바탕 화면, 즐겨찾기 영역에 "서치바이미" 바로가기 아이콘을 등록하며, 사용자 몰래 백그라운드 방식으로 인터넷 검색을 시도하는 "brainclan CP" 프로그램에 대해 살펴보도록 하겠습니다.
해당 프로그램의 설치 파일(MD5 : fb9ec482ae3bcc0e39bc5070734ca22c)은 2013년 4월 29일경부터 배포가 확인되고 있으며, AhnLab V3 보안 제품에서는 Downloader/Win32.Genome (VT : 33/47) 진단명으로 진단되고 있습니다.
▷ 국내 악성코드 : IntoTheMap Plus CP IE Helper (2012.4.18)
또한 기존의 "IntoTheMap Plus CP IE Helper" 악성 프로그램과 유사성이 있으므로 참고하시기 바랍니다.
C:\Documents and Settings\(사용자 계정)\Favorites\서치바이미 - 내가 만들어가는 검색형 블로그.url
C:\Documents and Settings\(사용자 계정)\Favorites\연결\서치바이미.url
C:\Documents and Settings\(사용자 계정)\바탕 화면\서치바이미.url
C:\Program Files\brainclan CP
C:\Program Files\brainclan CP\brainclan_CP_updater.exe :: 시작 프로그램(clover_u) 등록 파일
C:\Program Files\brainclan CP\brainclan_CP.exe :: 시작 프로그램(clover) 등록 파일 / 메모리 상주 프로세스
C:\WINDOWS\CloverPlus.cot
C:\WINDOWS\searchbyme.ico
- h**p://m.batang****.net/files/pav/c_updater.exe <= brainclan_CP_updater.exe> (MD5 : a278f0c4fee313e9932ccd6a5337bd6a) - AhnLab V3 : PUP/Win32.CloverPlus (VT : 27/47)
- h**p://m.batang****.net/files/pav/c_exe.exe <= brainclan_CP.exe> (MD5 : 6791d4cc36132f8aedfae8b206056910) - MSE : Adware:Win32/CloverPlus (VT : 30/47)
설치 파일을 통해 프로그램이 설치되는 과정에서 특정 서버로부터 관련 파일을 다운로드하여 설치가 이루어집니다.
이를 통해 "C:\Program Files\brainclan CP" 폴더에 주요 파일을 생성하며, Windows 시작시 2개의 시작 프로그램 항목을 등록하여 자동 실행되도록 구성되어 있습니다.
- clover = C:\Program Files\brainclan CP\brainclan_CP.exe
- clover_u = C:\Program Files\brainclan CP\brainclan_CP_updater.exe
설치된 프로그램은 기본적으로 즐겨찾기와 바탕 화면에 "서치바이미" 웹 사이트를 연결할 목적으로 바로가기 아이콘을 등록합니다.
1. "C:\Program Files\brainclan CP\brainclan_CP_updater.exe" 시작 프로그램
시스템 시작시 자동 실행되는 brainclan_CP_updater.exe 파일은 다음(Daum) 서버에 쿼리 전송을 통한 네트워크 연결 체크 및 프로그램 업데이트 체크를 수행한 후 자동 종료됩니다.
2. "C:\Program Files\brainclan CP\brainclan_CP.exe" 시작 프로그램
시스템 시작시 자동 실행된 brainclan_CP.exe 파일은 일정 시간이 경과하면 백그라운드 방식으로 서치바이미 웹 서버에서 랜덤(Random)한 인터넷 검색을 2회 수행합니다.
테스트 과정에서 수행된 인터넷 검색 키워드는 "인터넷운세"이며 이를 통해 어떤 이득을 노리는지는 알 수 없습니다.
3. 프로그램 삭제
"brainclan CP" 프로그램은 삭제 기능을 제공하지 않으므로 다음과 같은 방식으로 삭제를 진행하시기 바랍니다.
(1) Windows 작업 관리자를 실행하여 brainclan_CP.exe 프로세스를 찾아 수동으로 종료하시기 바랍니다.
(2) 다음의 폴더(파일)를 찾아 수동으로 삭제를 진행하시기 바랍니다.
- C:\Documents and Settings\(사용자 계정)\Favorites\서치바이미 - 내가 만들어가는 검색형 블로그.url
- C:\Documents and Settings\(사용자 계정)\Favorites\연결\서치바이미.url
- C:\Documents and Settings\(사용자 계정)\바탕 화면\서치바이미.url
- C:\Program Files\brainclan CP
- C:\Program Files\brainclan CP\brainclan_CP_updater.exe
- C:\Program Files\brainclan CP\brainclan_CP.exe
- C:\WINDOWS\CloverPlus.cot
- C:\WINDOWS\searchbyme.ico
(3) 레지스트리 편집기(regedit)를 실행하여 다음의 레지스트리 값을 찾아 삭제하시기 바랍니다.
HKEY_CURRENT_USER\Software\Microsoft\CloverP
HKEY_CURRENT_USER\Software\Microsoft\CloverPlus
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- clover = C:\Program Files\brainclan CP\brainclan_CP.exe
- clover_u = C:\Program Files\brainclan CP\brainclan_CP_updater.exe
"brainclan CP" 프로그램은 사용자에 의한 프로그램 삭제를 방해할 목적으로 삭제 기능을 제공하지 않으며, 다양한 바로가기 아이콘 생성을 통한 수익 창출 등이 예상되므로 이런 프로그램이 설치되지 않도록 주의하시기 바랍니다.