울지않는벌새 : Security, Movie & Society

검색 도우미 : Screen SC icon

벌새::Analysis

바탕 화면과 즐겨찾기 등에 인터넷 쇼핑몰 바로가기 아이콘을 생성하고, 인터넷 검색시 추가적인 광고창을 생성하는 검색 도우미 "Screen SC icon" 프로그램(MD5 : 64e7bdcb90ce4ece584af80b398eaa2b)에 대해 살펴보도록 하겠습니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Users\(사용자 계정)\AppData\Local\11st.ico
C:\Users\(사용자 계정)\AppData\Local\auction.ico
C:\Users\(사용자 계정)\AppData\Local\gmarket.ico
C:\Users\(사용자 계정)\AppData\Local\ScreenSCicon
C:\Users\(사용자 계정)\AppData\Local\ScreenSCicon\ScreenSCicon.dll
C:\Users\(사용자 계정)\AppData\Local\ScreenSCicon\ScreenSCicon.exe :: 시작 프로그램(ScreenSCicon) 등록 파일, 메모리 상주 프로세스
C:\Users\(사용자 계정)\AppData\Local\ScreenSCicon\SSCagent.exe :: 시작 프로그램(SSCagent) 등록 파일, 메모리 상주 프로세스
C:\Users\(사용자 계정)\AppData\Local\ScreenSCicon\unins000.dat
C:\Users\(사용자 계정)\AppData\Local\ScreenSCicon\unins000.exe :: 프로그램 삭제 파일
C:\Users\(사용자 계정)\AppData\Local\Temp\adm
C:\Users\(사용자 계정)\AppData\Local\Temp\adm\adinstall.exe
C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu
C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\11번가.url
C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\옥션.url
C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\G마켓.url
C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Windows\Start Menu\11번가.url
C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Windows\Start Menu\옥션.url
C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Windows\Start Menu\G마켓.url
C:\Users\(사용자 계정)\Desktop\11번가.url
C:\Users\(사용자 계정)\Desktop\옥션.url
C:\Users\(사용자 계정)\Desktop\G마켓.url
C:\Users\(사용자 계정)\Favorites\11번가.url
C:\Users\(사용자 계정)\Favorites\연결
C:\Users\(사용자 계정)\Favorites\연결\11번가.url
C:\Users\(사용자 계정)\Favorites\연결\옥션.url
C:\Users\(사용자 계정)\Favorites\연결\G마켓.url
C:\Users\(사용자 계정)\Favorites\옥션.url
C:\Users\(사용자 계정)\Favorites\G마켓.url
C:\Users\(사용자 계정)\Favorites\Links\11번가.url
C:\Users\(사용자 계정)\Favorites\Links\옥션.url
C:\Users\(사용자 계정)\Favorites\Links\G마켓.url

해당 프로그램은 "C:\Users\(사용자 계정)\AppData\Local\ScreenSCicon" 폴더에 파일을 생성하며, Windows 시작시 다음의 2개의 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.

  • ScreenSCicon = "C:\Users\(사용자 계정)\AppData\Local\ScreenSCicon\ScreenSCicon.exe" /byboot
  • SSCagent = C:\Users\(사용자 계정)\AppData\Local\ScreenSCicon\SSCagent.exe

자동 실행된 SSCagent.exe 파일은 프로그램 업데이트 체크 및 ScreenSCicon.exe 로딩 기능을 수행하며, ScreenSCicon.exe 파일은 "C:\Users\(사용자 계정)\AppData\Local\Temp\LastTimeCK.dat" 파일 생성을 통한 실행 체크, 광고 구성값 및 프로그램 업데이트 체크를 수행합니다.

프로그램이 설치된 환경에서는 즐겨찾기, 바탕 화면, 빠른 실행, 시작 메뉴 영역에 11번가, G마켓, 옥션 바로가기 아이콘을 등록하며, 사용자가 해당 아이콘을 통해 인터넷 쇼핑몰에 접속하는 과정에서 특정 제휴 코드가 추가되도록 제작되어 있습니다.

