웹 브라우저 상단에 광고바를 생성하며, 시스템 시작 및 인터넷 검색시 추가적인 광고창을 생성하는 검색 도우미 "Windows Internet displaylink" 프로그램(MD5 : bad249fa26d2463549af4d1535f3f1a5)에 대해 살펴보도록 하겠습니다.
▶ <2011년 관련 정보> 검색 도우미 : Windows Onestep System - onestep (2011.11.22) 외 1종
▶ <2012년 관련 정보> 검색 도우미 : 웹코어스(WebCores) - media help webcores (2012.11.17) 외 9종
해당 프로그램과 유사성이 강한 다수의 검색 도우미 프로그램들이 존재하였으므로 참고하시기 바랍니다.
C:\Program Files\displaylink
C:\Program Files\displaylink\category.dt
C:\Program Files\displaylink\cfme.dcl
C:\Program Files\displaylink\displaylink.exe :: 시작 프로그램(displaylink) 등록 파일
C:\Program Files\displaylink\displaylinkb.dll :: BHO 등록 파일
C:\Program Files\displaylink\ls.plc
C:\Program Files\displaylink\mbox.exe :: 시작 프로그램(mbox) 등록 파일 / 메모리 상주 프로세스
C:\Program Files\displaylink\mecf.dcl
C:\Program Files\displaylink\nhopen.dll
C:\Program Files\displaylink\timeAdd.dll
C:\Program Files\displaylink\uninstall.exe :: 프로그램 삭제 파일
C:\Program Files\displaylink\displaylink.exe
- MD5 : 7b4530bc0a8071ced629a38dca3ac86e
- Microsoft : TrojanDownloader:Win32/Pluzoks.A (VT : 24/46)
C:\Program Files\displaylink\mbox.exe
- MD5 : ee2ff71ae586c6e55180b60b4b859150
- AhnLab V3 : PUP/Win32.URLHelper (VT : 14/46)
해당 프로그램은 "C:\Program Files\displaylink" 폴더에 파일을 생성하며, Windows 시작시 displaylink.exe, mbox.exe 2개의 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.
특히 "Windows Internet displaylink" 프로그램 파일 중에는 OpenPot 또는 오픈매치(OpenMatch) 광고 프로그램으로 알려진 mbox.exe, nhopen.dll 파일이 포함되어 있으며, 다양한 프로그램에서 발견된 사례는 다음과 같습니다.
▶ <2012년 관련 정보> 제휴(스폰서) 프로그램 : Windows NCast Provide Engine (2012.12.1) 외 7종
▷ "Windows InternetSafer" 유해 차단 프로그램에 포함된 intsfad.exe 광고 파일 (2013.2.3)
1. "C:\Program Files\displaylink\displaylink.exe" 파일
시스템 시작시 시작 프로그램으로 등록되어 자동 실행되는 displaylink.exe 파일은 특정 서버에서 Agree-install.exe (MD5 : 60a912392bf7d767d7568867cb9ab56a) 파일을 다운로드하여 "C:\WINDOWS\Temp\Agree-install.exe" 파일로 생성됩니다.(※ Agree-install.exe 파일은 업데이트 패치 창 종료시 자가 삭제 처리됩니다.)
생성된 파일은 특정 서버로부터 제휴 프로그램 정보를 체크하여 추가적인 프로그램이 등록되어 있을 경우 "X 업데이트 패치" 창을 생성하여 추가적인 수익성 프로그램의 설치를 유도하고 있습니다.
(1) 개인정보 보안 솔루션 : 보안클럽(BoanClub) (2013.4.6)
- h**p://update.bo**cl**.co.kr/setup/install_part01_boanclub.exe (MD5 : 09b77b0787953bc202101cdaa1640a27) - avast! : Win32:FakeAV-CFI [Trj] (VT : 10/46)
(2) PC 최적화 프로그램 : 클린앱(CleanApp) (2013.4.6)
- h**p://update.clean***.kr/setup/install_part01_cleanapp.exe (MD5 : e65188842abdf8c7144370f9a5ea4d9e) - AhnLab V3 : Adware/Win32.Agent (VT : 15/46)
그러므로 업데이트 패치 창이 생성될 경우에는 Windows 작업 관리자를 실행하여 Agree-install.exe 프로세스를 찾아 수동으로 종료하시기 바랍니다.
2. "C:\Program Files\displaylink\displaylinkb.dll" 파일
displaylinkb.dll 파일은 웹 브라우저 실행시 브라우저 도우미 개체(BHO)로 등록되어 사용자 검색 키워드 값을 참조하여 웹 브라우저 상단에 광고바를 생성합니다.
이름 : displaylink
유형 : 브라우저 도우미 개체
CLSID : {17338E82-5F64-471D-8D19-BC2B68692ADC}
파일 : C:\Program Files\displaylink\displaylinkb.dll
해당 광고바 생성 동작의 중지 및 프로그램 삭제시에는 웹 브라우저의 추가 기능 관리에 등록된 "displaylink" 항목을 선택하여 "사용 안 함"으로 변경하시기 바랍니다.
3. "C:\Program Files\displaylink\mbox.exe" 파일
시스템 시작시 시작 프로그램으로 등록되어 자동 실행되는 mbox.exe 파일은 광고 구성값 체크를 통해 자동으로 2~3개의 광고창을 생성합니다.
또한 인터넷 검색을 이용하는 과정에서 오픈매치(OpenMatch) 코드를 통해 추가적인 광고창 생성 동작도 확인할 수 있습니다.
해당 광고 동작은 메모리에 상주하는 mbox.exe 프로세스를 통해 이루어지므로, 프로그램 삭제시에는 Windows 작업 관리자를 실행하여 mbox.exe 프로세스를 찾아 수동으로 종료하시기 바랍니다.
4. 프로그램 삭제 정보
프로그램 삭제시에는 Internet Explorer 웹 브라우저를 종료한 상태에서 제어판에 등록된 "Windows Internet displaylink" 삭제 항목을 이용하여 삭제할 수 있으며, 프로그램 삭제 후에는 추가적으로 "C:\Program Files\displaylink" 폴더를 수동으로 삭제하시기 바랍니다.
HKEY_CURRENT_USER\Software\displaylink
HKEY_CURRENT_USER\Software\mbox
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- displaylink = C:\Program Files\displaylink\displaylink.exe
- mbox = C:\Program Files\displaylink\mbox.exe
HKEY_CURRENT_USER\Software\nodisplaylink
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{17338E82-5F64-471D-8D19-BC2B68692ADC}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\displaylink
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{17338E82-5F64-471D-8D19-BC2B68692ADC}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
displaylink
해당 프로그램은 시스템 시작시 업데이트 패치 창을 통해 원치 않는 수익성 프로그램의 설치를 유도하고 있으며, 다양한 광고 동작을 통해 불편을 유발할 수 있으므로 주의하시기 바랍니다.