울지않는벌새 : Security, Movie & Society

검색 도우미 : FindLock - fnlag.exe + fnlink.exe (2013.7.28)

벌새::Analysis

인터넷 검색시 추가적인 광고창을 자동으로 생성하는 검색 도우미 "FindLock - fnlag.exe + fnlink.exe" 프로그램에 대해 살펴보도록 하겠습니다.

 

해당 프로그램의 설치 파일(MD5 : b6bc7c95e38c09056abd3977340f5e92)에 대하여 AhnLab V3 보안 제품에서는 Win-PUP/Helper.FindLock.594944 (VT : 33/46) 진단명으로 진단되고 있습니다.

 

  검색 도우미 : FindLock (2012.4.2)

 

FindLock 검색 도우미 프로그램은 2012년 초에 발견되었으며, 최근 새로운 변종 프로그램이 확인되었으므로 참고하시기 바랍니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Users\(사용자 계정)\AppData\Local\Temp\LastTimeCK.dat
C:\Users\(사용자 계정)\AppData\Roaming\FindLock
C:\Users\(사용자 계정)\AppData\Roaming\FindLock\fndelete.exe :: 프로그램 삭제 파일
C:\Users\(사용자 계정)\AppData\Roaming\FindLock\fnlag.exe :: 시작 프로그램 등록 파일, 메모리 상주 프로세스
C:\Users\(사용자 계정)\AppData\Roaming\FindLock\fnlink.exe :: 메모리 상주 프로세스
C:\Users\(사용자 계정)\AppData\Roaming\FindLock\ts.dll

 

[생성 파일 진단 정보]

 

C:\Users\(사용자 계정)\AppData\Roaming\FindLock\fnlag.exe
 - MD5 : e1492c1af70afd02dbdbcbda22779aee
 - Hauri ViRobot : Adware.Agent.253392 (VT : 22/46)

해당 프로그램은 "C:\Users\(사용자 계정)\AppData\Roaming\FindLock" 폴더에 파일을 생성하며, Windows 시작시 "C:\Users\(사용자 계정)\AppData\Roaming\FindLock\fnlag.exe" 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.

자동 실행된 fnlag.exe 파일은 "C:\Users\(사용자 계정)\AppData\Roaming\FindLock\fnlink.exe" 파일을 로딩하여 함께 메모리에 상주하며, 프로그램 업데이트, 광고 구성값, 실행 카운터(Counter)를 체크합니다.

프로그램이 설치된 환경에서 사용자가 인터넷 검색시 검색 키워드 값을 참조하여 광고창을 자동으로 생성하는 동작을 확인할 수 있습니다.

해당 광고 동작은 메모리에 상주하는 fnlag.exe, fnlink.exe 프로세스를 통해 이루어지며, 해당 프로세스는 상호 프로세스 보호 기능을 통해 사용자에 의한 강제 종료를 하지 못하도록 제작되어 있습니다.

그러므로 광고 동작 중지 및 프로그램 삭제시에는 Windows 작업 관리자를 실행하여 fnlag.exe 또는 fnlink.exe 프로세스를 선택하여 마우스 우클릭을 통해 생성된 메뉴 중 "프로세스 트리 끝내기"를 실행하시기 바랍니다.(※ 만약 fnlag.exe 프로세스를 선택하고 "프로세스 트리 끝내기"를 실행한 경우 fnlag.exe 프로세스가 다시 생성되면 fnlink.exe 프로세스를 선택하여 "프로세스 트리 끝내기"를 실행하시기 바랍니다.)

프로그램 삭제는 제어판에 등록된 "FindLock" 삭제 항목을 이용하여 삭제할 수 있습니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\8F983392-BD38-40D7-9B50-4F8C545B29CD
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - FindLock = C:\Users\(사용자 계정)\AppData\Roaming\FindLock\fnlag.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\FindLock

 

FindLock 검색 도우미 프로그램은 인터넷 검색시 원치 않는 광고창을 생성하며, 사용자가 광고 기능 중지를 위한 프로세스 종료를 하지 못하도록 하는 기능이 포함되어 있으므로 주의하시기 바랍니다.