또한 사용자가 특정 검색 키워드를 통해 웹 사이트에 접속한 후, 웹 브라우저 창(탭)을 종료하는 시점에서 자동으로 광고창이 생성되며, 마지막 검색 키워드 값은 "C:\Users\(사용자 계정)\AppData\Local\Temp\lastkeywordET.dat" 파일로 저장됩니다.

해당 광고창 생성시에는 특정 광고 서버를 경유하여 제휴 코드(cl.ilikeclick.com)가 추가되는 동작을 확인할 수 있습니다.

해당 광고 동작은 SSCagent.exe, ScreenSCicon.exe 2개의 프로세스를 통해 이루어지며, 특히 SSCagent.exe 프로세스는 ScreenSCicon.exe 프로세스가 사용자에 의해 종료되지 않도록 프로세스 보호 기능을 수행합니다.

그러므로 광고 동작 중지 및 프로그램 삭제시에는 Windows 작업 관리자를 실행하여 SSCagent.exe 프로세스를 선택하여 마우스 우클릭을 통해 생성된 "프로세스 트리 끝내기" 메뉴를 통해 2개의 프로세스를 한 번에 종료할 수 있습니다.

프로그램 삭제는 제어판에 등록된 "Screen SC icon" 삭제 항목을 이용할 수 있으며, 프로그램 삭제 후에는 추가적으로 다음의 폴더(파일)를 찾아 수동으로 삭제하시기 바랍니다.

  • C:\Users\(사용자 계정)\AppData\Local\11st.ico
  • C:\Users\(사용자 계정)\AppData\Local\auction.ico
  • C:\Users\(사용자 계정)\AppData\Local\gmarket.ico
  • C:\Users\(사용자 계정)\AppData\Local\Temp\adm
  • C:\Users\(사용자 계정)\AppData\Local\Temp\adm\adinstall.exe
  • C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu
  • C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\11번가.url
  • C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\옥션.url
  • C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\G마켓.url
  • C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Windows\Start Menu\11번가.url
  • C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Windows\Start Menu\옥션.url
  • C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Windows\Start Menu\G마켓.url
  • C:\Users\(사용자 계정)\Desktop\11번가.url
  • C:\Users\(사용자 계정)\Desktop\옥션.url
  • C:\Users\(사용자 계정)\Desktop\G마켓.url
  • C:\Users\(사용자 계정)\Favorites\11번가.url
  • C:\Users\(사용자 계정)\Favorites\연결
  • C:\Users\(사용자 계정)\Favorites\연결\11번가.url
  • C:\Users\(사용자 계정)\Favorites\연결\옥션.url
  • C:\Users\(사용자 계정)\Favorites\연결\G마켓.url
  • C:\Users\(사용자 계정)\Favorites\옥션.url
  • C:\Users\(사용자 계정)\Favorites\G마켓.url
  • C:\Users\(사용자 계정)\Favorites\Links\11번가.url
  • C:\Users\(사용자 계정)\Favorites\Links\옥션.url
  • C:\Users\(사용자 계정)\Favorites\Links\G마켓.url
[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\Microsoft\ScreenSCicon
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - ScreenSCicon = "C:\Users\(사용자 계정)\AppData\Local\ScreenSCicon\ScreenSCicon.exe" /byboot
 - SSCagent = C:\Users\(사용자 계정)\AppData\Local\ScreenSCicon\SSCagent.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\
{62632293-CBB7-47bc-8133-63C44C8516A5}_is1

 

"Screen SC icon" 프로그램의 대표적인 배포 경로는 웹하드 프로그램 설치시 설치될 수 있으며, 사용자가 프로그램을 삭제한 이후에도 인터넷 쇼핑몰 바로가기 아이콘을 삭제하지 않는 방식으로 지속적인 수익 창출을 하므로 주의하시기 바랍니다.