본문 바로가기

벌새::Analysis

검색 도우미 : Cdragon

728x90
반응형

인터넷 검색 및 웹 사이트 접속 시 자동으로 다수의 광고창을 생성할 수 있는 국내에서 제작된 Cdragon 광고 프로그램(SHA-1 : 1bf130c543fa5f6d7e54b30c0c530736ec20cfc5 - ESET : a variant of Win32/Adware.Kraddare.LV)에 대해 살펴보도록 하겠습니다.

 

생성 폴더 / 파일 등록 정보

 

C:\Users\%UserName%\AppData\Roaming\Cdragon
C:\Users\%UserName%\AppData\Roaming\Cdragon\Cdragon.exe :: 시작 프로그램(howcodec) 등록 파일, 메모리 상주 프로세스
C:\Users\%UserName%\AppData\Roaming\Cdragon\unins000.dat
C:\Users\%UserName%\AppData\Roaming\Cdragon\unins000.dt
C:\Users\%UserName%\AppData\Roaming\Cdragon\unins000.exe :: 프로그램 삭제 파일

 

생성 파일 진단 정보

 

C:\Users\%UserName%\AppData\Roaming\Cdragon\Cdragon.exe
 - SHA-1 : 2a5d92026225ff2a79dea12bb26acf81d1fef08e
 - Avira : ADWARE/Kraddare.tffye

 

 

"jncmarketing Co., Ltd" 디지털 서명이 포함된 해당 광고 프로그램은 "C:\Users\%UserName%\AppData\Roaming\Cdragon" 폴더에 파일을 생성합니다.

 

Windows 시작 시 howcodec 시작 프로그램 등록값을 통해 "C:\Users\%UserName%\AppData\Roaming\Cdragon\Cdragon.exe" 파일을 자동 실행하여 광고 구성값을 체크한 후 메모리에 상주하도록 구성되어 있습니다.

 

 

Cdragon 광고 프로그램이 설치된 환경에서 인터넷 검색 시 자동으로 다수의 광고창이 생성되어 정상적인 PC 사용에 심각한 불편을 유발할 수 있습니다.

 

Cdragon 광고 프로그램 삭제 방법

 

(a) 작업 관리자를 실행하여 메모리에 상주하는 Cdragon.exe 프로세스를 찾아 종료하시기 바랍니다.

 

 

(b) 제어판의 프로그램 및 기능 또는 체크잇(CheckIt : www.checkitinfo.com) 프로그램에 등록된 Cdragon 프로그램을 찾아 제거하신 후 "C:\Users\%UserName%\AppData\Roaming\Cdragon" 폴더를 찾아 삭제하시기 바랍니다.

 

생성 레지스트리 등록 정보

 

HKEY_CURRENT_USER\Software\Cdragon
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - howcodec = "c:\users\%UserName%\appdata\roaming\cdragon\cdragon.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{5CFB6DE6-1880-499E-A67E-B88D4B354328}_is1

 

 

다수의 광고창을 공격적으로 생성할 수 있는 Cdragon 광고 프로그램이 설치되어 고생하지 않도록 프로그램 설치 시 주의하시기 바랍니다.

 

728x90
반응형