본문 바로가기

벌새::Analysis

"터보백신 2001 v1.82" 프로그램을 이용한 광고창 생성 주의 (2014.1.14)

반응형

최근 다운로드 창을 통해 다수의 제휴 프로그램이 배포되는 방식 중에서 "검색-타임애드"라는 항목을 통해 광고창 생성을 목적으로 (주)에브리존(EveryZone)에서 제공하는 무료 백신 "터보백신 2001 v1.82" 프로그램을 설치하는 독특한 사례가 확인되어 살펴보도록 하겠습니다.

예를 들어 블로그, 파일 자료실 등에서 다운로드된 BlueStacks 설치 파일<SHA-1 : 6128c655c903ca74dd18ba8663970f9458e4a5c3) - AhnLab V3 : PUP/Win32.MulDown (VT : 27/48)>로 위장한 파일을 실행하면 "무료 다운로드" 창이 생성되면서 우측 하단의 좁은 영역에 10여종의 제휴 프로그램을 통해 다양한 불필요한 프로그램(PUP) 등을 설치할 수 있습니다.

 

그 중에서 "검색-타임애드"라는 항목이 포함되어 있으며, 이용약관에서는 실제로 설치되는 "터보백신 2001 v1.82"에 대한 내용은 확인되지 않고 있습니다.

"검색-타임애드" 설치가 진행될 경우 에브리존(EveryZone) 서버가 아닌 특정 광고 서버로부터 디지털 서명이 포함되어 있지 않은 "터보백신 2001 v1.82" 설치 파일(SHA-1 : 23c95804c12941d5221bdd0d35448754fc344f18)을 다운로드하여 "C:\Users\(사용자 계정)\AppData\Local\Temp\TvwSetup_191.exe" 파일로 생성 및 실행이 이루어지도록 되어 있습니다.

하지만 에브리존(EveryZone) 공식 사이트에서 제공하는 "터보백신 2001 v1.82" 설치 파일에는 "Everyzone Inc." 디지털 서명이 포함되어 있는 차이가 존재합니다.

다운로드되어 실행된 파일은 "터보백신 2001 v1.82" 설치 화면을 제시하여 사용자의 동의 과정을 확실하게 얻은 후 설치가 이루어지고 있으며, 이용약관의 중간 부분에서는 프로그램 설치로 인하여 광고 기능이 포함될 수 있다는 부분이 명시되어 있습니다.

 

하지만 실제 에브리존(EveryZone) 홈 페이지에서 제공하는 "터보백신 2001 v1.82" 설치 파일을 이용하여 설치를 해보면 광고 기능은 빠져 있으며, 위와 같은 변칙적인 배포 경로를 통해 유포되는 경우에는 광고 기능이 포함되어 있습니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Program Files\Tvw
C:\Program Files\Tvw\_RESTORE
C:\Program Files\Tvw\Ad
C:\Program Files\Tvw\Ad\TvAd01.htm
C:\Program Files\Tvw\Ad\TvAd02.htm
C:\Program Files\Tvw\anyBoad.dll
C:\Program Files\Tvw\License.txt
C:\Program Files\Tvw\MFC42.DLL
C:\Program Files\Tvw\MFC42LOC.DLL
C:\Program Files\Tvw\PSAPI.DLL
C:\Program Files\Tvw\Std.dat
C:\Program Files\Tvw\Tv.cfg
C:\Program Files\Tvw\Tv.cnt
C:\Program Files\Tvw\Tv.GID
C:\Program Files\Tvw\Tv.hlp
C:\Program Files\Tvw\Tv2001RegDel.exe
C:\Program Files\Tvw\TvClFile.dll
C:\Program Files\Tvw\TvCtrl.dll
C:\Program Files\Tvw\TvOnce.exe
C:\Program Files\Tvw\TvRest.exe
C:\Program Files\Tvw\TvScan.exe
C:\Program Files\Tvw\TvScFile.dll
C:\Program Files\Tvw\TvScMem.exe
C:\Program Files\Tvw\TvScProc.dll
C:\Program Files\Tvw\TvScProc.exe
C:\Program Files\Tvw\TvScReg.com
C:\Program Files\Tvw\TvSyScan.exe
C:\Program Files\Tvw\Tvw.exe :: 터보백신 2001 프로그램 실행 파일
C:\Program Files\Tvw\TvwMgr.exe :: 시작 프로그램 등록 파일, 메모리 상주 프로세스
C:\Program Files\Tvw\uninst.exe :: 프로그램 삭제 파일
C:\Program Files\Tvw\Vdb
C:\Users\(사용자 계정)\AppData\Local\Temp\TvwSetup_191.exe

해당 프로그램은 "C:\Program Files\Tvw" 폴더에 파일을 생성하며, Windows 시작시 "C:\Program Files\Tvw\TvwMgr.exe" 파일(SHA-1 : dfe9a4754538647f53f7ce9999013da081aeedd7)을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.

