웹 브라우저 초기 실행 및 새 탭을 오픈하는 과정에서 사용자가 지정하지 않은 특정 광고 사이트로 자동 연결되는 검색 도우미 RealPlus 프로그램에 대해 살펴보도록 하겠습니다.
해당 프로그램의 설치 파일(MD5 : fb0bc5b401f1f159e84f3ed926dad26c)에 대하여 AhnLab V3 보안 제품에서는 PUP/Win32.ClickMonster (VirusTotal : 5/44) 진단명으로 진단되고 있습니다.
▷ 검색 도우미 : ClickMonster (2012.8.20)
또한 RealPlus 프로그램은 기존의 동일한 기능을 제공하는 ClickMonster 검색 도우미 프로그램의 변종이므로 참고하시기 바랍니다.
▷ 개인 사용자 PC는 광고 프로그램의 돈줄인가? (2012.3.10)
해당 프로그램은 설치시 PC방 관리 프로그램 프로세스 여부를 체크하여, 지정된 프로세스가 존재할 경우 프로그램이 설치되지 않도록 제작되어 있습니다.
[생성 폴더 / 파일 등록 정보]
C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\date_realplus.ini
C:\Program Files\realplus
C:\Program Files\realplus\realplus.exe :: 메모리 상주 프로세스
C:\Program Files\realplus\rpupdate.exe :: 시작 프로그램 등록 파일
C:\Program Files\realplus\uninstall.exe :: 프로그램 삭제 파일
프로그램은 Windows 시작시 rpupdate.exe 파일을 시작 프로그램으로 등록하여 자동 실행되며, 실행된 파일은 프로그램 버전 체크 및 realplus.exe 파일을 실행하여 광고 구성값을 확인하도록 구성되어 있습니다.
광고 구성값 중 사용자가 Internet Explorer 웹 브라우저를 실행할 때와 새 탭을 오픈할 경우 5개의 지정된 광고 페이지가 로테이션 방식으로 자동 연결되도록 구성되어 있습니다.
실제 웹 브라우저를 실행하면 그림과 같은 광고창이 웹 브라우저 실행시마다 사용자가 지정한 홈 페이지(시작 페이지)가 아닌 프로그램에서 지정한 광고 페이지로 연결되는 것을 확인할 수 있습니다.
이 과정에서 연결되는 URL 정보를 확인해보면 realplus.exe 프로세스가 ClickMonster 광고 서버에서 지정된 광고 사이트 정보를 받아와 연결하는 것을 확인할 수 있습니다.
그 외에도 인터넷 검색시, 검색 결과 오픈시, 웹 브라우저 창 종료시 다양한 인터넷 쇼핑몰 광고창이 노출되는 동작을 확인할 수 있습니다.
해당 광고 동작은 메모리에 상주하는 realplus.exe 프로세스를 통해 이루어지므로, 광고 동작 중지 및 프로그램 삭제시에는 Windows 작업 관리자를 실행하여 해당 프로세스를 찾아 수동으로 종료하시기 바랍니다.
프로그램 삭제는 제어판의 "realplus" 삭제 항목을 이용하여 삭제할 수 있습니다.
[생성 레지스트리 등록 정보]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- realplus = C:\Program Files\realplus\rpupdate.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\realplus
HKEY_LOCAL_MACHINE\SOFTWARE\realplus
해당 프로그램은 웹 브라우저 실행시 사용자가 지정한 홈 페이지(시작 페이지)가 아닌 원치 않는 광고 사이트로 자동 연결되며, 인터넷 검색시 1개 IP당 1,000번의 광고가 노출되도록 구성된 것으로 보이므로 주의하시기 바랍니다.