본문 바로가기

벌새::Analysis

삭제를 제대로 지원하지 않는 "Windows Favorite Collection" 바로가기 아이콘 생성 프로그램 주의 (2014.12.22)

728x90
반응형

Internet Explorer 웹 브라우저의 즐겨찾기, 명령 모음에 다수의 인터넷 쇼핑몰 바로가기 아이콘을 등록하며, 프로그램 삭제 이후에도 정상적으로 제거되지 않고 지속적으로 돈벌이를 수행하는 "Windows Favorite Collection" 광고 프로그램<SHA-1 : 5c3a408b9cbd40df2070193adf1dfd55ae0f6d35 - Avira : Adware/Kraddare.612520 (VT : 12/54)>에 대해 살펴보도록 하겠습니다.

  • h**p://219.***.221.**/pgm/ieexplorrs.exe (SHA-1 : 15688b06765185bd5451bd8ee4a41485ad13c9d3) = WindowsFavorites_zhst.exe
  • h**p://219.***.221.**/pgm/iexploref.exe (SHA-1 : dec117e47283a2df0b34037fe9795251e6c4396d) = WindowsFavorites.exe
  • h**p://219.***.221.**/pgm/iexplorexfd.exe (SHA-1 : b68187b51666c2e92eaef1a50b999ab78f7b6b2b) = WindowsFavorites_host.exe
  • h**p://219.***.221.**/pgm/iexplorexii.exe (SHA-1 : 87d535c7d057c7056186a7619a6f6f597ed2abf0) = WindowsFavorites_net.exe
  • h**p://219.***.221.**/pgm/uninstall.exe (SHA-1 : f97b64b0a24700f0dd8b79ee8408ae144357736b) = WindowsFavorites_delete.exe

프로그램 설치가 진행되면 특정 IP 서버로부터 프로그램 관련 파일을 다운로드하여 설치가 진행됩니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Program Files\WindowsFavorites
C:\Program Files\WindowsFavorites\WindowsFavorites_delete.exe :: 프로그램 삭제 파일
C:\Program Files\WindowsFavorites\WindowsFavorites.exe :: 예약 작업(WindowsFavorites) 등록 파일
C:\Users\(사용자 계정)\Favorites\11번가.lnk
C:\Users\(사용자 계정)\Favorites\롯데홈쇼핑.lnk
C:\Users\(사용자 계정)\Favorites\신세계몰.lnk
C:\Users\(사용자 계정)\Favorites\엔조이뉴욕.lnk
C:\Users\(사용자 계정)\Favorites\옥션.lnk
C:\Users\(사용자 계정)\Favorites\우체국쇼핑.lnk
C:\Users\(사용자 계정)\Favorites\위메이크프라이스.lnk
C:\Users\(사용자 계정)\Favorites\G마켓.lnk
C:\Users\(사용자 계정)\Favorites\GS SHOP.lnk
C:\Users\(사용자 계정)\Favorites\Links\11번가.lnk
C:\Users\(사용자 계정)\Favorites\Links\롯데홈쇼핑.lnk
C:\Users\(사용자 계정)\Favorites\Links\신세계몰.lnk
C:\Users\(사용자 계정)\Favorites\Links\엔조이뉴욕.lnk
C:\Users\(사용자 계정)\Favorites\Links\옥션.lnk
C:\Users\(사용자 계정)\Favorites\Links\우체국쇼핑.lnk
C:\Users\(사용자 계정)\Favorites\Links\위메이크프라이스.lnk
C:\Users\(사용자 계정)\Favorites\Links\G마켓.lnk
C:\Users\(사용자 계정)\Favorites\Links\GS SHOP.lnk
C:\Windows\00abd3d13c27d6957dc71fd8fdeb1712.ico
C:\Windows\11번가.ico
C:\Windows\22c01bdda856f95a8995c10c39a032be.ico
C:\Windows\528f85081809226f68b3442eac1d64fd.ico
C:\Windows\57b02cf840268ccd152f9c0e4feaa9e8.ico
C:\Windows\5978a07b06b1dd04e7f4f2d0069915e9.ico
C:\Windows\804d141f0c654d4e7855310202b4b086.ico
C:\Windows\8d7328a98605edfd4669e4e79c5035b4.ico
C:\Windows\롯데홈쇼핑.ico
C:\Windows\신세계몰.ico
C:\Windows\엔조이뉴욕.ico
C:\Windows\옥션.ico
C:\Windows\우체국쇼핑.ico
C:\Windows\위메이크프라이스.ico
C:\Windows\bb57fc5e7379c995f175fba08bd027ae.ico
C:\Windows\c300833d77b080cfa7e70130a941e63c.ico
C:\Windows\G마켓.ico
C:\Windows\GS SHOP.ico
C:\Windows\System32\logit.txt
C:\Windows\System32\Tasks\WindowsFavorites
C:\Windows\System32\Tasks\WindowsFavorites_r
C:\Windows\System32\WindowsFavorites_host.exe :: 서비스(cacaloter) 등록 파일, 숨김(H) 속성
C:\Windows\WindowsFavorites_net.exe :: 숨김(H) 속성
C:\Windows\WindowsFavorites_zhst.exe :: 예약 작업(WindowsFavorites_r) 등록 파일, 숨김(H) 속성

