울지않는벌새 : Security, Movie & Society

바로가기 아이콘 생성 프로그램 : FavoriteIconsV2

벌새::Analysis

바탕 화면, 빠른 실행, 즐겨찾기 영역에 인터넷 쇼핑몰 바로가기 아이콘을 생성하며, 인터넷 검색 키워드 값을 참조하여 바탕 화면 바로가기 아이콘 이름을 변경하는 FavoriteIconsV2 프로그램에 대해 살펴보도록 하겠습니다.

해당 프로그램은 기존의 유사한 기능을 가진 "Favorite Icons Manager" 광고 프로그램의 변종이므로 참고하시기 바랍니다.

설치 과정을 살펴보면 배포 파일(SHA-1 : 88a13c2b7ed15871ce03ac3f8300962c56091c91)을 통해 특정 서버로부터 FavoriteIconsV2 프로그램의 설치 파일(SHA-1 : dc616f68c2c3bd1fb2313009d8dbad9cd9c3c948)을 다운로드하여 "C:\Users\(사용자 계정)\AppData\Local\Temp\FavoriteIconsV2Setup.exe" 파일로 생성 및 실행하여 프로그램 설치가 진행됩니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Users\(사용자 계정)\AppData\Local\Temp\FavoriteIconsV2Setup.exe
C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\옥션.lnk
C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\옥션.lnk
C:\Users\(사용자 계정)\Desktop\옥션.lnk
C:\Users\(사용자 계정)\Desktop\인터넷익스플로러.lnk
C:\Users\(사용자 계정)\Documents\FavoriteIconsV2
C:\Users\(사용자 계정)\Documents\FavoriteIconsV2\bacon.db
C:\Users\(사용자 계정)\Documents\FavoriteIconsV2\exccon.db
C:\Users\(사용자 계정)\Documents\FavoriteIconsV2\favcon.db
C:\Users\(사용자 계정)\Documents\FavoriteIconsV2\FavoriteIconsV2.dll :: BHO 등록 파일
C:\Users\(사용자 계정)\Documents\FavoriteIconsV2\FavoriteIconsV2.exe
C:\Users\(사용자 계정)\Documents\FavoriteIconsV2\favoriteiconsv2ch.exe
C:\Users\(사용자 계정)\Documents\FavoriteIconsV2\FavoriteIconsV2Set.exe
C:\Users\(사용자 계정)\Documents\FavoriteIconsV2\favoriteiconsv2svc.exe :: 서비스(FIRunS) 등록 파일, 메모리 상주 프로세스
C:\Users\(사용자 계정)\Documents\FavoriteIconsV2\favoriteiconsv2uninstall.exe :: 프로그램 삭제 파일
C:\Users\(사용자 계정)\Documents\FavoriteIconsV2\favoriteiconsv2up.exe
C:\Users\(사용자 계정)\Documents\FavoriteIconsV2\hiscon.db
C:\Users\(사용자 계정)\Documents\FavoriteIconsV2\icV2.exe
C:\Users\(사용자 계정)\Documents\FavoriteIconsV2\res
C:\Users\(사용자 계정)\Documents\FavoriteIconsV2\vd.dat
C:\Users\(사용자 계정)\Favorites\11번가.url
C:\Users\(사용자 계정)\Favorites\11st.url
C:\Users\(사용자 계정)\Favorites\옥션.url
C:\Users\(사용자 계정)\Favorites\Auction.url

(주)네오유엑스 디지털 서명이 포함된 해당 프로그램은 "C:\Users\(사용자 계정)\Documents\FavoriteIconsV2" 폴더에 파일을 생성합니다.

"FIRunS (표시 이름 : FavoriteIconsV2 Service)" 서비스 항목을 등록하여 시스템 시작시 "C:\Users\(사용자 계정)\DOCUME~1\FAVORI~1\favoriteiconsv2svc.exe" 파일(SHA-1 : 3c289a5ca00095d53cdbbddbbd138a6ddfc0e7c1)을 자동으로 실행하여 메모리에 상주시킵니다.

이를 통해 "C:\Users\(사용자 계정)\Documents\FavoriteIconsV2\favoriteiconsv2up.exe" 파일(SHA-1 : 65ab5964931b82965013593eaa4beecce936f9bf) 로딩을 통해 프로그램 업데이트를 체크하여 FavoriteIconsV2 프로그램의 실행 파일(dll, exe)을 최신 버전으로 패치를 수행할 수 있습니다.

또한 "C:\Users\(사용자 계정)\Documents\FavoriteIconsV2\FavoriteIconsV2.exe" 파일(SHA-1 : fe7d896b9bf33d8c359e0cae11a56af6f00637ac) 실행을 통해 특정 서버로부터 인터넷 쇼핑몰(11번가, 옥션) 바로가기 아이콘 정보를 받아와 바탕 화면, 빠른 실행, 즐겨찾기 영역에 바로가기 아이콘을 생성합니다.

