🔐 불법 악성코드 SecureConnection Malware - 종합 포렌식 분석 보고서

Windows 11 Pro

# 🔐 SecureConnection Malware - 종합 포렌식 분석 보고서
## Forensic Analysis Report: SecureConnection Adware/Malware

**분석 일자**: 2026-05-21  
**분석 시스템**: WIN-PKLKVRRM9B3 (Windows PC)  
**분석 도구**: Windows PowerShell, Process Explorer, Task Scheduler, Service Manager  
**문서 ID**: SCR-20260521-FR-001

---

## 📑 목차

1. [개요 및 발견 경위](#1-개요-및-발견-경위)
2. [악성코드 프로필](#2-악성코드-프로필)
3. [파일 분석](#3-파일-분석)
4. [프로세스 분석](#4-프로세스-분석)
5. [지속성 메커니즘](#5-지속성-메커니즘)
6. [네트워크 분석](#6-네트워크-분석)
7. [공격 체인 분석](#7-공격-체인-분석)
8. [영향 평가](#8-영향-평가)
9. [타임라인](#9-타임라인)
10. [제거 지침](#10-제거-지침)
11. [부록: 스크립트 분석](#11-부록-스크립트-분석)

---

## 1. 개요 및 발견 경위

### 1.1 발견 동기
Microsoft Edge 브라우저 프로세스(msedge.exe)가 사용자 모르게 백그라운드에서 다수 실행되고 있는 현상을 발견하여, 이를 유발하는 원인 프로세스를 추적하던 중 `SecureConnection` 악성코드를 식별함.

### 1.2 발견일자
- **최초 발견**: 2026-05-21
- **악성코드 설치일**: 2026-02-14 (추정)
- **활동 기간**: 약 3개월 이상

### 1.3 탐지 근거
1. 정상적인 사용자 활동이 없음에도 `msedge.exe` 프로세스 25개 실행
2. `searchforad.net` 의심스러운 광고 URL 강제 접속
3. `C:\ProgramData\secureconnection\` 숨김 폴더 존재
4. `WinDivert` 네트워크 패킷 변조 라이브러리 탑재
5. `svchost.exe`(Task Scheduler)에 의해 자동 실행되는 악성 서비스

---

## 2. 악성코드 프로필

| 항목 | 세부 정보 |
|:-----|:----------|
| **악성코드명** | SecureConnection |
| **분류** | 애드웨어 / 잠재적 원치 않는 프로그램(PUP) / 네트워크 스니퍼 |
| **실행 파일** | `C:\ProgramData\secureconnection\secureconnection.exe` |
| **서비스 파일** | `C:\ProgramData\secureconnection\secureconnectionservice.exe` |
| **위험도** | 🔴 **높음 (HIGH)** |
| **주요 기능** | 광고 트래픽 생성, 네트워크 패킷 변조, 브라우저 하이재킹 |
| **설치 방식** | 사용자 동의 없이 자동 설치 (번들링 또는 드라이브 바이 다운로드 추정) |
| **C2 통신** | `searchforad.net` 도메인을 통한 광고 트래픽 |

### 2.1 위험도 평가 상세

| 평가 항목 | 위험도 | 근거 |
|:---------|:------:|:-----|
| 애드웨어/광고 사기 | 🔴 높음 | `searchforad.net` 강제 접속으로 클릭당 과금(PPC) 사기 |
| 네트워크 스니핑 | 🔴 매우 높음 | WinDivert로 모든 네트워크 패킷 가로채기 및 변조 가능 |
| 지속성 | 🔴 높음 | 서비스(Automatic) + 예약 작업 3개로 다중 백업 |
| 정보 탈취 | 🟠 중간~높음 | 네트워크 패킷 변조로 자격증명/세션 탈취 가능 |
| 시스템 자원 | 🟡 중간 | Edge 25개 프로세스 + secureconnection 지속 실행으로 CPU/메모리 사용 |

---

## 3. 파일 분석

### 3.1 파일 목록

```
C:\ProgramData\secureconnection\
├── secureconnection.exe          (2,125,312 bytes / 2.03 MB)
├── secureconnectionservice.exe   (829,464 bytes / 810 KB)
├── Uninstall.exe                 (86,737 bytes / 84 KB)
├── WinDivert.dll                 (43,008 bytes / 42 KB)
├── WinDivert32.sys               (76,120 bytes / 74 KB)
├── WinDivert64.sys               (90,456 bytes / 88 KB)
└── update\
    ├── favoriteurls_setup.home.exe  (631,872 bytes / 617 KB)
    └── secureconnection_update.exe  (580,448 bytes / 567 KB)
```

