바탕 화면에 구글 애드센스(Google AdSense) 광고 팝업창을 생성하며, Windows 탐색기 실행시 추가적인 광고창을 자동으로 생성하는 국내에서 제작된 "Internet webbora web" 광고 프로그램<SHA-1 : f9fefaaa1d95b0dc7d6e6d5d81029cbc99d5fb91 - AhnLab V3 365 Clinic : PUP/Win32.Mopop.R96219 (VT : 30/54)>에 대해 살펴보도록 하겠습니다.
해당 프로그램은 기존의 "Micro OpenPop" 검색 도우미와 유사점이 있으므로 참고하시기 바랍니다.
C:\Users\(사용자 계정)\AppData\Roaming\webbora
C:\Users\(사용자 계정)\AppData\Roaming\webbora\srvwebbora.exe :: 서비스(srvwebwg) 등록 파일
C:\Users\(사용자 계정)\AppData\Roaming\webbora\uninst.exe :: 프로그램 삭제 파일
C:\Users\(사용자 계정)\AppData\Roaming\webbora\webbora.exe :: 메모리 상주 프로세스
C:\Users\(사용자 계정)\AppData\Roaming\webbora\webboraset.exe
C:\Users\(사용자 계정)\AppData\Roaming\webbora\srvwebbora.exe
- SHA-1 : 33ed59f7e616199d71541369daa95e10740ad5ec
- AhnLab V3 365 Clinic : PUP/Win32.Mopop.R103683 (VT : 11/55)
C:\Users\(사용자 계정)\AppData\Roaming\webbora\webbora.exe
- SHA-1 : c2b34ac4423ce7cf5bcb28cc7860a1f490c1cb61
- BitDefender : Trojan.GenericKD.1969305 (VT : 17/55)
C:\Users\(사용자 계정)\AppData\Roaming\webbora\webboraset.exe
- SHA-1 : 47c73e56b93d7dc3cecfcc7a28c4c8ab3cc9e059
- AVG : Generic5.CJZU (VT : 14/55)
"Internet webbora web" 광고 프로그램은 숨김(H) 속성값을 가진 폴더 내의 "C:\Users\(사용자 계정)\AppData\Roaming\webbora" 폴더 내에 파일을 생성합니다.
"srvwebwg (표시 이름 : WebWG Service)" 서비스 항목을 등록하여 시스템 시작시 "C:\Users\(사용자 계정)\AppData\Roaming\webbora\srvwebbora.exe" 파일을 자동 실행하도록 구성되어 있습니다.
자동 실행된 서비스 파일(srvwebbora.exe)은 광고 기능을 수행하는 ["C:\Users\(사용자 계정)\AppData\Roaming\webbora\webbora.exe" /s] 명령을 통해 로딩하여 메모리에 상주시켜 다음과 같은 동작을 수행할 수 있습니다.
특정 업데이트 서버에 등록된 "Internet webbora web" 프로그램 생성 파일 버전을 체크하여 추가적인 업데이트를 진행할 수 있습니다.
광고 구성값 체크를 통해 등록된 URL 주소값을 기반으로 백그라운드 방식으로 연결하여 수익 활동을 진행할 수 있습니다.
이 과정에서 바탕 화면에 구글 애드센스(Google AdSense) 광고 팝업창을 생성하여 사용자로 하여금 클릭을 유발하도록 할 수 있습니다.
프로그램이 설치된 환경에서 사용자가 Windows 탐색기, 제어판을 실행할 경우 실행되는 explorer.exe 프로세스를 감시하여 자동으로 다양한 광고창을 생성할 수 있습니다.
하지만 Windows 7 운영 체제 테스트 환경에서는 최초 프로그램 설치 후 20분 정도만 관련 광고 동작을 수행한 후 재부팅 이후부터는 정상적으로 실행되지 않는 문제로 광고 동작은 이루어지지 않습니다.
■ "Internet webbora web" 광고 프로그램 삭제 방법
광고 동작 중지 및 프로그램 삭제를 위해서는 Windows 작업 관리자를 실행하여 메모리에 상주하는 webbora.exe 프로세스가 존재할 경우 종료하시기 바랍니다.
제어판 또는 광고 프로그램을 쉽게 찾을 수 있는 체크잇(CheckIt) 프로그램에 등록된 "Internet webbora web" 삭제 항목을 찾아 "프로그램 제거"를 진행하시기 바랍니다.
참고로 체크잇(CheckIt) 프로그램에서는 "Internet webbora web" 광고 프로그램에 대하여 PC 사용을 불편하게하는 프로그램으로 정보를 제공해주고 있습니다.
HKEY_CURRENT_USER\Software\Boraweb
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\webbora.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Web Bora
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\srvwebwg
"Internet webbora web" 광고 프로그램이 설치된 환경에서는 Windows 탐색기를 실행하는 동작만으로도 원치않는 광고창이 생성되어 매우 불편을 유발하고 있으므로 설치되지 않도록 주의하시기 바랍니다.