 후
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command
 - (기본값) = C:\Program Files\Internet Explorer\iexplore.exe :: 변경 전
 - (기본값) = C:\Program Files\Internet Explorer\iexplore.exe http://www.22find.com/?utm_source=b&utm_medium=fox&from=fox&uid=531364863_132775_D45BB61E&ts=1360233896 :: 변경 후
HKEY_LOCAL_MACHINE\SOFTWARE\findSoftware
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\AboutURLs
 - Tabs = res://ieframe.dll/tabswelcome.htm :: 변경 전
 - Tabs = http://www.22find.com/newtab?utm_source=b&utm_medium=fox&from=fox&uid=531364863_132775_D45BB61E&ts=1360233898 :: 변경 후
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main
 - Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 :: 변경 전
 - Default_Page_URL = http://www.22find.com/newtab?utm_source=b&utm_medium=fox&from=fox&uid=531364863_132775_D45BB61E&ts=1360233898 :: 변경 후
 - Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 :: 변경 전
 - Start Page = http://www.22find.com/newtab?utm_source=b&utm_medium=fox&from=fox&uid=531364863_132775_D45BB61E&ts=1360233898 :: 변경 후
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Search
 - CustomizeSearch = http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchcust.htm :: 변경 전
 - CustomizeSearch = http://search.22find.com/web/?utm_source=b&utm_medium=fox&from=fox&uid=531364863_132775_D45BB61E&ts=1360233899 :: 변경 후
 - SearchAssistant = http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm :: 변경 전
 - SearchAssistant = http://search.22find.com/web/?utm_source=b&utm_medium=fox&from=fox&uid=531364863_132775_D45BB61E&ts=1360233899 :: 변경 후
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - CheckRun22find_uninstaller = "C:\Documents and Settings\(사용자 계정)\Application Data\CheckRun22find.exe" -c=http://www.22find.com/?

utm_source=b&utm_medium=fox&from=fox&uid=531364863_132775_D45BB61E&ts=1360233896
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\CheckRun22find_uninstaller

 

이번 사례와 같이 정상적인 소프트웨어가 무료(Freeware)로 제공되는 과정에서 추가되는 제휴(스폰서) 프로그램으로 인해 시스템 기본값이 심하게 변경되며, 프로그램 삭제 이후에도 복구되지 않는 문제로 고생을 할 수 있습니다.

 

그러므로 프로그램 설치시에는 추가적으로 설치되는 부분이 있는지 꼼꼼하게 살펴보시기 바랍니다.