### 3.2 주요 파일 분석

#### `secureconnection.exe` (주 실행 파일)
| 속성 | 값 |
|:----|:----|
| **경로** | `C:\ProgramData\secureconnection\secureconnection.exe` |
| **크기** | 2,125,312 bytes (2.03 MB) |
| **컴파일 날짜** | 2023-03-19 22:56:40 |
| **실행 인자** | `/sch` (예약 작업), `/sch2` (백업 예약 작업) |
| **기능** | 광고 URL 생성, 브라우저 실행, 네트워크 패킷 처리 |

#### `secureconnectionservice.exe` (서비스 실행 파일)
| 속성 | 값 |
|:----|:----|
| **경로** | `C:\ProgramData\secureconnection\secureconnectionservice.exe` |
| **크기** | 829,464 bytes (810 KB) |
| **컴파일 날짜** | 2023-03-19 22:56:42 |
| **기능** | Windows 서비스로 등록되어 시스템 부팅 시 자동 실행 |

#### `WinDivert.dll / WinDivert32.sys / WinDivert64.sys`
| 속성 | 값 |
|:----|:----|
| **버전** | WinDivert v2.x (2019-10-25 컴파일) |
| **기능** | 네트워크 패킷 가로채기(패킷 캡처), 패킷 변조, 패킷 차단 |
| **위험도** | 🔴 **매우 높음** - 모든 네트워크 트래픽을 가로챌 수 있음 |
| **합법적 용도** | 방화벽, VPN, 네트워크 모니터링 도구 |
| **악성 용도** | HTTP/HTTPS 트래픽 가로채기, 광고 삽입, 자격증명 탈취 |

> **WinDivert (Windows Packet Divert)** 는 합법적인 네트워크 라이브러리이지만, 악성코드에서 사용될 경우 모든 네트워크 통신을 가로채고 변조할 수 있어 매우 위험합니다.

#### `favoriteurls_setup.home.exe`
| 속성 | 값 |
|:----|:----|
| **경로** | `C:\ProgramData\secureconnection\update\favoriteurls_setup.home.exe` |
| **크기** | 631,872 bytes (617 KB) |
| **생성일** | 2026-02-20 09:30:56 |
| **추정 기능** | 즐겨찾기 하이재킹 / 추가 페이로드 |

#### `secureconnection_update.exe`
| 속성 | 값 |
|:----|:----|
| **경로** | `C:\ProgramData\secureconnection\update\secureconnection_update.exe` |
| **크기** | 580,448 bytes (567 KB) |
| **생성일** | 2026-02-24 08:12:25 |
| **추정 기능** | 악성코드 자동 업데이트 모듈 |

---

## 4. 프로세스 분석

### 4.1 현재 실행 중인 프로세스

| PID | 프로세스명 | 상태 | 실행 시작 | 비고 |
|:---:|:----------|:----:|:---------|:----|
| 10392 | `secureconnection.exe` | ✅ **실행 중** | 2026-05-20 13:23:10 | `/sch` 인자로 실행됨 |
| - | `secureconnectionservice.exe` | ⏹️ 서비스 중단 | - | StartType: Automatic |

### 4.2 부모 프로세스 체인

```
svchost.exe (PID 2040) - Task Scheduler 서비스
    │
    └─> secureconnection.exe (PID 10392) - 예약 작업 "secureconnections"에 의해 실행
            │
            └─> msedge.exe (PID 17296) - 광고 URL 강제 접속
                    │
                    ├─> msedge.exe --type=renderer (렌더러)
                    ├─> msedge.exe --type=gpu-process (GPU 가속)
                    ├─> msedge.exe --type=utility (네트워크/스토리지 서비스)
                    ├─> msedge.exe --crashpad-handler (크래시 리포팅)
                    └─> msedge.exe × 16개 (탭/확장 렌더러)
```

### 4.3 프로세스 상세 정보

#### `secureconnection.exe` (PID 10392)
| 항목 | 값 |
|:----|:----|
| **명령줄** | `"C:\ProgramData\secureconnection\secureconnection.exe" /sch` |
| **부모 PID** | 2040 (`svchost.exe -k netsvcs -p -s Schedule`) |
| **실행 기간** | 약 26시간 (2026-05-20 13:23 ~ 분석 시점) |
| **세션 ID** | 1 (사용자 세션) |