 

이름

 FavoriteV2KeywordObj Class

게시자

 (주)네오유엑스

유형

 브라우저 도우미 개체

CLSID

 {5D5D3B85-0249-49E6-BC41-0586A0333CB3}

파일

 C:\Users\(사용자 계정)\Documents\FavoriteIconsV2\FavoriteIconsV2.dll

 

FavoriteIconsV2 프로그램은 Internet Explorer 웹 브라우저 실행시 "FavoriteV2KeywordObj Class" 브라우저 도우미 개체(BHO) 등록을 통해 "C:\Users\(사용자 계정)\Documents\FavoriteIconsV2\FavoriteIconsV2.dll" 모듈(SHA-1 : 88af0fbd9fa200067e148b10a29103a4588af64a)을 추가하여 인터넷 검색 키워드 값을 감시하도록 제작되어 있습니다.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Ext
 - DisableAddonLoadTimePerformanceNotifications = 1
 - IgnoreFrameApprovalCheck = 1

특히 레지스트리 정책값에 DisableAddonLoadTimePerformanceNotifications, IgnoreFrameApprovalCheck 항목을 추가하여 Internet Explorer 웹 브라우저 실행시 "추가 기능을 사용하지 않도록 설정하여 검색 속도를 높입니다.(원치 않는 추가 기능을 사용하지 않도록 설정하여 검색 속도 높이기)" 메시지 창 노출 비활성화 및 브라우저 도우미 개체(BHO) 등록을 사용자 동의없이 추가하도록 변경합니다.

 

즉 사용자가 Internet Explorer 웹 브라우저 동작 과정에서 "FavoriteV2KeywordObj Class" 브라우저 도우미 개체(BHO)의 존재를 인지하지 못하게 할 목적이라고 판단할 수 있습니다.

대표적인 광고 동작을 살펴보면 사용자가 인터넷 검색시 입력하는 검색 키워드 값을 참조하여 "C:\Users\(사용자 계정)\Documents\FavoriteIconsV2\icV2.exe" 파일(SHA-1 : 25eba1ff9d82ad70c04537c1aa8031f7bc8f22c5)이 특정 서버로부터 바로가기 아이콘 정보를 받아와 바탕 화면에 생성되어 있던 "옥션, 인터넷익스플로러" 바로가기 아이콘을 삭제하고 "옥션 (검색 키워드), 인터넷익스플로러 (검색 키워드)" 바로가기 아이콘으로 변경을 할 수 있습니다.

이를 통해 바탕 화면에 생성된 바로가기 아이콘을 클릭할 경우 검색 키워드 값을 이용한 옥션(Auction) 인터넷 쇼핑몰 접속 또는 드림위즈(DreamWiz) 검색으로 연결됩니다.

프로그램 삭제를 위해서는 먼저 메모리에 상주하는 서비스 프로세스를 종료하기 위해 "보조 프로그램 → 명령 프롬프트" 메뉴를 "관리자 권한으로 실행"하여 생성된 명령 프롬프트 창에 [sc stop "FIRunS"] 명령어를 입력 및 실행하여 favoriteiconsv2svc.exe 프로세스를 자동으로 종료하시기 바랍니다.

그 후 Internet Explorer 웹 브라우저를 종료한 상태에서 제어판에 등록된 "FavoriteIconsV2" 삭제 항목을 이용하여 프로그램을 삭제하시기 바랍니다.

 

프로그램 삭제 후에는 추가적으로 광고 기능을 지속적으로 유지할 수 있는 다음의 폴더(파일)를 찾아 삭제하시기 바랍니다.

  • C:\Users\(사용자 계정)\AppData\Local\Temp\FavoriteIconsV2Setup.exe
  • C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\옥션.lnk
  • C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\옥션.lnk
  • C:\Users\(사용자 계정)\Desktop\옥션 (검색 키워드).lnk
  • C:\Users\(사용자 계정)\Desktop\인터넷익스플로러 (검색 키워드).lnk
  • C:\Users\(사용자 계정)\Documents\FavoriteIconsV2
  • C:\Users\(사용자 계정)\Favorites\11번가.url
  • C:\Users\(사용자 계정)\Favorites\11st.url
  • C:\Users\(사용자 계정)\Favorites\옥션.url
  • C:\Users\(사용자 계정)\Favorites\Auction.url

또한 Internet Explorer 웹 브라우저의 설정값을 정상적으로 수정하기 위하여 레지스트리 편집기(regedit)를 실행하여 다음의 레지스트리 값을 반드시 삭제하시기 바랍니다.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Ext
 - DisableAddonLoadTimePerformanceNotifications = 1
 - IgnoreFrameApprovalCheck = 1
[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\FavoriteIconsV2
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{5D5D3B85-0249-49E6-BC41-0586A0333CB3}
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Ext
 - IgnoreFrameApprovalCheck = 1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5D5D3B85-0249-49E6-BC41-0586A0333CB3}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\FavoriteV2KeywordSys.
FavoriteV2KeywordObj
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\FavoriteV2KeywordSys.
FavoriteV2KeywordObj.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{D64484F6-0169-49BA-8A89-3CFF22F2E9BB}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{0F87A3C0-7ADE-40BE-9268-C07B28E7EC7E}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{5D5D3B85-0249-49E6-BC41-0586A0333CB3}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Ext
 - DisableAddonLoadTimePerformanceNotifications = 1
 - IgnoreFrameApprovalCheck = 1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
FavoriteIconsV2
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\FIRunS

 

FavoriteIconsV2 광고 프로그램은 인터넷 검색시마다 바탕 화면에 생성한 바로가기 아이콘 이름을 지속적으로 변경하며, 프로그램 삭제 이후에도 바로가기 아이콘을 제거하지 않고 지속적인 수익 활동을 진행할 수 있으므로 주의하시기 바랍니다.