본문 바로가기

벌새::Analysis

검색 도우미 : Foxcorn Plugin

즐겨찾기와 명령 모음에 인터넷 쇼핑몰(11번가, G마켓, 옥션) 바로가기 아이콘을 등록하며, 사용자가 특정 인터넷 쇼핑몰 웹 사이트에 접속할 경우 사용자 몰래 제휴 코드를 추가하는 검색 도우미 "Foxcorn Plugin" 프로그램(MD5 : 6460f96383317dd0a799d3f33f9f20df)에 대해 살펴보도록 하겠습니다.

 

  <2011년~2012년 관련 정보> 검색 도우미 : Windows Plus (2012.12.11) 외 10종

 

  <2013년 1/4분기 관련 정보> 검색 도우미 : mxwho Control (2013.3.23) 외 5종

 

  국내 악성코드 : Mscryp Control (2013.4.5)

 

해당 프로그램은 기존에 유사한 기능을 가진 다양한 이름의 프로그램이 존재하므로 참고하시기 바랍니다.

프로그램 설치 과정에서는 특정 업데이트 서버에서 "Foxcorn Plugin" 프로그램의 설치 파일을 다운로드하여 "C:\Documents and Settings\All Users\Documents\enkr_03.exe" 파일로 생성되어 프로그램을 설치한 후 자가 삭제 처리가 되고 있습니다.(※ 해당 설치 파일은 총 24종이 존재한 것으로 확인되고 있습니다.)

 

[생성 폴더 / 파일 등록 정보]

 

C:\Documents and Settings\(사용자 계정)\Application Data\Microsoft\FoxPlugin
C:\Documents and Settings\(사용자 계정)\Application Data\Microsoft\FoxPlugin\Tools
C:\Documents and Settings\(사용자 계정)\Application Data\Microsoft\FoxPlugin\Tools\Foxcorn.exe :: 메모리 상주 프로세스
C:\Documents and Settings\(사용자 계정)\Application Data\Microsoft\FoxPlugin\Tools\fxcom.exe
C:\Documents and Settings\(사용자 계정)\Application Data\Microsoft\FoxPlugin\Tools\img
C:\Documents and Settings\(사용자 계정)\Application Data\Microsoft\FoxPlugin\Tools\img\11.ico
C:\Documents and Settings\(사용자 계정)\Application Data\Microsoft\FoxPlugin\Tools\img\a.ico
C:\Documents and Settings\(사용자 계정)\Application Data\Microsoft\FoxPlugin\Tools\img\g.ico
C:\Documents and Settings\(사용자 계정)\Application Data\Microsoft\FoxPlugin\Tools\unins000.dat
C:\Documents and Settings\(사용자 계정)\Application Data\Microsoft\FoxPlugin\Tools\unins000.exe :: 프로그램 삭제 파일
C:\Documents and Settings\(사용자 계정)\Application Data\Microsoft\FoxPlugin\Tools\upenkr.dat
C:\Documents and Settings\(사용자 계정)\Application Data\Microsoft\FoxPlugin\Tools\upenkr.exe :: 시작 프로그램 등록 파일
C:\Documents and Settings\(사용자 계정)\Favorites\11번가 이동.URL
C:\Documents and Settings\(사용자 계정)\Favorites\G마켓 이동.URL
C:\Documents and Settings\(사용자 계정)\Favorites\옥션 이동.URL

 

[생성 파일 진단 정보]

 

C:\Documents and Settings\(사용자 계정)\Application Data\Microsoft\FoxPlugin\Tools\upenkr.exe
 - MD5 : ae0a2edbd2db11e7396d49804c159c68
 - AhnLab V3 : PUP/Win32.WindowsLiveProtect (VT : 6/46)

해당 프로그램은 마이크로소프트(Microsoft) 프로그램이 사용하는 폴더(C:\Documents and Settings\(사용자 계정)\Application Data\Microsoft) 내의 "C:\Documents and Settings\(사용자 계정)\Application Data\Microsoft\FoxPlugin" 폴더에 파일을 생성합니다.

 

Windows 시작시 "C:\Documents and Settings\(사용자 계정)\Application Data\Microsoft\FoxPlugin\Tools\upenkr.exe" 파일을 시작 프로그램으로 등록하여 업데이트 체크 및 "C:\Documents and Settings\(사용자 계정)\Application Data\Microsoft\FoxPlugin\Tools\Foxcorn.exe" 파일을 실행시킵니다.

프로그램이 설치된 환경에서 즐겨찾기, 명령 모음에 11번가, 옥션, G마켓 바로가기 아이콘을 등록하며, 해당 바로가기를 통해 인터넷 쇼핑몰 접속시 특정 광고 코드(cl.ilikeclick.com)가 추가되도록 구성되어 있습니다.

[추가 기능 관리 : 도구 모음 및 확장 프로그램]

 

이름 : G마켓 이동

유형 : 브라우저 확장

CLSID : {000000A1-CA93-46BB-9D4A-DBD498CB8944}

 

이름 : 옥션 이동

유형 : 브라우저 확장

CLSID : {000000A2-F93E-4C0B-87D5-490AEF45ADD3}

 

이름 : 11번가 이동

유형 : 브라우저 확장

CLSID : {000000A3-57A6-49EA-B96B-1428070E5924}

 

명령 모음에 등록된 인터넷 쇼핑몰 바로가기 아이콘은 웹 브라우저의 추가 기능 관리에 등록된 "G마켓 이동", "옥션 이동", "11번가 이동" 항목을 선택하여 "사용 안 함"으로 변경하시면 기능이 해제됩니다.

또한 메모리에 상주하는 Foxcorn.exe 프로세스는 사용자가 특정 인터넷 쇼핑몰에 접속할 경우 제휴 코드를 추가하는 방식으로 수익을 창출하고 있습니다.

 

그러므로 광고 동작의 중지 및 프로그램 삭제시에는 Windows 작업 관리자를 실행하여 Foxcorn.exe 프로세스를 찾아 수동으로 종료하시기 바랍니다.

프로그램 삭제는 제어판에 등록된 "Foxcorn Plugin" 삭제 항목을 이용하여 삭제할 수 있습니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Extensions\{000000A1-CA93-46BB-9D4A-DBD498CB8944}
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Extensions\{000000A2-F93E-4C0B-87D5-490AEF45ADD3}
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Extensions\{000000A3-57A6-49EA-B96B-1428070E5924}
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - Fox-Corn = C:\Documents and Settings\(사용자 계정)\Application Data\Microsoft\FoxPlugin\Tools\upenkr.exe
HKEY_LOCAL_MACHINE\SOFTWARE\AppDataLow
 - fox = 0
HKEY_LOCAL_MACHINE\SOFTWARE\AppDataLow\Enkr
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - Fox-Corn = C:\Documents and Settings\(사용자 계정)\Application Data\Microsoft\FoxPlugin\Tools\upenkr.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Fox-Corn_is1

 

"Foxcorn Plugin" 프로그램은 기존부터 마이크로소프트(Microsoft) 프로그램이 사용하는 폴더 내에 프로그램을 설치하여 사용자 눈을 속이고 있으며, 지속적으로 다양한 이름의 프로그램으로 배포가 이루어지고 있으므로 주의하시기 바랍니다.