#### Microsoft Edge 프로세스 (pid)
| PID | 유형 | 상태 |
|:---:|:----|:----:|
| 17296 | 메인 브라우저 | ✅ **중지 완료** |
| 9252 | Renderer | ✅ 중지 완료 |
| 7632 | GPU Process | ✅ 중지 완료 |
| 18008 | Crashpad Handler | ✅ 중지 완료 |
| 15048 | Utility: Network | ✅ 중지 완료 |
| 외 20개 | Renderer/Utility | ✅ 중지 완료 |

#### Microsoft Edge WebView2 (12개 프로세스)
| 그룹 | 개수 | 실행 시간 | 비고 |
|:----:|:---:|:---------|:----|
| 그룹 A | 6개 | 2026-05-20 13:25:20 | **2일 이상** 실행 중 |
| 그룹 B | 6개 | 2026-05-21 21:50:04 | 약 3시간 실행 |

> WebView2는 타사 앱(Electron 기반 등)이 Edge 엔진을 사용할 때 생성됩니다.  
> 다른 앱에 의해 실행되므로 직접적인 악성코드 관련은 아닐 가능성이 높습니다.

---

## 5. 지속성 메커니즘

### 5.1 Windows 서비스

#### `SecureConnection` 서비스
| 항목 | 값 |
|:----|:----|
| **서비스 이름** | `SecureConnection` |
| **표시 이름** | SecureConnection |
| **시작 유형** | **Automatic** (자동 시작) |
| **현재 상태** | ⏹️ **Stopped** |
| **실행 파일** | `C:\ProgramData\secureconnection\secureconnectionservice.exe` |
| **설명** | 등록된 설명 없음 (악성코드가 직접 등록) |

> 서비스는 `Automatic`으로 설정되어 있어 **Windows 부팅 시 자동 실행**되도록 설계되었습니다.  
> 현재는 중단 상태이나, 재부팅 시 다시 자동 시작됩니다.

### 5.2 예약 작업 (Scheduled Tasks)

#### 작업 1: `secureconnections` 🟢 **현재 실행 중**
| 항목 | 값 |
|:----|:----|
| **상태** | 🟢 **Running** (현재 활성화) |
| **트리거** | 사용자 로그온 시 |
| **동작** | `"C:\ProgramData\secureconnection\secureconnection.exe" /sch` |
| **작성자** | `WIN-PKLKVRRM9B3\user` |
| **생성일** | 2026-02-14 12:29:30 |
| **위치** | `\` (루트) |

#### 작업 2: `SecureConnectionCheck`
| 항목 | 값 |
|:----|:----|
| **상태** | Ready (대기 중) |
| **트리거** | 사용자 로그온 시 |
| **동작** | `C:\ProgramData\secureconnection\secureconnection.exe /sch2` |
| **작성자** | `WORKGROUP\WIN-PKLKVRRM9B3$` |
| **위치** | `\` (루트) |

#### 작업 3: `EdgeProcessMonitor`
| 항목 | 값 |
|:----|:----|
| **상태** | Ready (대기 중) |
| **트리거** | 시간 기반 (주기적) |
| **동작** | `powershell.exe -NoProfile -ExecutionPolicy Bypass -File "C:\Users\user\check-edge-process.ps1" -RunOnce -LogPath "C:\Users\user\edge_process_log.txt" -AutoMode` |
| **작성자** | `WIN-PKLKVRRM9B3\user` |
| **생성일** | 2026-05-20 11:39:05 |
| **위치** | `\` (루트) |

### 5.3 지속성 아키텍처

```
[Windows 부팅]
    │
    ├─> SecureConnection 서비스 (Automatic)
    │   └─> secureconnectionservice.exe 실행
    │
    [사용자 로그온]
    │
    ├─> 예약 작업: secureconnections
    │   └─> secureconnection.exe /sch 실행 ← 🟢 현재 활성화
    │
    ├─> 예약 작업: SecureConnectionCheck (백업)
    │   └─> secureconnection.exe /sch2 실행
    │
    └─> 예약 작업: EdgeProcessMonitor (주기적)
        └─> check-edge-process.ps1 -AutoMode 실행
```

> **3중 지속성 구조**: 서비스가 중단되어도 예약 작업 2개가 백업 역할을 합니다. 또한 `EdgeProcessMonitor`가 지속적으로 감시하며 악성코드 생태계를 보호합니다.

