본문 바로가기

벌새::Analysis

검색 도우미 : Windows Enkrs

728x90
반응형

마이크로소프트(Microsoft) 폴더 내에 설치되어 인터넷 쇼핑몰 바로가기 아이콘 생성 또는 특정 웹 사이트 접속시 제휴 코드 추가를 할 수 있는 국내에서 제작된 "Windows Enkrs" 광고 프로그램<SHA-1 : 669565aa7ab6e6c9447ad6a06e24a6d854d63b6c - AhnLab V3 365 Clinic : PUP/Win32.Toolbar.C794369 (VT : 11/57)>에 대해 살펴보도록 하겠습니다.

 

프로그램 설치 과정을 살펴보면 배포 파일을 통해 "C:\Program Files\Enkrs_setup.exe" 파일<SHA-1 : 86cd18549af67dc80dc29fa46927fcdcc8238e8b - avast! : Win32:Malware-gen (VT : 8/56)>을 생성하여 다음과 같은 파일을 생성한 후 자동 삭제 처리되도록 구성되어 있습니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Windowns Enkrs
C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Windowns Enkrs\encl.exe
C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Windowns Enkrs\enkrs.exe :: 메모리 상주 프로세스
C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Windowns Enkrs\unins000.dat
C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Windowns Enkrs\unins000.exe :: 프로그램 삭제 파일
C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Windowns Enkrs\upenkrs.dat
C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Windowns Enkrs\upenkrs.exe :: 시작 프로그램(Windows Enkrs) 등록 파일

 

[생성 파일 진단 정보]

 

C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Windowns Enkrs\upenkrs.exe
 - SHA-1 : 32b196ef0189461bed3b17d1e87aa60f3acbf160
 - AhnLab V3 365 Clinic : PUP/Win32.WindowsLiveProtect.R29168 (VT : 7/57)

Gong-gam 디지털 서명이 포함된 해당 광고 프로그램은 마이크로소프트(Microsoft) 폴더 내의 "C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Windowns Enkrs" 폴더에 파일을 생성합니다.

 

Windows 시작시 "C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Windowns Enkrs\upenkrs.exe" 파일을 시작 프로그램으로 등록하여 자동 실행되어 광고 기능을 수행하는 "C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Windowns Enkrs\enkrs.exe" 파일(SHA-1 : e2d0da12675e6779bf2092ff93e140453f2b64a5)을 메모리에 상주시킵니다.

이 과정에서 프로그램 업데이트 체크 및 특정 서버에서 다수의 상업적 웹 사이트 정보를 체크하는 부분을 확인할 수 있습니다.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}

특히 메모리에 상주하는 enkrs.exe 파일은 브라우저 도우미 개체(BHO) 항목에 등록된 특정 값을 자동 삭제하는 부분이 있습니다.

확인된 삭제된 BHO 값은 Oracle Java SE Runtime Environment 프로그램 설치를 통해 추가되는 "Java(tm) Plug-In SSV Helper" 항목이며 무슨 이유로 삭제하는지 알 수 없습니다.

 

테스트 당시에는 "Windows Enkrs" 광고 프로그램 설치로 인한 광고 행위는 발견되지 않고 있지만, 다양한 위치에 인터넷 쇼핑몰 바로가기 아이콘 생성 또는 특정 웹 사이트 접속시 제휴 코드가 추가될 수 있으리라 추정됩니다.

 

"Windows Enkrs" 광고 프로그램 삭제 방법

(a) Windows 작업 관리자를 실행하여 메모리에 상주하는 enkrs.exe 프로세스를 찾아 종료하시기 바랍니다.

(b) 제어판 또는 체크잇(CheckIt : www.checkitinfo.com) 프로그램에 등록된 "Windows Enkrs" 삭제 항목을 이용하여 프로그램 제거를 진행할 수 있습니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - Windows Enkrs = C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Windowns Enkrs\upenkrs.exe
HKEY_LOCAL_MACHINE\SOFTWARE\AppDataLow\Enkrs
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - Windows Enkrs = C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Windowns Enkrs\upenkrs.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
Windows Enkrs_is1

 

"Windows Enkrs" 광고 프로그램은 기본적으로 마이크로소프트(Microsoft) 폴더 내에 파일을 생성하는 점과 프로그램 이름 자체가 Windows 관련 프로그램처럼 등록되어 의심을 피하고 있으며, 광고 행위 역시 외형적으로 표시되지 않을 가능성이 있으므로 주의하시기 바랍니다.

 

 
728x90
반응형