검색 도우미 : PV Searching Decoder 1.0

▶ 원본 작성 : 2011년 7월 25일
▶ 1차 수정 : 2011년 11월 11일 - 삭제 항목 변경

국내에서 제작되어 인터넷 검색시 광고창 및 웹 브라우저 좌측 사이드바 광고가 생성되는 검색 도우미 PV Searching Decoder 1.0 또는 PrimeView 1.00 프로그램에 대해 살펴보도록 하겠습니다.

 

• 검색 도우미 : Core PremiumAd Management Components 1.00 (2011.4.1)

• 국내 악성코드 : ADPrime Components 1.00 (2011.6.1)

해당 프로그램은 기존에 유사성이 강한 변종 프로그램이 존재하였으므로 참고하시기 바랍니다.

 

[생성 폴더 / 파일 등록 정보]

C:\Program Files\PrimeView
C:\Program Files\PrimeView\iadnet.ico
C:\Program Files\PrimeView\PrimeView.dll :: BHO 등록 파일
C:\Program Files\PrimeView\Uninstall.exe :: 프로그램 삭제 파일
C:\Program Files\PrimeView\Uninstall.ini

 

해당 프로그램은 [C:\Program Files\PrimeView] 폴더에 파일을 생성하며, 사용자가 Internet Explorer 웹 브라우저를 실행할 경우 동작하도록 구성되어 있습니다.

 

사용자가 특정 검색어를 통해 인터넷 검색을 시도할 경우 톰파일(TomFile)과 같은 광고창이 생성되는 것을 확인할 수 있습니다.

 

세부적인 접속 로그를 살펴보면 사용자가 인터넷 검색을 시도할 경우, 프로그램 서버에서 키워드 매치 여부를 체크하여 맞는 경우 특정 아이디를 포함한 광고창이 생성되는 것을 확인할 수 있습니다.

 

또한 추가적으로 웹 브라우저 좌측 사이드바 형태의 광고가 함께 생성되는 동작을 확인할 수 있습니다.

[추가 기능 관리 : 도구 모음 및 확장 프로그램]

PremiumAdBHO Class
 - 게시자 : 애드앤피플
 - CLSID : {45EBB48A-FC24-4766-962A-E28FE4B396C3}
 - 파일 : C:\Program Files\PrimeView\PrimeView.dll

 

해당 광고 행위를 중지하기 위해서는 Internet Explorer 웹 브라우저의 추가 기능 관리에 등록된 PremiumAdBHO Class 항목을 선택하여 [사용 안 함]으로 변경하시기 바랍니다.

 

프로세스 정보를 살펴보면 사용자가 Internet Explorer 웹 브라우저를 실행할 경우 iexplore.exe 프로세스에 PrimeView.dll 파일을 BHO 방식으로 추가하여 키워드 감시를 통한 광고창을 생성하는 것을 확인할 수 있습니다.

 

 

프로그램 삭제시에는 Internet Explorer 웹 브라우저를 종료한 상태에서 제어판의 [PV Searching Decoder 1.0] 또는 [PrimeView 1.00] 삭제 항목을 이용하여 삭제하실 수 있습니다.

 

[생성 레지스트리 등록 정보]

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings
 - SyncMode5 = 3
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{03E073D1-368F-43DA-B227-EF049D47DC0F}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{45EBB48A-FC24-4766-962A-E28FE4B396C3}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{63003545-C783-4399-A292-BC69F52EEDD9}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{03E073D1-368F-43DA-B227-EF049D47DC0F}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{4924BAFB-3869-4C6B-A401-CCF3964A85E1}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\{CA431E35-A5FA-4F7B-BB28-0F62DE3DE76}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{45EBB48A-FC24-4766-962A-E28FE4B396C3}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{45EBB48A-FC24-4766-962A-E28FE4B396C3}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
PrimeView 1.00
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\PV Searching Decoder 1.0

 

해당 프로그램은 프로그램 목록에 제시되지 않는 문제로 설치 여부를 확인하기 어려우며, 프로그램 설치 폴더와 삭제 항목의 이름이 다르게 구성되어 쉽게 찾기 어려운 문제가 있습니다.

그러므로 인터넷을 이용하는 과정에서 원치 않는 광고창이 생성되시는 분들은 참고하시기 바랍니다.