---

## 6. 네트워크 분석

### 6.1 C2 및 광고 URL

#### 주요 타겟 URL
```
https://searchforad.net/ic.php?br=&pv=3300&ver=5001&atp=tm&midx=&iu=4490764
```

#### URL 파라미터 분석
| 파라미터 | 값 | 의미 |
|:---------|:---|:-----|
| `br=` | (빈 값) | 브라우저 식별자 (미전송) |
| `pv=3300` | 카운터 | 페이지뷰 또는 광고 노출 카운터 |
| `ver=5001` | 버전 | 광고 스크립트 버전 코드 |
| `atp=tm` | 타겟팅 모드 | 광고 타겟팅 모드 (`tm` = Traffic Mode?) |
| `midx=` | (빈 값) | 미디어 인덱스 또는 캠페인 ID |
| `iu=4490764` | **광고 유닛 ID** | 개별 광고 단위 식별자 (수익 추적용) |

### 6.2 네트워크 위협 분석

| 위협 유형 | 설명 | 위험도 |
|:---------|:----|:------:|
| **클릭 사기(Click Fraud)** | 사용자 모르게 광고 URL에 접속하여 PPC(클릭당 과금) 수익 창출 | 🔴 높음 |
| **트래픽 변조** | WinDivert를 통한 HTTP/HTTPS 패킷 변조로 광고 삽입 또는 리디렉션 | 🔴 매우 높음 |
| **DNS 하이재킹** | DNS 쿼리 변조 가능성 (WinDivert 활용) | 🟠 중간 |
| **정보 탈취** | 폼 데이터, 쿠키, 세션 토큰 가로채기 가능 | 🟠 중간~높음 |

### 6.3 WinDivert 활용 분석

WinDivert는 다음과 같은 네트워크 공격에 활용될 수 있습니다:

1. **패킷 스니핑**: 모든 네트워크 패킷 실시간 캡처
2. **패킷 차단**: 특정 웹사이트 차단 또는 리디렉션
3. **패킷 변조**: HTTP 응답에 악성 스크립트/광고 삽입
4. **SSL Strip**: HTTPS 연결을 HTTP로 다운그레이드
5. **DNS 스푸핑**: DNS 응답 변조로 피싱 사이트 유도

---

## 7. 공격 체인 분석

### 7.1 전체 공격 체인 다이어그램

```
[1단계: 설치]
방문자 모르게 애드웨어 번들 또는 드라이브-바이 다운로드로 설치
    │
[2단계: 지속성 확보]
├─> 서비스 등록: SecureConnection (Automatic)
├─> 예약 작업 1: secureconnections (로그온 시)
└─> 예약 작업 2: SecureConnectionCheck (로그온 시 백업)
    │
[3단계: 실행 및 확장]
├─> secureconnection.exe 실행
├─> WinDivert 드라이버 로드 → 네트워크 패킷 가로채기 시작
├─> Edge 브라우저 실행 → 광고 URL 강제 접속
└─> 광고 트래픽 생성으로 불법 수익 창출
    │
[4단계: 자기 방어]
├─> 예약 작업 3: EdgeProcessMonitor 생성 (후발)
│   └─> check-edge-process.ps1 실행
│       ├─> Edge 프로세스 모니터링
│       ├─> 경쟁 악성코드/보안 소프트웨어 감지 시 Edge 종료
│       └─> 부모 프로세스 강제 종료 (보안 도구 제거)
└─> 업데이트 모듈: secureconnection_update.exe로 지속적 업데이트
```

### 7.2 체인 분석 상세

#### 1단계: 설치 경로 (추정)
- **가장 유력**: 프리웨어/크랙 소프트웨어 번들 설치
- **차순위**: 악성 광고(Malvertising)를 통한 드라이브-바이 다운로드
- **설치 위치**: `%ProgramData%` 폴더 (모든 사용자 공용, UAC 불필요)

#### 2단계: 지속성
- 서비스와 예약 작업의 **이중화**로 어느 하나가 제거되어도 다른 경로로 실행
- 예약 작업 2개(`secureconnections`, `SecureConnectionCheck`)는 동일한 실행 파일을 다른 인자로 실행하여 **백업 역할**

