Internet Explorer 웹 브라우저의 도구 모음에 쇼핑메모리(ShoppingMemory) 툴바(Toolbar)를 생성하여 다양한 인터넷 쇼핑몰 접속을 유도하는 "쇼핑메모리 1.0" 프로그램에 대해 살펴보도록 하겠습니다.
해당 프로그램의 설치 과정을 살펴보면 배포 파일(SHA-1 : cac5f6fa769227821760c5973e2d655db22c2817) 실행을 통해 특정 서버에서 쇼핑메모리 설치 파일을 다운로드하여 "C:\Users\(사용자 계정)\AppData\Local\Temp\ShoppingMemory_img.exe" 파일(SHA-1 : 9b65877e7566e64a7866b8ca1b93337637fbf79c)로 생성 및 실행되어 설치가 진행됩니다.
C:\KeyWordBridge
C:\KeyWordBridge\AutoDBRead.exe
C:\KeyWordBridge\Install_DownLoadTBInsert.exe
C:\KeyWordBridge\Interop.SHDocVw.dll
C:\KeyWordBridge\MySql.Data.dll
C:\KeyWordBridge\Newtonsoft.Json.dll
C:\KeyWordBridge\ShoppingMemory_Update.exe
C:\KeyWordBridge\ShoppingMemory.dll
C:\Program Files\KeyWordBridge
C:\Program Files\KeyWordBridge\AutoDBRead.exe :: 시작 프로그램 등록 파일, 메모리 상주 프로세스
C:\Program Files\KeyWordBridge\Install_DownLoadTBInsert.exe
C:\Program Files\KeyWordBridge\Interop.SHDocVw.dll
C:\Program Files\KeyWordBridge\MySql.Data.dll
C:\Program Files\KeyWordBridge\Newtonsoft.Json.dll
C:\Program Files\KeyWordBridge\ShoppingMemory_Update.exe
C:\Program Files\KeyWordBridge\ShoppingMemory.dll :: ShoppingMemory 도구 모음 등록 파일
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\쇼핑메모리
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\쇼핑메모리\Uninstall 쇼핑메모리 1.0.lnk
C:\Users\(사용자 계정)\AppData\Local\Temp\ShoppingMemory_img.exe
C:\Windows\Installer\9bb07.msi
C:\Windows\System32\Interop.SHDocVw.dll
C:\Windows\System32\MySql.Data.dll
C:\Windows\System32\Newtonsoft.Json.dll
KEYWORDBRIDGE 디지털 서명이 포함된 해당 프로그램은 "C:\KeyWordBridge" 폴더에 파일 생성을 한 후 "C:\Program Files\KeyWordBridge" 폴더와 Windows 시스템 폴더 내에 파일을 복사하는 방식으로 설치가 진행됩니다.
Windows 시작시 "C:\Program Files\KeyWordBridge\AutoDBRead.exe" 파일(SHA-1 : d3a0f9aeca974855b7e60ef02e8727ccdde5d019)을 시작 프로그램으로 등록하여 자동 실행되어 메모리에 상주합니다.
프로그램이 설치된 환경에서 Internet Explorer 또는 Windows 탐색기 실행시 특정 서버로부터 "C:\Program Files\KeyWordBridge\ShoppingMemory.dll" 파일(SHA-1 : ddec1cfd1aacf8dc0548b4e08e4cd032ce31d5a9)을 추가 다운로드를 통해 업데이트 패치를 진행할 수 있습니다.
해당 프로그램은 Internet Explorer 웹 브라우저의 도구 모음에 쇼핑메모리(ShoppingMemory) 툴바(Toolbar)를 생성하여 쇼핑몰 검색, 바로가기, 광고 등의 다양한 기능을 제공하고 있습니다.
|
이름 |
ShoppingMemory |
|
게시자 |
KEYWORDBRIDGE |
|
유형 |
도구 모음 |
|
CLSID |
{691CA8EC-7205-4AA9-BDD6-15493D16F835} |
|
파일 |
C:\Program Files\KeyWordBridge\ShoppingMemory.dll |
등록된 쇼핑메모리(ShoppingMemory) 툴바(Toolbar) 기능을 중지하기 위해서는 Internet Explorer 웹 브라우저의 추가 기능 관리에 등록된 "ShoppingMemory" 항목을 선택하여 "사용 안 함"으로 변경하시기 바랍니다.
프로그램 삭제를 위해서는 Windows 작업 관리자를 실행하여 메모리에 상주하는 AutoDBRead.exe 프로세스를 찾아 종료하시기 바랍니다.
그 후 제어판에 등록된 "쇼핑메모리 1.0" 삭제 항목을 이용하여 프로그램을 삭제하실 수 있으며, 프로그램 삭제 후에는 레지스트리 편집기(regedit)를 실행하여 시작 프로그램 등록값(HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\AutoDBRead)을 찾아 추가적으로 삭제하시기 바랍니다.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- AutoDBRead = C:\Program Files\KeyWordBridge\AutoDBRead.exe
HKEY_CURRENT_USER\Software\ShoppingMemory
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{691CA8EC-7205-4AA9-BDD6-15493D16F835}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Installer\Products\27D00BDB0C9A82649AE4A4AF0977B0AF
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Installer\UpgradeCodes\C9B6414C3FDD53F45B15FAF192C8D4A3
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{691CA8EC-7205-4AA9-BDD6-15493D16F835}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar
- {691ca8ec-7205-4aa9-bdd6-15493d16f835} = ShoppingMemory
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UpgradeCodes\C9B6414C3FDD53F45B15FAF192C8D4A3
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{BDB00D72-A9C0-4628-A94E-4AFA90770BFA}
HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Classes\CLSID\{691CA8EC-7205-4AA9-BDD6-15493D16F835}
HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Internet Explorer\Toolbar
- {691ca8ec-7205-4aa9-bdd6-15493d16f835} = ShoppingMemory
쇼핑메모리 1.0 툴바(Toolbar) 프로그램이 설치된 환경에서 광고 동작 수행을 목적으로 Internet Explorer 웹 브라우저의 인터넷 영역에 대한 보호 모드 기능을 강제로 해제하는 문제가 확인되고 있습니다.
이로 인하여 Internet Explorer 웹 브라우저 사용시 "인터넷 영역에 대해 보호 모드가 꺼져 있습니다."라는 노란색 알림 표시줄이 지속적으로 표시되므로, 반드시 보안을 위해서는 "보호 모드 켜기" 버튼을 클릭하시기 바랍니다.
만약 알림 표시줄이 생성되지 않는다면 인터넷 옵션의 "보안" 탭에서 인터넷의 "보호 모드 사용(Internet Explorer를 다시 시작해야 함)(P)" 체크 박스에 체크를 하시기 바랍니다.