울지않는벌새 : Security, Movie & Society

바로가기 아이콘 생성 프로그램 : LinkDirect

벌새::Analysis

바탕 화면과 Internet Explorer 웹 브라우저의 명령 모음에 11번가, G마켓, 옥션 바로가기 아이콘을 생성할 수 있는 LinkDirect 프로그램<SHA-1 : d0b452418e826c721c323e3b81ad076345c0317a - MSE : Trojan:Win32/Danginex (VT : 34/51)>에 대해 살펴보도록 하겠습니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Program Files\LinkDirect
C:\Program Files\LinkDirect\linkdirectT.exe :: 시작 프로그램 등록 파일
C:\Program Files\LinkDirect\Uninstall.exe :: 프로그램 삭제 파일
C:\Program Files\LinkDirect\url2.dll
C:\Users\(사용자 계정)\Desktop\옥션에서 싸게 사자.url

 

[생성 파일 진단 정보]

 

C:\Program Files\LinkDirect\linkdirectT.exe
 - SHA-1 : f31ba7ff6fdd338de2ef746bd9727d354fa3c437
 - AhnLab V3 : PUP/Win32.LinkDirect (VT : 35/51)

해당 프로그램은 "C:\Program Files\LinkDirect" 폴더에 파일을 생성하며, Windows 시작시 ["C:\Program Files\LinkDirect\linkdirectT.exe" -o] 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.

자동 실행된 파일(linkdirectT.exe)은 특정 서버에서 업데이트 정보를 체크(C:\Program Files\LinkDirect\updatelist.ini)하여 "LinkDirect 업데이트" 창을 생성하여 "유용한 사이트 목록[필수], 데이타 업데이트[필수]" 항목 및 추가적인 제휴 프로그램 설치를 유도할 수 있습니다.

  • h**p://down.****direct.co.kr/update/linkdirect_20101201_update.exe (SHA-1 : 85f83f2eea673e3376119721eb584a07ae1d9419) - MSE : Adware:Win32/Linkdirect (VT : 29/51)

또한 추가적인 업데이트 파일(linkdirect_20101201_update.exe)을 다운로드하여 프로그램 패치를 진행할 수 있습니다.

프로그램이 설치된 환경에서는 바탕 화면에 "옥션에서 싸게 사자" 바로가기 아이콘을 생성하며, 연결되는 URL 주소는 사용자가 확인하기 어렵게 난독화되어 있는 것을 확인할 수 있습니다.

 

이름

 11번가

유형

 브라우저 확장

CLSID

 {00000012-2461-47FC-A02F-9EB8678B2A5C}

 

이름

 옥션

유형

 브라우저 확장

CLSID

 {00000012-25AE-487C-8DD7-1CC9CE85512A}

 

이름

 지마켓

유형

 브라우저 확장

CLSID

 {00000012-61C1-4D78-9748-81073EFB1E53}

 

또한 Internet Explorer 웹 브라우저의 명령 모음에 11번가, G마켓, 옥션 바로가기 아이콘을 등록하여 난독화된 특정 서버를 경유하여 인터넷 쇼핑몰에 접속하도록 구성되어 있습니다.(※ 워낙 오래된 광고 프로그램이므로 현재는 정상적으로 연결되지 않습니다.)

그러므로 Internet Explorer 웹 브라우저의 명령 모음에 등록된 바로가기 아이콘 기능 종료를 위해서는 추가 기능 관리에 등록된 11번가, G마켓, 옥션 항목을 찾아 "사용 안 함"으로 변경하시기 바랍니다.

프로그램 삭제는 제어판에 등록된 "LinkDirect" 삭제 항목을 이용하여 삭제할 수 있습니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\linkdirect
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - linkdirectmain = "C:\Program Files\LinkDirect\linkdirectT.exe" -o
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{00000012-2461-47fc-A02F-9EB8678B2A5C}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{00000012-25AE-487c-8DD7-1CC9CE85512A}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{00000012-61C1-4d78-9748-81073EFB1E53}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
linkdirectmain

 

LinkDirect 광고 프로그램은 2012년경에 활발하게 배포가 이루어진 것으로 보이며, 현재는 광고 기능은 모두 중지된 것으로 보입니다. 하지만 업데이트 기능은 여전히 서버와 정상적으로 연결되므로 설치된 사용자는 삭제를 하시길 바랍니다.