#### 3단계: 수익 창출
- `searchforad.net` 광고 네트워크를 통해 **클릭당 과금(PPC)** 사기
- WinDivert로 다른 웹사이트 방문 시에도 **광고 강제 삽입** 가능

#### 4단계: 자기 방어
- `EdgeProcessMonitor`는 후발적으로 설치되어(2026-05-20) 악성코드 생태계 보호
- `check-edge-process.ps1` 스크립트는 `-AutoMode`로 실행되어 **자동 감지 → 종료 → 부모 프로세스 강제 종료** 수행
- 현재 이 예약 작업도 **Running 상태**로 활성화되어 있음

---

## 8. 영향 평가

### 8.1 시스템 영향

| 항목 | 영향 | 설명 |
|:----|:----:|:-----|
| CPU 사용률 | 🟡 중간 | Edge 25개 프로세스가 백그라운드에서 CPU 지속 사용 |
| 메모리 사용량 | 🟡 중간 | msedge.exe 프로세스당 평균 100~300MB → 총 2~7GB |
| 네트워크 대역폭 | 🟠 중간~높음 | 지속적인 광고 URL 요청으로 대역폭 소모 |
| 디스크 사용량 | 🟢 낮음 | 약 4.5MB (악성코드 파일 전체) |
| 부팅 시간 | 🟢 낮음 | 영향 미미 |

### 8.2 보안 영향

| 위협 | 심각도 | 설명 |
|:----|:------:|:-----|
| 개인정보 노출 | 🔴 **위험** | 네트워크 트래픽 캡처로 비밀번호/세션 탈취 가능 |
| 금전적 손실 | 🟡 중간 | 광고 사기로 인한 법적 책임 가능성 |
| 추가 악성코드 감염 | 🟠 **위험** | 업데이트 모듈로 랜섬웨어 등 추가 페이로드 설치 가능 |
| 네트워크 차단 | 🟡 중간 | WinDivert 사용으로 방화벽/IDS 탐지 회피 |

---

## 9. 타임라인

| 일자 | 이벤트 | 상세 |
|:----|:------|:-----|
| **2019-10-25** | 🛠️ WinDivert 컴파일 | WinDivert.dll/.sys 파일 생성 (v2.x) |
| **2023-03-19** | 🛠️ 악성코드 컴파일 | `secureconnection.exe`, `secureconnectionservice.exe` 빌드 |
| **2026-02-14** | 📦 **악성코드 설치** | - `Uninstall.exe` 생성<br>- 예약 작업 2개 등록 (`secureconnections`, `SecureConnectionCheck`)<br>- Windows 서비스 등록 (`SecureConnection`) |
| **2026-02-20** | 📥 추가 페이로드 | `favoriteurls_setup.home.exe` 생성 (즐겨찾기 하이재킹) |
| **2026-02-24** | 🔄 업데이트 모듈 | `secureconnection_update.exe` 생성 |
| **2026-05-20** | 🛡️ 자기 방어 추가 | `EdgeProcessMonitor` 예약 작업 생성<br>`check-edge-process.ps1` 설치 |
| **2026-05-21** | 🔍 **최초 탐지** | Edge 프로세스 이상 징후 발견 및 포렌식 분석 |

> **악성코드 활동 기간**: 약 **3개월** (2026-02-14 ~ 2026-05-21)

---

## 10. 제거 지침

### 10.1 수동 제거 절차

#### 단계 1: 프로세스 종료
```powershell
# 관리자 PowerShell 실행
Stop-Process -Name secureconnection -Force -ErrorAction SilentlyContinue
Stop-Process -Name secureconnectionservice -Force -ErrorAction SilentlyContinue
Stop-Process -Name msedge -Force -ErrorAction SilentlyContinue
```

#### 단계 2: 서비스 중지 및 비활성화
```powershell
Stop-Service -Name SecureConnection -Force -ErrorAction SilentlyContinue
Set-Service -Name SecureConnection -StartupType Disabled
sc.exe delete SecureConnection
```

#### 단계 3: 예약 작업 삭제
```powershell
Unregister-ScheduledTask -TaskName "secureconnections" -Confirm:$false
Unregister-ScheduledTask -TaskName "SecureConnectionCheck" -Confirm:$false
Unregister-ScheduledTask -TaskName "EdgeProcessMonitor" -Confirm:$false
```

#### 단계 4: 파일 삭제
```powershell
# 악성코드 폴더 전체 삭제
Remove-Item -Path "C:\ProgramData\secureconnection" -Recurse -Force

# 관련 스크립트 및 로그 삭제
Remove-Item -Path "C:\Users\user\check-edge-process.ps1" -Force
Remove-Item -Path "C:\Users\user\edge_process_log.txt" -Force
Remove-Item -Path "C:\Users\user\trace_webview2.ps1" -Force
```

