본문 바로가기

벌새::Analysis

검색 도우미 : 옥션(Auction)

빠른 실행, 바탕 화면, 즐겨찾기, 명령 모음에 옥션(Auction) 바로가기 아이콘을 등록하는 검색 도우미 옥션(Auction) 프로그램(MD5 : 81e483c5b153eeea910914af5ea8409e)에 대해 살펴보도록 하겠습니다.

 

  검색 도우미 : 웹가이드(WebGuide) (2011.10.24)

 

  검색 도우미 : 웹컴파스(WebCompass) 1.0.2.9 (2011.12.10)

 

  검색 도우미 : 앱이즈(AppIs) 1.0.0.1 (2012.1.6)

 

  검색 도우미 : 웹 가이드(Web Guide) (2012.4.16)

 

  검색 도우미 : Ipop(아이팝) (2012.5.17)

 

해당 프로그램은 웹컴파스(WebCompass) 계열 광고 프로그램으로 확인되고 있으므로 참고하시기 바랍니다.

배포용 설치 파일을 통해 설치가 이루어지면 특정 서버에서 옥션(Auction) 프로그램 설치 파일(MD5 : b7e512621eb3970ad9768838f6d7d75a)을 다운로드하며, 인터넷 임시 폴더에 ISjaryonara.exe 파일명으로 생성하여 설치가 이루어집니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Documents and Settings\(사용자 계정)\Application Data\Microsoft\Internet Explorer\Quick Launch\옥션 바로가기.lnk
C:\Documents and Settings\(사용자 계정)\Favorites\옥션 바로가기.url
C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\Auction
C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\Auction\55.ico
C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\Auction\auction.dat
C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\Auction\auction.exe :: 예약된 작업 실행 파일
C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\Auction\auction.ico
C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\Auction\iconinfo.xml
C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\Auction\Log.txt
C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\Auction\pintotask.vbs
C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\Auction\unins000.dat
C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\Auction\unins000.exe :: 프로그램 삭제 파일
C:\Documents and Settings\(사용자 계정)\바탕 화면\옥션 바로가기.url
C:\WINDOWS\Tasks\Auction.job :: 예약된 작업 등록 파일

  • C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\Auction\auction.exe (MD5 : 74f8c7d5da1eb11e4984394b5ed83f98) - AhnLab V3 : PUP/Win32.WebCompass (VirusTotal : 1/46)

해당 프로그램은 "C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\Auction" 폴더에 파일을 생성하며, 예약된 작업(C:\WINDOWS\Tasks\Auction.job)에 "Auction" 값을 등록하여 사용자 로그온시 실행하도록 구성되어 있습니다.

실행된 "Auction" 예약 작업은 ["C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\Auction\auction.exe" admin] 파일을 실행하여 업데이트 체크를 수행합니다.

프로그램이 설치된 환경에서는 빠른 실행, 바탕 화면, 즐겨찾기, 명령 모음에 "옥션 바로가기" 아이콘을 생성하여 클릭시 특정 제휴 코드가 추가된 형태로 옥션(Auction) 인터넷 쇼핑몰에 접속이 이루어집니다.

[추가 기능 관리 : 도구 모음 및 확장 프로그램]

 

이름 : 옥션 바로가기

유형 : 브라우저 확장

CLSID : {18C04328-167E-446A-AC57-4A04DAD74BDC}

 

참고로 명령 모음에 등록된 "옥션 바로가기" 아이콘은 웹 브라우저의 추가 기능 관리에 등록된 "옥션 바로가기" 항목을 선택하여 "사용 안 함"으로 변경하시면 표시되지 않습니다.

프로그램 삭제는 제어판에 등록된 "옥션(Auction)" 삭제 항목을 이용하여 삭제할 수 있으며, 프로그램 삭제 후에는 추가적으로 "C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\Auction" 폴더를 찾아 수동으로 삭제하시기 바랍니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\Auction
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{18C04328-167E-446A-AC57-4A04DAD74BDC}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\옥션(Auction)_is1

 

해당 프로그램은 업데이트 기능을 통해 지속적으로 옥션(Auction) 관련 광고가 지속될 수 있으므로 사용자의 현명한 판단이 필요해 보입니다.