시스템 시작시 바탕 화면에 광고 팝업창을 생성하거나 "정기 업데이트 안내" 창을 생성하여 다양한 제휴 프로그램 설치를 유도할 수 있는 "Internet Addplore Web" 악성 광고 프로그램<SHA-1 : 5802b880fbf34affbe5e7d7fafefc405cf7d7576 - AhnLab V3 365 Clinic : PUP/Win32.KorAd.C218040 (VT : 23/56)>에 대해 살펴보도록 하겠습니다.
특히 해당 광고 프로그램은 사용자에 의한 프로그램 삭제를 방해할 목적으로 제어판의 설치 프로그램 목록에 등록하지 않는 방식으로 설치가 이루어지고 있습니다.
C:\Users\(사용자 계정)\AppData\Roaming\addplore
C:\Users\(사용자 계정)\AppData\Roaming\addplore\addplore.exe :: 시작 프로그램 등록 파일
C:\Users\(사용자 계정)\AppData\Roaming\addplore\addplorecnt.exe
C:\Users\(사용자 계정)\AppData\Roaming\addplore\uninst.exe :: 프로그램 삭제 파일
C:\Windows\addplore.ini
C:\Users\(사용자 계정)\AppData\Roaming\addplore\addplore.exe
- SHA-1 : f2edb4d281bf9dd944cbec81d036d2cb967652fe
- Avira : Adware/Strictor.461416 (VT : 20/56)
C:\Users\(사용자 계정)\AppData\Roaming\addplore\addplorecnt.exe
- SHA-1 : ffee69ddeda4e607e4b4a123cd7847ac99ed0311
- AVG : Generic.463 (VT : 2/55)
에스케이소프트뱅크 디지털 서명이 포함된 "Internet Addplore Web" 프로그램은 숨김(H) 속성값을 가진 폴더 내의 "C:\Users\(사용자 계정)\AppData\Roaming\addplore" 폴더에 파일을 생성합니다.
Windows 시작시 "C:\Users\(사용자 계정)\AppData\Roaming\addplore\addplore.exe" 파일을 시작 프로그램으로 등록하여 자동 실행되며 다음과 같은 동작을 수행할 수 있습니다.
특정 서버에 등록된 정보를 체크하여 바탕 화면 중간에 광고 팝업창을 생성할 수 있으며, 기존 유사 변종을 참조해보면 구글 애드센스(Google AdSense) 광고일 가능성이 높습니다.
또한 "정기 업데이트 안내" 창을 생성하여 사용자의 부주의를 유발하여 다양한 제휴 프로그램 설치를 진행할 수 있으므로 주의하시기 바랍니다.
■ "Internet Addplore Web" 프로그램 삭제 방법
해당 광고 프로그램은 사용자가 제어판을 통한 프로그램 삭제를 방해할 목적으로 제어판에 등록하지 않습니다.
그러므로 "C:\Users\(사용자 계정)\AppData\Roaming\addplore\uninst.exe" 파일을 찾아 직접 실행하시면 프로그램 삭제를 진행할 수 있습니다.
참고로 프로그램 삭제시 "C:\Users\(사용자 계정)\AppData\Roaming\addplore\addplorecnt.exe" 파일 실행을 통해 사용자 Mac Address 값을 기반으로 한 삭제 카운터(Counter) 정보를 전송합니다.
HKEY_CURRENT_USER\Software\addplore
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\addplore.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- Addplore = C:\Users\(사용자 계정)\AppData\Roaming\addplore\addplore.exe
"Internet Addplore Web" 광고 프로그램은 제어판에 표시되지 않는 문제로 설치 여부를 인지하기 매우 어려우며, 특정 부팅 시점에서 업데이트 창 생성을 통해 또 다른 광고 프로그램 설치를 유도하므로 설치되지 않도록 주의하시기 바랍니다.
☞ <2012년 관련 정보> 국내 악성코드 : ezpopup code wepbob x86 (2012.12.21) 외 다수
☞ <2013년 관련 정보> 검색 도우미 : SK Abouttabs v11 (2013.11.14) 외 12종
☞ 검색 도우미 : Internet Explustabs v1.1 (2014.1.29)
☞ 제휴 프로그램 : Windows popandpop 1.1 (2014.3.13)
☞ "dualpage.co.kr" 홈 페이지를 추가하는 "Internet Dualpage KB25031400" 프로그램 주의 (2014.4.4)
☞ "widetabs.com" 홈 페이지를 고정하는 "Songple SK06132014" 프로그램 주의 (2014.6.28)
☞ 송플(Songple) 음악 플레이어를 이용한 "Songple Tabs" 광고 기능 주의 (2014.6.29)
☞ 사용자 몰래 "Windows Total SyncKit v.1.0" 광고 프로그램을 설치하는 Popupgate 주의 (2014.9.1)