 

■ 에브리존(EveryZone) 홈 페이지용 "터보백신 2001 v1.82" 버전과의 차이점

 

에브리존(EveryZone) 홈 페이지에서 제공하는 "터보백신 2001 v1.82" 버전을 설치할 경우 파일 구성 중에서는 광고 기능을 수행하는 "C:\Program Files\Tvw\anyBoad.dll" 파일이 빠져 있습니다.

또한 프로그램 설치를 통해 프로그램 목록, 바탕 화면 바로가기 아이콘, 시스템 트레이 알림 아이콘 영역에 "터보백신 2001"이 등록되어 사용자는 프로그램 설치 여부 및 실행을 편하게 할 수 있습니다.

 

그에 반하여 제휴 프로그램을 통해 유포되고 있는 "터보백신 2001 v1.82" 버전의 경우에는 프로그램 설치가 이루어진 환경에서 프로그램 목록, 바탕 화면 바로가기 아이콘, 시스템 트레이 알림 아이콘이 전혀 등록되지 않는 문제로 사용자는 최초 설치시 외에는 "터보백신 2001" 프로그램의 실행을 할 수 없습니다.

특히 프로그램 실행을 위해 사용자가 "C:\Program Files\Tvw\Tvw.exe" 파일을 찾아 직접 실행한 경우에 "터보백신 2001" 프로그램이 실행되지만, 배포되는 버전은 구버전으로 인해 에브리존(EveryZone) 홈 페이지에서 신버전을 다운로드하도록만 안내하고 기능만 수행합니다.

 

즉, 제휴 프로그램으로 배포되는 "터보백신 2001 v1.82" 무료 백신은 백신의 기능을 제공할 목적이라기 보다는 동의 과정만 정상적으로 거쳐서 설치된 후에는 사용자의 터보백신 사용 여부에는 관심없이 다음과 같은 광고 기능에 충실하게 됩니다.

 

■ 제휴 프로그램으로 배포된 "터보백신 2001 v1.82" 버전의 기능

Windows 시작시 시작 프로그램으로 등록되어 자동 실행된 "C:\Program Files\Tvw\TvwMgr.exe" 파일은 터보백신 2001 버전의 엔진 날짜 체크(※ 에브리존(EveryZone) 홈 페이지용과 동일)와 함께 부가적인 시스템 트레이 알림 아이콘 표시가 이루어지지 않도록 설정하며 오픈팟(OpenPot) 광고 서버로부터 광고 구성값 정보를 체크합니다.

이를 통해 메모리에 상주하는 "C:\Program Files\Tvw\TvwMgr.exe" 파일은 "C:\Program Files\Tvw\anyBoad.dll" 파일과 결합하여 사용자가 인터넷 검색을 통해 웹 사이트에 접속하는 과정에서 오픈팟(OpenPot) 광고 서버에서 제공하는 광고창을 자동을 생성할 수 있습니다.

 

위와 같은 광고 생성 동작은 일반적으로 사용자 입장에서는 터보백신과 같은 믿을 수 있다고 판단되는 무료 백신을 통해 이루어지는지 인지하기 매우 어렵다는 점으로 인해 지속적인 불편을 유발할 수 있습니다.

프로그램 삭제를 위해서는 Windows 작업 관리자를 실행하여 메모리에 상주하는 TvwMgr.exe 프로세스를 찾아 종료한 후, 제어판에 등록된 "터보백신 2001 v1.82" 삭제 항목을 이용하여 삭제할 수 있습니다.

 

또한 프로그램 삭제 후에는 추가적으로 "C:\Program Files\Tvw" 폴더를 찾아 삭제해 주시기 바라며, 레지스트리 편집기(regedit)를 실행하여 추가적으로 다음의 레지스트리 값을 삭제하시기 바랍니다.

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - TvwMgr = "C:\Program Files\Tvw\TvwMgr.exe"

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - TvwMgr = "C:\Program Files\Tvw\TvwMgr.exe"

제어판을 통해 "터보백신 2001 v1.82" 버전을 삭제한 후 자동으로 오픈되는 터보백신 웹 페이지를 보면 "무료백신에서 보던, 광고창으로 인한 스트레스와 피곤함을 잊게 해 드릴겁니다."라는 문구가 실감나게 느껴지는 것 같습니다.

728x90
반응형