 

[생성 파일 진단 정보]

 

C:\Program Files\WindowsFavorites\WindowsFavorites.exe
 - SHA-1 : dec117e47283a2df0b34037fe9795251e6c4396d
 - AVG : Win32/DH{gQwuICQiJRMj} (VT : 5/54)

 

C:\Windows\System32\WindowsFavorites_host.exe
 - SHA-1 : b68187b51666c2e92eaef1a50b999ab78f7b6b2b
 - Sophos : Mal/Behav-053 (VT : 3/54)

 

C:\Windows\WindowsFavorites_net.exe
 - SHA-1 : 87d535c7d057c7056186a7619a6f6f597ed2abf0
 - AVG : Win32/DH{gQwuICQiJSM} (VT : 7/54)

  • C:\Program Files\WindowsFavorites
  • C:\Windows
  • C:\Windows\System32

"fun communication" 디지털 서명이 포함된 "Windows Favorite Collection" 광고 프로그램은 3개의 폴더에 각각의 파일들을 생성하며, Windows 폴더 및 시스템 폴더 내에 생성되는 파일은 숨김(H) 속성으로 지정되어 있습니다.

"cacaloter (표시 이름 : SortWare defense protected)" 서비스 항목을 등록하여 시스템 시작시 "C:\Windows\System32\WindowsFavorites_host.exe" 파일을 자동 실행하여 네이버(Naver) 웹 서버 연결을 체크한 후 자동 종료 처리됩니다.

  • WindowsFavorites 작업 스케줄러 : C:\Program Files\WindowsFavorites\WindowsFavorites.exe
  • WindowsFavorites_r 작업 스케줄러 : C:\Windows\WindowsFavorites_zhst.exe

또한 예약 작업 영역에 WindowsFavorites, WindowsFavorites_r 2개의 작업 스케줄러 값을 등록하여 시스템 시작시 자동 실행되도록 구성되어 있습니다.

 

WindowsFavorites 작업 스케줄러 값은 "C:\Program Files\WindowsFavorites\WindowsFavorites.exe" 파일을 자동 실행하여 광고 구성값 정보를 체크하여 인터넷 쇼핑몰 바로가기 아이콘을 생성할 수 있습니다.

 

WindowsFavorites_r 작업 스케줄러 값은 "C:\Windows\WindowsFavorites_zhst.exe" 파일을 자동 실행하여 네이버(Naver) 웹 서버 연결을 체크한 후 자동 종료 처리됩니다.

"Windows Favorite Collection" 광고 프로그램이 설치된 환경에서는 Internet Explorer 웹 브라우저의 즐겨찾기와 명령 모음 영역에 "click.interich.com" 제휴 코드가 포함된 다수의 인터넷 쇼핑몰 바로가기 아이콘을 등록합니다.

 

이름

유형

CLSID 

롯데홈쇼핑

브라우저 확장

{0EAD0C61-917F-43BA-86FE-2CBC2C001E82}

11번가

브라우저 확장

{20F65E77-81C4-4515-B5D5-3FE1AA326CC9}

옥션

브라우저 확장

{4A5D5D82-7E47-48EE-BA4D-E40094E6FC3E}

위메이크프라이스

브라우저 확장

{7B62D439-34C4-412A-A40B-54D21E8F5C09}

엔조이뉴욕

브라우저 확장

{81ED14F2-1AB4-43CF-BD87-5D022238E784}

신세계몰

브라우저 확장

{91878220-A714-4527-93CB-737782675D6C}

GS SHOP

브라우저 확장

{9E5BD437-5170-475B-B1BF-59D80263C3D9}

G마켓

브라우저 확장

{C080293A-E240-43BE-AA88-D2A654F9E4D8}

우체국쇼핑

브라우저 확장

 {D236044B-AF5C-4589-96D8-5C60C903C418}

 

Internet Explorer 웹 브라우저의 명령 모음에 등록된 인터넷 쇼핑몰 바로가기 아이콘은 "추가 기능 관리"에 등록된 관련 바로가기 항목을 선택하여 "사용하지 않음"으로 변경하시면 표시되지 않습니다.