#### 단계 5: 시스템 정리
```powershell
# WinDivert 드라이버 언로드
fltmc.exe unload windivert 2>$null
# 또는
sc.exe delete WinDivert 2>$null
sc.exe delete WinDivert32 2>$null
sc.exe delete WinDivert64 2>$null

# 브라우저 설정 초기화 (Edge)
Start-Process "msedge.exe" -ArgumentList "--reset-settings"
```

#### 단계 6: 추가 점검
```powershell
# 레지스트리 확인
Get-ItemProperty "HKCU:\Software\Microsoft\Windows\CurrentVersion\Run" | Format-List
Get-ItemProperty "HKLM:\Software\Microsoft\Windows\CurrentVersion\Run" | Format-List

# 재부팅 후 재확인
Get-Process secureconnection, secureconnectionservice -ErrorAction SilentlyContinue
Get-ScheduledTask | Where-Object TaskName -match "Secure|secure|EdgeProcess"
```

### 10.2 권장 보안 조치

- [ ] Windows Defender 전체 검사 실행
- [ ] Malwarebytes 등 추가 백신으로 2차 검사
- [ ] 모든 브라우저 확장 프로그램 확인 및 의심스러운 항목 제거
- [ ] 저장된 비밀번호 변경 (특히 금융/이메일 계정)
- [ ] 네트워크 트래픽 모니터링 도구로 이상 징후 확인
- [ ] Edge Startup Boost 설정 비활성화
- [ ] 브라우저 설정 초기화

---

## 11. 부록: 스크립트 분석

### 11.1 `check-edge-process.ps1` 분석

**파일 위치**: `C:\Users\user\check-edge-process.ps1`  
**설명**: Microsoft Edge Process Monitor & Controller Script (Upgraded)

**주요 파라미터**:
| 파라미터 | 설명 |
|:---------|:------|
| `-LogPath` | 로그 파일 경로 (기본: `edge_process_log.txt`) |
| `-IntervalMinutes` | 확인 간격 (분, 기본: 10) |
| `-RunOnce` | 1회 실행 후 종료 (예약 작업용) |
| `-StopEdge` | 모든 msedge.exe 프로세스 종료 |
| `-KillParent` | Edge를 실행한 부모 프로세스 강제 종료 |
| `-AutoMode` | 자동 모드: 감지 → 로깅 → Edge 종료 → 대기 → 부모 종료 |

**핵심 기능**:
1. Edge 프로세스 및 부모 프로세스 추적
2. `-AutoMode` 실행 시 자동으로 Edge 종료 후 부모 프로세스 강제 종료
3. 로그 파일 크기 5MB 제한, 최대 3개 백업 유지
4. 예외 처리 및 재시도 로직 내장

> 이 스크립트는 **정상적인 Edge 차단 도구로 위장**하여, 실제로는 악성코드가 사용하는 Edge를 보호하고 경쟁 프로그램/백신을 제거하는 역할을 합니다.

### 11.2 체크섬 정보 (획득 시)

| 파일 | SHA-256 |
|:----|:--------|
| `secureconnection.exe` | (분석 시 획득 필요) |
| `secureconnectionservice.exe` | (분석 시 획득 필요) |
| `WinDivert64.sys` | (분석 시 획득 필요) |

---

## 📋 보고서 요약

```
SecureConnection Malware - Forensic Report Summary
═══════════════════════════════════════════════════
위험도:          🔴 높음 (HIGH)
악성코드 유형:   애드웨어 + 네트워크 스니퍼
설치일:          2026-02-14
활동 기간:       약 3개월
실행 파일:       C:\ProgramData\secureconnection\secureconnection.exe
지속성:          서비스(Automatic) + 예약 작업 3개
네트워크 도구:   WinDivert (패킷 캡처/변조)
타겟 광고 URL:   searchforad.net
자기 방어:       check-edge-process.ps1 (EdgeProcessMonitor)
현재 상태:       secureconnection.exe (PID 10392) 실행 중
                 예약 작업 "secureconnections" 실행 중 (Running)
권장 조치:       즉시 제거 (섹션 10 참조)
```

---


*분석 시스템: WIN-PKLKVRRM9B3 | 원격 분석: master@192.168.0.10* DevOps Infradtructure

악성 코드 업자의 쓰레기 도메인 등록 사항

https://www.whois.com/whois/searchforad.net

Whois searchforad.net