빠른 실행, 바탕 화면, 즐겨찾기, 명령 모음에 옥션(Auction) 바로가기 아이콘을 등록하는 검색 도우미 옥션(Auction) 프로그램(MD5 : 81e483c5b153eeea910914af5ea8409e)에 대해 살펴보도록 하겠습니다.
▷ 검색 도우미 : 웹가이드(WebGuide) (2011.10.24)
▷ 검색 도우미 : 웹컴파스(WebCompass) 1.0.2.9 (2011.12.10)
▷ 검색 도우미 : 앱이즈(AppIs) 1.0.0.1 (2012.1.6)
▷ 검색 도우미 : 웹 가이드(Web Guide) (2012.4.16)
▷ 검색 도우미 : Ipop(아이팝) (2012.5.17)
해당 프로그램은 웹컴파스(WebCompass) 계열 광고 프로그램으로 확인되고 있으므로 참고하시기 바랍니다.
배포용 설치 파일을 통해 설치가 이루어지면 특정 서버에서 옥션(Auction) 프로그램 설치 파일(MD5 : b7e512621eb3970ad9768838f6d7d75a)을 다운로드하며, 인터넷 임시 폴더에 ISjaryonara.exe 파일명으로 생성하여 설치가 이루어집니다.
C:\Documents and Settings\(사용자 계정)\Application Data\Microsoft\Internet Explorer\Quick Launch\옥션 바로가기.lnk
C:\Documents and Settings\(사용자 계정)\Favorites\옥션 바로가기.url
C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\Auction
C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\Auction\55.ico
C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\Auction\auction.dat
C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\Auction\auction.exe :: 예약된 작업 실행 파일
C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\Auction\auction.ico
C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\Auction\iconinfo.xml
C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\Auction\Log.txt
C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\Auction\pintotask.vbs
C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\Auction\unins000.dat
C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\Auction\unins000.exe :: 프로그램 삭제 파일
C:\Documents and Settings\(사용자 계정)\바탕 화면\옥션 바로가기.url
C:\WINDOWS\Tasks\Auction.job :: 예약된 작업 등록 파일
- C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\Auction\auction.exe (MD5 : 74f8c7d5da1eb11e4984394b5ed83f98) - AhnLab V3 : PUP/Win32.WebCompass (VirusTotal : 1/46)
해당 프로그램은 "C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\Auction" 폴더에 파일을 생성하며, 예약된 작업(C:\WINDOWS\Tasks\Auction.job)에 "Auction" 값을 등록하여 사용자 로그온시 실행하도록 구성되어 있습니다.
실행된 "Auction" 예약 작업은 ["C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\Auction\auction.exe" admin] 파일을 실행하여 업데이트 체크를 수행합니다.
프로그램이 설치된 환경에서는 빠른 실행, 바탕 화면, 즐겨찾기, 명령 모음에 "옥션 바로가기" 아이콘을 생성하여 클릭시 특정 제휴 코드가 추가된 형태로 옥션(Auction) 인터넷 쇼핑몰에 접속이 이루어집니다.
이름 : 옥션 바로가기
유형 : 브라우저 확장
CLSID : {18C04328-167E-446A-AC57-4A04DAD74BDC}
참고로 명령 모음에 등록된 "옥션 바로가기" 아이콘은 웹 브라우저의 추가 기능 관리에 등록된 "옥션 바로가기" 항목을 선택하여 "사용 안 함"으로 변경하시면 표시되지 않습니다.
프로그램 삭제는 제어판에 등록된 "옥션(Auction)" 삭제 항목을 이용하여 삭제할 수 있으며, 프로그램 삭제 후에는 추가적으로 "C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\Auction" 폴더를 찾아 수동으로 삭제하시기 바랍니다.
HKEY_CURRENT_USER\Software\Auction
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{18C04328-167E-446A-AC57-4A04DAD74BDC}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\옥션(Auction)_is1
해당 프로그램은 업데이트 기능을 통해 지속적으로 옥션(Auction) 관련 광고가 지속될 수 있으므로 사용자의 현명한 판단이 필요해 보입니다.