 

"Windows Favorite Collection" 광고 프로그램 삭제 방법

  • C:\Program Files\WindowsFavorites\WindowsFavorites_delete.exe srvdel

해당 광고 프로그램의 삭제는 1차적으로 제어판 또는 체크잇(CheckIt : www.checkitinfo.com) 프로그램에 등록된 "Windows Favorite Collection" 삭제 항목을 이용하여 삭제하시기 바랍니다.

 

하지만 그 후에도 인터넷 쇼핑몰 바로가기 아이콘, 자동 실행 등록 파일, 레지스트리 값이 정상적으로 삭제되지 않고 지속적으로 수익을 창출하므로 다음과 같은 추가적인 삭제 절차를 진행하시기 바랍니다.

 

(a) 다음의 폴더(파일)를 찾아 직접 삭제하시기 바라며, 인터넷 쇼핑몰 바로가기 등록 파일 정보는 다소 다를 수 있습니다.

  • C:\Program Files\WindowsFavorites
  • C:\Users\(사용자 계정)\Favorites\11번가.lnk
  • C:\Users\(사용자 계정)\Favorites\롯데홈쇼핑.lnk
  • C:\Users\(사용자 계정)\Favorites\신세계몰.lnk
  • C:\Users\(사용자 계정)\Favorites\엔조이뉴욕.lnk
  • C:\Users\(사용자 계정)\Favorites\옥션.lnk
  • C:\Users\(사용자 계정)\Favorites\우체국쇼핑.lnk
  • C:\Users\(사용자 계정)\Favorites\위메이크프라이스.lnk
  • C:\Users\(사용자 계정)\Favorites\G마켓.lnk
  • C:\Users\(사용자 계정)\Favorites\GS SHOP.lnk
  • C:\Users\(사용자 계정)\Favorites\Links\11번가.lnk
  • C:\Users\(사용자 계정)\Favorites\Links\롯데홈쇼핑.lnk
  • C:\Users\(사용자 계정)\Favorites\Links\신세계몰.lnk
  • C:\Users\(사용자 계정)\Favorites\Links\엔조이뉴욕.lnk
  • C:\Users\(사용자 계정)\Favorites\Links\옥션.lnk
  • C:\Users\(사용자 계정)\Favorites\Links\우체국쇼핑.lnk
  • C:\Users\(사용자 계정)\Favorites\Links\위메이크프라이스.lnk
  • C:\Users\(사용자 계정)\Favorites\Links\G마켓.lnk
  • C:\Users\(사용자 계정)\Favorites\Links\GS SHOP.lnk
  • C:\Windows\00abd3d13c27d6957dc71fd8fdeb1712.ico
  • C:\Windows\11번가.ico
  • C:\Windows\22c01bdda856f95a8995c10c39a032be.ico
  • C:\Windows\528f85081809226f68b3442eac1d64fd.ico
  • C:\Windows\57b02cf840268ccd152f9c0e4feaa9e8.ico
  • C:\Windows\5978a07b06b1dd04e7f4f2d0069915e9.ico
  • C:\Windows\804d141f0c654d4e7855310202b4b086.ico
  • C:\Windows\8d7328a98605edfd4669e4e79c5035b4.ico
  • C:\Windows\롯데홈쇼핑.ico
  • C:\Windows\신세계몰.ico
  • C:\Windows\엔조이뉴욕.ico
  • C:\Windows\옥션.ico
  • C:\Windows\우체국쇼핑.ico
  • C:\Windows\위메이크프라이스.ico
  • C:\Windows\bb57fc5e7379c995f175fba08bd027ae.ico
  • C:\Windows\c300833d77b080cfa7e70130a941e63c.ico
  • C:\Windows\G마켓.ico
  • C:\Windows\GS SHOP.ico
  • C:\Windows\System32\Tasks\WindowsFavorites
  • C:\Windows\System32\Tasks\WindowsFavorites_r
  • C:\Windows\System32\WindowsFavorites_host.exe
  • C:\Windows\WindowsFavorites_net.exe
  • C:\Windows\WindowsFavorites_zhst.exe

