본문 바로가기

벌새::Analysis

바로가기 아이콘 생성 프로그램 : LinkDirect

728x90
반응형

바탕 화면과 Internet Explorer 웹 브라우저의 명령 모음에 11번가, G마켓, 옥션 바로가기 아이콘을 생성할 수 있는 LinkDirect 프로그램<SHA-1 : d0b452418e826c721c323e3b81ad076345c0317a - MSE : Trojan:Win32/Danginex (VT : 34/51)>에 대해 살펴보도록 하겠습니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Program Files\LinkDirect
C:\Program Files\LinkDirect\linkdirectT.exe :: 시작 프로그램 등록 파일
C:\Program Files\LinkDirect\Uninstall.exe :: 프로그램 삭제 파일
C:\Program Files\LinkDirect\url2.dll
C:\Users\(사용자 계정)\Desktop\옥션에서 싸게 사자.url

 

[생성 파일 진단 정보]

 

C:\Program Files\LinkDirect\linkdirectT.exe
 - SHA-1 : f31ba7ff6fdd338de2ef746bd9727d354fa3c437
 - AhnLab V3 : PUP/Win32.LinkDirect (VT : 35/51)

해당 프로그램은 "C:\Program Files\LinkDirect" 폴더에 파일을 생성하며, Windows 시작시 ["C:\Program Files\LinkDirect\linkdirectT.exe" -o] 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.

자동 실행된 파일(linkdirectT.exe)은 특정 서버에서 업데이트 정보를 체크(C:\Program Files\LinkDirect\updatelist.ini)하여 "LinkDirect 업데이트" 창을 생성하여 "유용한 사이트 목록[필수], 데이타 업데이트[필수]" 항목 및 추가적인 제휴 프로그램 설치를 유도할 수 있습니다.

  • h**p://down.****direct.co.kr/update/linkdirect_20101201_update.exe (SHA-1 : 85f83f2eea673e3376119721eb584a07ae1d9419) - MSE : Adware:Win32/Linkdirect (VT : 29/51)

또한 추가적인 업데이트 파일(linkdirect_20101201_update.exe)을 다운로드하여 프로그램 패치를 진행할 수 있습니다.

프로그램이 설치된 환경에서는 바탕 화면에 "옥션에서 싸게 사자" 바로가기 아이콘을 생성하며, 연결되는 URL 주소는 사용자가 확인하기 어렵게 난독화되어 있는 것을 확인할 수 있습니다.

 

이름

 11번가

유형

 브라우저 확장

CLSID

 {00000012-2461-47FC-A02F-9EB8678B2A5C}

 

이름

 옥션

유형

 브라우저 확장

CLSID

 {00000012-25AE-487C-8DD7-1CC9CE85512A}

 

이름

 지마켓

유형

 브라우저 확장

CLSID

 {00000012-61C1-4D78-9748-81073EFB1E53}

 

또한 Internet Explorer 웹 브라우저의 명령 모음에 11번가, G마켓, 옥션 바로가기 아이콘을 등록하여 난독화된 특정 서버를 경유하여 인터넷 쇼핑몰에 접속하도록 구성되어 있습니다.(※ 워낙 오래된 광고 프로그램이므로 현재는 정상적으로 연결되지 않습니다.)

그러므로 Internet Explorer 웹 브라우저의 명령 모음에 등록된 바로가기 아이콘 기능 종료를 위해서는 추가 기능 관리에 등록된 11번가, G마켓, 옥션 항목을 찾아 "사용 안 함"으로 변경하시기 바랍니다.

프로그램 삭제는 제어판에 등록된 "LinkDirect" 삭제 항목을 이용하여 삭제할 수 있습니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\linkdirect
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - linkdirectmain = "C:\Program Files\LinkDirect\linkdirectT.exe" -o
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{00000012-2461-47fc-A02F-9EB8678B2A5C}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{00000012-25AE-487c-8DD7-1CC9CE85512A}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{00000012-61C1-4d78-9748-81073EFB1E53}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
linkdirectmain

 

LinkDirect 광고 프로그램은 2012년경에 활발하게 배포가 이루어진 것으로 보이며, 현재는 광고 기능은 모두 중지된 것으로 보입니다. 하지만 업데이트 기능은 여전히 서버와 정상적으로 연결되므로 설치된 사용자는 삭제를 하시길 바랍니다.

728x90
반응형