본문 바로가기

벌새::Analysis

검색 도우미 : Windows Enkrs

마이크로소프트(Microsoft) 폴더 내에 설치되어 인터넷 쇼핑몰 바로가기 아이콘 생성 또는 특정 웹 사이트 접속시 제휴 코드 추가를 할 수 있는 국내에서 제작된 "Windows Enkrs" 광고 프로그램<SHA-1 : 669565aa7ab6e6c9447ad6a06e24a6d854d63b6c - AhnLab V3 365 Clinic : PUP/Win32.Toolbar.C794369 (VT : 11/57)>에 대해 살펴보도록 하겠습니다.

 

프로그램 설치 과정을 살펴보면 배포 파일을 통해 "C:\Program Files\Enkrs_setup.exe" 파일<SHA-1 : 86cd18549af67dc80dc29fa46927fcdcc8238e8b - avast! : Win32:Malware-gen (VT : 8/56)>을 생성하여 다음과 같은 파일을 생성한 후 자동 삭제 처리되도록 구성되어 있습니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Windowns Enkrs
C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Windowns Enkrs\encl.exe
C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Windowns Enkrs\enkrs.exe :: 메모리 상주 프로세스
C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Windowns Enkrs\unins000.dat
C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Windowns Enkrs\unins000.exe :: 프로그램 삭제 파일
C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Windowns Enkrs\upenkrs.dat
C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Windowns Enkrs\upenkrs.exe :: 시작 프로그램(Windows Enkrs) 등록 파일

 

[생성 파일 진단 정보]

 

C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Windowns Enkrs\upenkrs.exe
 - SHA-1 : 32b196ef0189461bed3b17d1e87aa60f3acbf160
 - AhnLab V3 365 Clinic : PUP/Win32.WindowsLiveProtect.R29168 (VT : 7/57)

Gong-gam 디지털 서명이 포함된 해당 광고 프로그램은 마이크로소프트(Microsoft) 폴더 내의 "C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Windowns Enkrs" 폴더에 파일을 생성합니다.

 

Windows 시작시 "C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Windowns Enkrs\upenkrs.exe" 파일을 시작 프로그램으로 등록하여 자동 실행되어 광고 기능을 수행하는 "C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Windowns Enkrs\enkrs.exe" 파일(SHA-1 : e2d0da12675e6779bf2092ff93e140453f2b64a5)을 메모리에 상주시킵니다.

이 과정에서 프로그램 업데이트 체크 및 특정 서버에서 다수의 상업적 웹 사이트 정보를 체크하는 부분을 확인할 수 있습니다.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}

특히 메모리에 상주하는 enkrs.exe 파일은 브라우저 도우미 개체(BHO) 항목에 등록된 특정 값을 자동 삭제하는 부분이 있습니다.

확인된 삭제된 BHO 값은 Oracle Java SE Runtime Environment 프로그램 설치를 통해 추가되는 "Java(tm) Plug-In SSV Helper" 항목이며 무슨 이유로 삭제하는지 알 수 없습니다.

 

테스트 당시에는 "Windows Enkrs" 광고 프로그램 설치로 인한 광고 행위는 발견되지 않고 있지만, 다양한 위치에 인터넷 쇼핑몰 바로가기 아이콘 생성 또는 특정 웹 사이트 접속시 제휴 코드가 추가될 수 있으리라 추정됩니다.

 

"Windows Enkrs" 광고 프로그램 삭제 방법

(a) Windows 작업 관리자를 실행하여 메모리에 상주하는 enkrs.exe 프로세스를 찾아 종료하시기 바랍니다.

(b) 제어판 또는 체크잇(CheckIt : www.checkitinfo.com) 프로그램에 등록된 "Windows Enkrs" 삭제 항목을 이용하여 프로그램 제거를 진행할 수 있습니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - Windows Enkrs = C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Windowns Enkrs\upenkrs.exe
HKEY_LOCAL_MACHINE\SOFTWARE\AppDataLow\Enkrs
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - Windows Enkrs = C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Windowns Enkrs\upenkrs.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
Windows Enkrs_is1

 

"Windows Enkrs" 광고 프로그램은 기본적으로 마이크로소프트(Microsoft) 폴더 내에 파일을 생성하는 점과 프로그램 이름 자체가 Windows 관련 프로그램처럼 등록되어 의심을 피하고 있으며, 광고 행위 역시 외형적으로 표시되지 않을 가능성이 있으므로 주의하시기 바랍니다.

 

 
  • 다녀갑니다 행복한 하루 되세요~!

  • 윤이사 2015.07.19 11:53 댓글주소 수정/삭제 댓글쓰기

    우연히 악성 광고창 제거에 대해 웹서핑을 하다 님 블로그를 보게됐습니다. 참 많은 도움을 받았습니다. 정말 감사드립니다. 그런데 저처럼 이런류의 정보에 다소 문외한으로서는 이해키 어려운 부분도 있는 것이 사실입니다. 좀 더 쉽게 기술 해주셨으면 정말 감사하겠네요. ㅋㅋ

    그럼...참 제가 초대장이 없어 티스토리를 공유하지 못하는데 초대장 좀 주실 수 없는지요. ㅋㅋㅋ

    초면에 너무 부탁이 많은건 아닌지...

    • 초대장 발송을 위한 메일 주소를 비밀글로 달아주시면 보내 드리겠습니다.

      작성한 글을 일반인도 알 수 있도록 최대한 사진과 글로 표현했는데 더 신경쓰도록 하겠습니다. 감사합니다.