배달 서비스 요기요(yogiyo) 웹 사이트 홍보를 목적으로 바탕 화면 및 즐겨찾기에 바로가기 아이콘을 생성하는 "Win icon yogiyo" 광고 프로그램<SHA-1 : 5cb45dbe590925b1a440ef7627ec1f0a4a16611c - Hauri ViRobot : Adware.Agent.144864[h] (VT : 6/55)>에 대해 살펴보도록 하겠습니다.(※ 해당 프로그램은 2012년 9월경 배포가 이루어졌습니다.)
프로그램 설치 과정을 살펴보면 "C:\Program Files\yogiyo\install.exe" 파일<SHA-1 : ac5728e5b5f8bbbab15ef5ac86cc4169ebd42ecd - AVG : Win32/DH{gRKBE0EPICJbATZQCg} (VT : 2/56)>을 임시 생성하여 프로그램 설치를 진행한 후 자동 삭제 처리됩니다.
C:\Program Files\yogiyo
C:\Program Files\yogiyo\ToolbarRestore.exe :: 시작 프로그램 등록 파일
C:\Program Files\yogiyo\uninstall.exe :: 프로그램 삭제 파일
C:\Program Files\yogiyo\Update.exe
C:\Program Files\yogiyo\yogiyo.ico
C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\요기요.lnk
C:\Users\(사용자 계정)\Desktop\요기요.url
C:\Users\(사용자 계정)\Favorites\요기요.url
C:\Users\Public\Documents\IlikeClick.ini
C:\Windows\IlikeClick.dat
C:\Program Files\yogiyo\Update.exe
- SHA-1 : 80ec5353dec549d0cfb1c9cfc696818ff57c3986
- AhnLab V3 365 Clinic : PUP/Win32.ILikeClick.R47826 (VT : 4/56)
"Interactivy Inc." 디지털 서명이 포함된 "Win icon yogiyo" 프로그램은 "C:\Program Files\yogiyo" 폴더에 파일을 생성하며, Windows 시작시 "C:\Program Files\yogiyo\ToolbarRestore.exe" 파일(SHA-1 : 4ac59c7e4fad04ed8873d6bf8c7ef0a523b02806)을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.
- C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\요기요.lnk
- C:\Users\(사용자 계정)\Desktop\요기요.url
- C:\Users\(사용자 계정)\Favorites\요기요.url
자동 실행된 파일(ToolbarRestore.exe)은 암호화된 구성값(C:\Windows\IlikeClick.dat) 정보를 체크한 후 빠른 실행, 바탕 화면, 즐겨 찾기 영역에 제휴 코드가 추가된 요기요 바로가기 아이콘을 매번 재생성한 후 자신은 자동 종료 처리됩니다.
■ "Win icon yogiyo" 광고 프로그램 삭제 방법
프로그램 삭제는 제어판 또는 체크잇(CheckIt : www.checkitinfo.com) 프로그램에 등록된 "Win icon yogiyo" 삭제 항목을 이용하여 제거할 수 있습니다.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- ToolbarRestore = C:\Program Files\yogiyo\ToolbarRestore.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Win icon yogiyo
HKEY_LOCAL_MACHINE\SOFTWARE\yogiyo
"Win icon yogiyo" 광고 프로그램은 사용자가 바로가기 아이콘만을 삭제하여도 부팅시마다 자동으로 바로가기 아이콘을 생성하므로 원치않는 사용자는 프로그램을 찾아 제거하시기 바랍니다.