(b) 레지스트리 편집기(regedit)를 실행하여 다음의 레지스트리 값이 존재할 경우 직접 삭제하시기 바랍니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2E1D2C89-5936-45C0-9D28-8D9EECD81E93}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2E350767-BEA5-4ACC-80AD-07EA0520BD43}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{31535515-C9A0-442E-85F9-4A06F2D1AD93}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{4DD0292A-A4D6-4C2F-A141-44C7AC6371CA}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{68BCB1A6-7004-402D-90D2-30739F2D2F1F}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8A7FC829-8934-4493-97BE-4CD87FC3FB64}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B7FE7755-23E6-4C60-8485-8D45AFC5F774}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{C7787AF3-6DED-4EC5-861E-30F253F000F6}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{EAFD6344-87B7-4180-9006-DCF67F3C12AC}
HKEY_LOCAL_MACHINE\SOFTWARE\IE5Tools\Explorer Bars
 - 11번가 = {8A7FC829-8934-4493-97BE-4CD87FC3FB64}
 - GS SHOP = {68BCB1A6-7004-402D-90D2-30739F2D2F1F}
 - G마켓 = {EAFD6344-87B7-4180-9006-DCF67F3C12AC}
 - 롯데홈쇼핑 = {C7787AF3-6DED-4EC5-861E-30F253F000F6}
 - 신세계몰 = {4DD0292A-A4D6-4C2F-A141-44C7AC6371CA}
 - 엔조이뉴욕 = {B7FE7755-23E6-4C60-8485-8D45AFC5F774}
 - 옥션 = {2E1D2C89-5936-45C0-9D28-8D9EECD81E93}
 - 우체국쇼핑 = {31535515-C9A0-442E-85F9-4A06F2D1AD93}
 - 위메이크프라이스 = {2E350767-BEA5-4ACC-80AD-07EA0520BD43}
HKEY_LOCAL_MACHINE\SOFTWARE\IE5Tools\ToolBar Buttons
 - 11번가 = {20F65E77-81C4-4515-B5D5-3FE1AA326CC9}
 - GS SHOP = {9E5BD437-5170-475B-B1BF-59D80263C3D9}
 - G마켓 = {C080293A-E240-43BE-AA88-D2A654F9E4D8}
 - 롯데홈쇼핑 = {0EAD0C61-917F-43BA-86FE-2CBC2C001E82}
 - 신세계몰 = {91878220-A714-4527-93CB-737782675D6C}
 - 엔조이뉴욕 = {81ED14F2-1AB4-43CF-BD87-5D022238E784}
 - 옥션 = {4A5D5D82-7E47-48EE-BA4D-E40094E6FC3E}
 - 우체국쇼핑 = {D236044B-AF5C-4589-96D8-5C60C903C418}
 - 위메이크프라이스 = {7B62D439-34C4-412A-A40B-54D21E8F5C09}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\{2E1D2C89-5936-45C0-9D28-8D9EECD81E93}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\{2E350767-BEA5-4ACC-80AD-07EA0520BD43}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\{31535515-C9A0-442E-85F9-4A06F2D1AD93}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\{4DD0292A-A4D6-4C2F-A141-44C7AC6371CA}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\{68BCB1A6-7004-402D-90D2-30739F2D2F1F}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\{8A7FC829-8934-4493-97BE-4CD87FC3FB64}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\{B7FE7755-23E6-4C60-8485-8D45AFC5F774}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\{C7787AF3-6DED-4EC5-861E-30F253F000F6}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\{EAFD6344-87B7-4180-9006-DCF67F3C12AC}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{0EAD0C61-917F-43BA-86FE-2CBC2C001E82}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{20F65E77-81C4-4515-B5D5-3FE1AA326CC9}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{4A5D5D82-7E47-48EE-BA4D-E40094E6FC3E}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{7B62D439-34C4-412A-A40B-54D21E8F5C09}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{81ED14F2-1AB4-43CF-BD87-5D022238E784}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{91878220-A714-4527-93CB-737782675D6C}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{9E5BD437-5170-475B-B1BF-59D80263C3D9}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{C080293A-E240-43BE-AA88-D2A654F9E4D8}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{D236044B-AF5C-4589-96D8-5C60C903C418}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
WindowsFavorites_delete.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{0E914240-8881-47E4-A5F8-CA344E850E01}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{D7F37748-548A-4F8C-ADF5-CE5B77465744}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\WindowsFavorites
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\WindowsFavorites_r
HKEY_LOCAL_MACHINE\SOFTWARE\Windows Favorite Collection
HKEY_LOCAL_MACHINE\SOFTWARE\WindowsFavorites
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\cacaloter

 

바로가기 아이콘을 생성하는 광고 프로그램은 대다수가 프로그램 삭제 이후에도 생성된 바로가기 아이콘을 삭제하지 않고 지속적으로 돈벌이를 수행하는 경향이 강하므로 단순히 프로그램 삭제를 통해 깨끗하게 제거되지 않을 수 있다는 점을 명심하시기 바랍니다.

 

또한 생성 파일의 속성이 숨김(H) 속성으로 지정되어 있으므로 폴더 옵션에서 "숨김 파일, 폴더 및 드라이브 표시" 항목에 체크한 후 파일을 찾아 삭제하시기 바랍니다.

728x90
반응형