본문 바로가기

벌새::Analysis

검색 도우미 : Lemon

728x90
반응형

인터넷 검색 및 웹 사이트 접속시 광고창을 자동으로 생성할 수 있는 국내에서 제작되 Lemon 광고 프로그램<SHA-1 : 7888c0ccd770f723f2c5529c76cfaa9cfc7a2358 - ESET : a variant of Win32/Adware.PopAd.AH>에 대해 살펴보도록 하겠습니다.

앱체크(AppCheck) 보조 백신 차단 모습

Lemon 광고 프로그램은 2015년 10월 하순경부터 광고 프로그램 배포 목적으로 제작된 BrowserShot 악성 프로그램을 통해 사용자 동의없이 몰래 설치되는 방식으로 배포가 이루어진 적이 있으므로 주의하시기 바랍니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Users\(사용자 계정)\AppData\Roaming\Lemon
C:\Users\(사용자 계정)\AppData\Roaming\Lemon\Lemon.exe :: 메모리 상주 프로세스
C:\Users\(사용자 계정)\AppData\Roaming\Lemon\unins000.dat
C:\Users\(사용자 계정)\AppData\Roaming\Lemon\unins000.dt
C:\Users\(사용자 계정)\AppData\Roaming\Lemon\unins000.exe :: 프로그램 삭제 파일

 

[생성 파일 진단 정보]

 

C:\Users\(사용자 계정)\AppData\Roaming\Lemon\Lemon.exe
 - SHA-1 : f9188cfc18dac21b47d76bb1a9d372bbad113388
 - avast! : Win32:Adware-gen [Adw]

Wetelecommunication 디지털 서명이 포함된 해당 광고 프로그램은 "C:\Users\(사용자 계정)\AppData\Roaming\Lemon" 폴더에 파일을 생성하며, 테스트 당시에는 자동 실행값이 추가되지 않는 1회성 행위만 이루어지고 있습니다.

 

하지만 파일을 확인해보면 업데이트 기능을 담당하는 "C:\Users\(사용자 계정)\AppData\Roaming\Lemon\LemonUpdater.exe" 파일을 통해 예약 작업 영역에 Lemon 작업 스케줄러 항목을 등록하여 자동 실행되어 광고 기능을 수행하는 Lemon.exe 파일을 메모리에 상주시킬 것으로 추정됩니다.

Lemon 광고 프로그램이 설치된 환경에서 사용자가 인터넷 검색 및 웹 사이트 접속 과정에서 헝그리앱 사이트와 같은 다양한 광고창이 생성되어 불편을 유발할 수 있습니다.

 

Lemon 광고 프로그램 삭제 방법

(a) Windows 작업 관리자를 실행하여 메모리에 상주하는 Lemon.exe 프로세스를 찾아 종료하시기 바랍니다.

(b) 제어판 또는 체크잇(CheckIt : www.checkitinfo.com) 프로그램에 등록된 Lemon 삭제 항목을 실행하여 프로그램 삭제를 진행하시기 바랍니다.

 

(c) 프로그램 삭제 후에는 "C:\Users\(사용자 계정)\AppData\Roaming\Lemon" 폴더를 찾아 직접 삭제하시기 바랍니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\Lemon
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{9F074D5E-61FE-422C-9F2D-D18F157DE71F}_is1

 

Lemon 광고 프로그램 이름으로는 광고 프로그램인지 쉽게 인지하기 어려우며, 일부 프로그램 배포 방식이 악성코드처럼 설치가 진행된 적이 있으므로 광고창이 지속적으로 생성되는 경우에는 설치 여부를 확인해 보시기 바랍니다.

 

 
728x90
반응형