특정 검색 키워드 값을 이용한 인터넷 검색시 자동으로 광고창을 생성하는 국내에서 제작된 WidePop 광고 프로그램<SHA-1 : 0dd75cfeaab51bc465c72aa927eac05dc36d931c - AhnLab V3 : Trojan/Win32.BHO.C627363 (VT : 21/57)>에 대해 살펴보도록 하겠습니다.
C:\Users\(사용자 계정)\AppData\Roaming\WidePop
C:\Users\(사용자 계정)\AppData\Roaming\WidePop\Uninstall.exe :: 프로그램 삭제 파일
C:\Users\(사용자 계정)\AppData\Roaming\WidePop\widepop.exe :: 시작 프로그램(WIDEPOP) 등록 파일, 메모리 상주 프로세스
C:\Users\(사용자 계정)\AppData\Roaming\WidePop\widepop.exe
- SHA-1 : c3794d63cbd86a7a0d2fc46f916ed45f35fad2dd
- AhnLab V3 365 Clinic : PUP/Win32.Kraddare.C627341 (VT : 19/56)
INSAFE 디지털 서명이 포함된 해당 프로그램은 숨김(H) 속성값을 가진 폴더 내의 "C:\Users\(사용자 계정)\AppData\Roaming\WidePop" 폴더에 파일을 생성하며, Windows 시작시 "C:\Users\(사용자 계정)\AppData\Roaming\WidePop\widepop.exe" 파일을 시작 프로그램(WIDEPOP)으로 등록하여 자동 실행되어 메모리에 상주합니다.
WidePop 광고 프로그램이 설치된 환경에서 사용자가 입력하는 검색 키워드, 접속 URL 주소값을 특정 광고 서버에 전송하여 매칭 여부를 체크합니다.
이를 통해 특정 검색 키워드 값으로 인터넷 검색을 시도할 경우 전체 화면 크기의 광고창을 자동으로 생성할 수 있습니다.
이 과정에서 사용자가 입력한 검색 키워드 값을 광고 서버에 전송하여 매칭되는 광고 코드를 수신하여 광고창이 생성되는 것을 확인할 수 있습니다.
■ WidePop 광고 프로그램 삭제 방법
(a) Windows 작업 관리자를 실행하여 메모리에 상주하는 widepop.exe 프로세스를 종료하시기 바랍니다.
(b) 제어판 또는 체크잇(CheckIt : www.checkitinfo.com) 프로그램에 등록된 WidePop 삭제 항목을 이용하여 프로그램 삭제를 진행하시기 바랍니다.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- WIDEPOP = "C:\Users\(사용자 계정)\AppData\Roaming\WidePop\widepop.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\WidePop
HKEY_CURRENT_USER\Software\WidePop
WidePop 광고 프로그램은 2014년 또는 그 이전부터 배포가 이루어졌으며, 인터넷 검색 동작을 모니터링하여 사용자에게 불편을 유발하는 광고창을 생성할 수 있으므로 설치되지 않도록 주의하시기 바랍니다.