2015년 4월 전후부터 배포가 이루어진 것으로 추정되는 즐겨찾기 항목에 다양한 인터넷 쇼핑몰 바로 가기 생성 및 추가적인 제휴 프로그램 설치를 유도할 수 있는 국내에서 제작된 "Windows Favorites Collection" 광고 프로그램(SHA-1 : 4eaa58887db6d6df6c652d748808cd449b044f92 - AVG : Generic.8D6)에 대해 살펴보도록 하겠습니다.
해당 광고 프로그램은 기존에 소개한 "Windows Favorite Collection" 바로 가기 아이콘 생성 프로그램과 이름이 매우 유사하므로 혼동하지 마시기 바랍니다.
생성 폴더 / 파일 등록 정보 |
C:\Program Files\Windows Favorites Collection
|
생성 파일 진단 정보 |
C:\Program Files\Windows Favorites Collection\iBookMarkService.exe
|
GJNetworks 디지털 서명이 포함된 해당 광고 프로그램은 "C:\Program Files\Windows Favorites Collection" 폴더에 핵심 파일을 생성합니다.
기본 기능은 즐겨찾기 영역에 북마크 서비스, 쇼핑할인 폴더에 다수의 인터넷 바로 가기를 생성하여 인터넷 쇼핑몰 접속 시 "api.favlist.kr:8080" 서버를 경유하여 제휴 코드가 추가되도록 구성되어 있습니다.
Windows 시작 시마다 iBookMarkService 시작 프로그램 등록값을 통해 자동 실행된 "C:\Program Files\Windows Favorites Collection\iBookMarkService.exe" 파일은 ""C:\Program Files\Windows Favorites Collection\iBookMarkService.exe" /DOWNLOAD "XMLPath=C:\Program Files\Windows Favorites Collection\temp\\download-bookmark07.xml" 구성 파일을 체크합니다.
이를 통해 특정 부팅 시점에서는 "Windows Favorites Collection Update" 창을 통해 다양한 제휴 프로그램 설치를 유도할 수 있으며, 사용자가 숨어있는 추가 프로그램의 체크 박스를 해제하지 않고 "확인후 닫기" 버튼을 클릭할 경우 자동으로 광고 프로그램이 다수 설치될 수 있습니다.
(1) 검색 도우미 : Windows iCream Platform (2015.12.15)
- h**p://api.*cream.kr/GetSetupFile.api?PID=******** → setup-icream07.exe (SHA-1 : 45c655e25b1592ff391cf1ac58b3532a45fc3fa9)
"adforus Co., Ltd" 디지털 서명이 포함된 해당 광고 프로그램은 제휴 코드가 포함된 광고창 생성 행위가 예상됩니다.
(2) 검색 도우미 : Windows Application keycast
- h**p://down.***cast.co.kr/setup_key003_silent.exe (SHA-1 : e3c4be3ab34d37f32c0afd2b9b13052edf092ca7)
- h**p://api.***list.kr:8080/keycast/setup-keycast.exe (SHA-1 : c058b470741447f72be3313b9b96f3ab4b13011d - Hauri ViRobot : Trojan.Win32.S.Agent.233312[h])
"adforus Co., Ltd" 디지털 서명이 포함된 해당 광고 프로그램은 2016년 10월 초부터 배포되기 시작하였으며, "C:\Users\%UserName%\AppData\Roaming\keycast" 폴더에 기본적인 파일을 생성합니다.
- h**p://down.***cast*.com/key1/setup.exe (SHA-1 : 89cb095d345c6d16c56d912e62123e2f5c62ec7b - ESET : a variant of Win32/AdWare.KeywordFind.D)
또한 가상 환경에서 분석을 방해할 목적으로 Themida 패킹으로 제작된 추가적인 광고 설치 파일을 다운로드 및 실행되어 동일 폴더 내에 추가적인 광고 파일을 생성합니다.
최종적으로 생성된 파일 구성은 위와 같으며 세부적인 정보는 차후 공개하도록 하겠습니다.
■ "Windows Favorites Collection" 광고 프로그램 제거 방법
(a) 제어판의 프로그램 및 기능 또는 체크잇(CheckIt : www.checkitinfo.com) 프로그램에 등록된 "Windows Favorites Collection" 프로그램을 찾아 제거하시기 바랍니다.
(b) 하지만 프로그램에서 제공하는 기능을 통해 제거된 후에도 즐겨찾기 영역에 추가된 인터넷 바로 가기는 삭제되지 않으므로 추가적으로 다음의 폴더(파일)를 찾아 삭제하시기 바랍니다.
- C:\Users\%UserName%\AppData\Local\iBookMarkService
- C:\Users\%UserName%\AppData\Local\iBookMarkService.exe
- C:\Users\%UserName%\Favorites\북마크 서비스
- C:\Users\%UserName%\Favorites\북마크 서비스\국내 검색포털
- C:\Users\%UserName%\Favorites\북마크 서비스\국내 검색포털\구글 검색 포털.url
- C:\Users\%UserName%\Favorites\북마크 서비스\국내 검색포털\네이버 바로가기.url
- C:\Users\%UserName%\Favorites\북마크 서비스\국내 검색포털\다음 바로방문.url
- C:\Users\%UserName%\Favorites\쇼핑할인
- C:\Users\%UserName%\Favorites\쇼핑할인\ 신세계몰 .url
- C:\Users\%UserName%\Favorites\쇼핑할인\롯데닷컴.url
- C:\Users\%UserName%\Favorites\쇼핑할인\롯데마트.url
- C:\Users\%UserName%\Favorites\쇼핑할인\이마트몰.url
- C:\Users\%UserName%\Favorites\쇼핑할인\AK몰.url
- C:\Users\%UserName%\Favorites\쇼핑할인\CJmall.url
- C:\Users\%UserName%\Favorites\쇼핑할인\GS SHOP.url
- C:\Users\%UserName%\Favorites\쇼핑할인\NS몰.url
- C:\Users\%UserName%\Favorites\쇼핑할인\SSG닷컴.url
생성 레지스트리 등록 정보 |
HKEY_CURRENT_USER\Software\GJNetworks
|
일반적으로 광고 프로그램 중 즐겨찾기에 인터넷 바로 가기를 생성할 경우 프로그램 제거 후에도 인터넷 바로 가기를 그대로 남겨서 지속적으로 수익 창출을 유발하는 경향이 강하므로 즐겨찾기에 자신도 모르게 추가된 인터넷 바로 가기가 생성될 경우 삭제하시기 바랍니다.