특정 검색 키워드로 인터넷 검색시 시스템 트레이 알림 아이콘 상단에 "powered by NEWSPOT" 광고 팝업창을 생성하는 검색 도우미 "NEWSPOT eranzi (Remove only)" 프로그램에 대해 살펴보도록 하겠습니다.
해당 프로그램은 변종에 따라 "NEWSPOT auraj (Remove only)" 또는 "NEWSPOT garconne (Remove only)" 등과 다양한 이름으로 등록될 수 있는 것으로 확인되고 있습니다.
확인된 배포 방식은 사용자가 쇼핑몰 등과 같은 웹 사이트 접속시 제공되는 ActiveX 설치 방식을 통해 이루어지고 있으며, 이를 통해 "AllShow Co.,Ltd." 디지털 서명이 포함된 설치 파일(SHA-1 : 7a65100996c0404d869041540d42e5b9f1232c74)을 다운로드 및 실행하여 설치가 진행됩니다.
설치가 진행되면 특정 서버로부터 추가적인 설치 파일(SHA-1 : 2842fe1f456b84a1562c9eb50ce32382c340600a)을 다운로드하여 "C:\Users\(사용자 계정)\AppData\Roaming\NEWSPOT.AX\eranzi_NEWSPOT.exe" 파일로 생성 및 실행됩니다.
ActiveX 설치 과정에서는 NEWSPOT 이용약관을 표시하여 진행이 이루어지므로 사용자가 조금만 현명하다면 위와 같은 프로그램은 설치되지 않을 것으로 판단됩니다.
C:\Users\(사용자 계정)\AppData\Roaming\NEWSPOT.AX
C:\Users\(사용자 계정)\AppData\Roaming\NEWSPOT.AX\eranzi_NEWSPOT.exe
C:\Users\(사용자 계정)\AppData\Roaming\NEWSPOT
C:\Users\(사용자 계정)\AppData\Roaming\NEWSPOT\NEWSPOT.exe :: 시작 프로그램 등록 파일, 메모리 상주 프로세스
C:\Users\(사용자 계정)\AppData\Roaming\NEWSPOT\NEWSPOTAX.dll
C:\Users\(사용자 계정)\AppData\Roaming\NEWSPOT\uninstall.exe :: 프로그램 삭제 파일
C:\Users\(사용자 계정)\AppData\Roaming\SQUARE.db
해당 프로그램은 "C:\Users\(사용자 계정)\AppData\Roaming\NEWSPOT" 폴더에 파일을 생성하며, Windows 시작시 "C:\Users\(사용자 계정)\AppData\Roaming\NEWSPOT\NEWSPOT.exe" 파일(SHA-1 : 10f7e08e6a11200eb14ecadd6aa7a0fdff1aa6e2)을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.
프로그램이 설치된 환경에서 사용자가 인터넷 검색을 통해 특정 검색 키워드 값으로 검색을 시도할 경우 시스템 트레이 알림 아이콘 상단에 "powered by NEWSPOT" 광고 팝업창이 주기적으로 생성되는 동작을 확인할 수 있습니다.
일반적으로 ActiveX 설치 방식을 통해 설치되는 프로그램은 해당 ActiveX 배포 웹 사이트에서만 유효하다면, NEWSPOT 검색 도우미 시리즈는 인터넷 검색시 ActiveX 배포 사이트 홍보 목적으로 포털 사이트의 인터넷 검색 키워드 값을 모티터링 하는 것으로 판단됩니다.
해당 광고 동작은 메모리에 상주하는 NEWSPOT.exe 프로세스를 통해 구현되므로, 광고 동작 중지 및 프로그램 삭제시에는 Windows 작업 관리자를 실행하여 NEWSPOT.exe 프로세스를 찾아 종료하시기 바랍니다.
프로그램 삭제는 제어판에 등록된 "NEWSPOT eranzi (Remove only)" 삭제 항목을 이용하여 삭제할 수 있으며, 프로그램 삭제 후에는 추가적으로 다음의 폴더(파일)를 찾아 삭제하시기 바랍니다.
- C:\Users\(사용자 계정)\AppData\Roaming\NEWSPOT.AX
- C:\Users\(사용자 계정)\AppData\Roaming\NEWSPOT.AX\eranzi_NEWSPOT.exe
- C:\Users\(사용자 계정)\AppData\Roaming\SQUARE.db
또한 시작 프로그램으로 등록된 "NEWSPOT" 값을 삭제하지 않으므로 레지스트리 편집기(regedit)를 실행하여 다음의 레지스트리 값을 찾아 삭제하시기 바랍니다.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- NEWSPOT = "C:\Users\(사용자 계정)\AppData\Roaming\NEWSPOT\NEWSPOT.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- NEWSPOT = "C:\Users\(사용자 계정)\AppData\Roaming\NEWSPOT\NEWSPOT.exe"
HKEY_CURRENT_USER\Software\NEWSPOT
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\{A87A1DF8-DF39-46D0-A926-851E90E27508}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\NEWSPOTAX.DLL
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{760762F5-319C-4F99-839B-CF7CCBE6E1C9}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{C823AF68-C036-4B80-A519-5D4B53AD436E}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\NEWSPOTAX.NEWSPOTInstall
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\NEWSPOTAX.NEWSPOTInstall.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{D2E07289-1A60-41F4-AB81-5FBFB30D6915}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
NEWSPOT
HKEY_LOCAL_MACHINE\SOFTWARE\NEWSPOT
NEWSPOT 검색 도우미 프로그램은 배포 웹 사이트의 이름에 따라 다양한 이름으로 설치가 이루어지고 있으며, 프로그램 설치로 인하여 인터넷 검색시 원치않는 팝업창이 생성될 수 있으므로 주의하시기 바랍니다.