최근 사용자 PC에 특정 광고 프로그램이 설치된 경우 인터넷 검색 과정에서 "신개념 광고 시스템"이라는 광고창이 생성되는 문제로 문의가 있었기에 해당 동작의 원인에 대해 확인해 보았습니다.
1. 검색 도우미 : Windows CloudController Manager (2012.1.13)
국내에서 제작된 검색 도우미 프로그램 중 배포시 클라우드팝(CloudPop)으로 소개되고 있는 "Windows CloudController Manager" 프로그램이 설치된 환경을 확인해 보았습니다.
해당 프로그램의 설치 파일(MD5 : 325d666953bc85c5bad14a61df8daa24)에 대하여 Hauri ViRobot 보안 제품에서는 Adware.CloudPop.1317256 (VirusTotal : 6/41) 진단명으로 진단되고 있으므로 참고하시기 바랍니다.
C:\Program Files\cloudpop
C:\Program Files\cloudpop\cloudpop.exe
- MD5 : 9caf13173b48ba71f20513b93d71734c
- Hauri ViRobot : Adware.Cloudpop.859016 (VirusTotal : 8/41)
C:\Program Files\cloudpop\uninstall.exe
- MD5 : 9abcc869260bb82fea880a62d842f4e9
- AhnLab V3 : Win-PUP/Helper.CloudPop.1073032 (VirusTotal : 3/42)
해당 프로그램은 "C:\Program Files\cloudpop" 폴더에 파일을 생성하며, cloudpop.exe 파일을 메모리에 상주시켜 인터넷 검색 과정에서 광고창을 생성하는 동작을 합니다.
프로그램의 동작 방식을 확인해보면 포털 사이트 검색을 시도할 경우 자동으로 프로그램에서 지정한 광고 사이트가 노출되거나, "신개념 광고 시스템" 광고창이 생성되는 동작을 확인할 수 있습니다.
해당 신개념 광고 시스템 광고창을 살펴보면 "ad.massinfo.co.kr/ad_app.php?pid=cloudpop" 도메인을 사용하고 있으며, 사용자 입장에서는 해당 광고창의 주소(URL)의 맨 뒷자리에 표시된 "pid=(광고 프로그램 이름)" 정보를 통해 어떤 광고 프로그램의 동작인지 짐작할 수 있습니다.
프로그램 삭제시에는 Windows 작업 관리자에서 cloudpop.exe 프로세스를 종료한 후, 제어판의 "Windows CloudController Manager" 삭제 항목을 이용하여 삭제할 수 있습니다.
특히 해당 광고 프로그램은 인터넷 검색 행위 자체에서 추가적인 광고창을 생성하므로 인터넷 이용시 매우 불편을 유발하고 있으므로 주의하시기 바랍니다.
2. 제휴(스폰서) 프로그램 : TopFind (2011.9.7)
또 다른 검색 도우미 탑파인드(TopFind)로 알려진 "Window Internet TopFind" 프로그램이 설치된 환경에서 인터넷 검색 과정에서 신개념 광고 시스템 광고창이 생성되는 동작을 확인할 수 있습니다.
C:\Program Files\TopFind
C:\Program Files\TopFind\TopFind.exe
C:\Program Files\TopFind\TopFindInfo.STR
C:\Program Files\TopFind\TopFindUninstall.exe
C:\Program Files\TopFind\TopFindUpdate.exe
C:\Program Files\TopFind\TopFind.exe
- MD5 : 9c69433a13f7ae40224f233372ab89a5
- AhnLab V3 : PUP/Win32.TopFind (VirusTotal : 2/42)
C:\Program Files\TopFind\TopFindUpdate.exe
- MD5 : c7fa9f971477b687ec09f2257282eaf2
- AhnLab V3 : PUP/Win32.TopFind (VirusTotal : 2/42)
해당 프로그램은 "C:\Program Files\TopFind" 폴더에 파일을 생성하며, TopFind.exe 파일을 메모리에 상주시켜 인터넷 검색 과정에서 광고창을 생성하도록 제작되어 있습니다.
실제 동작 과정을 살펴보면 포털 사이트에서 인터넷 검색을 통해 특정 검색 결과창을 오픈할 경우, 정상적으로 해당 웹 사이트가 생성되며 추가적으로 "신개념 광고 시스템" 광고창이 생성되는 경우를 확인할 수 있습니다.
해당 신개념 광고 시스템 광고창의 주소(URL)를 확인해보면 "ad.massinfo.co.kr/ad_app.php?pid=topfind"으로 지정되어 있으며, "pid=(광고 프로그램 이름)"을 통하여 대략적인 광고창 생성을 유발하는 광고 프로그램을 유추할 수 있습니다.
프로그램 삭제시에는 Windows 작업 관리자에서 TopFind.exe 프로세스를 찾아 수동으로 종료한 후, 제어판의 "Window Internet TopFind" 삭제 항목을 이용하여 삭제할 수 있습니다.
그 외에도 확인되지 않은 유사한 광고 프로그램을 통해 신개념 광고 시스템 광고창이 노출될 수 있으므로, 생성된 광고창의 URL 주소 정보를 통해 어떤 광고 프로그램인지 유추하여 프로그램을 찾아 삭제하시기 바랍니다.