Windows 시작시 광고 팝업창 생성 및 "정기 업데이트 안내" 창을 생성하여 추가적인 제휴 프로그램 설치를 유도하는 국내에서 제작된 "Interplex Service" 프로그램에 대해 살펴보도록 하겠습니다.
- SHA-1 : 9af53408c8910a78e007ed724eab37f580afc24f - AhnLab V3 365 Clinic : PUP/Win32.KorAd.C681215 (VT : 1/57)
- SHA-1 : 16751a3c20e7813e5af4429a678d945902b756f1 - Hauri ViRobot : Adware.Agent.132800[h] (VT : 5/57)
- SHA-1 : 176b1cb00b88c61da7db84077139a6406eb60563 - Hauri ViRobot : Adware.Agent.132800.A[h] (VT : 3/57)
대표적인 배포 방식은 통합 코덱 프로그램의 업데이트 기능을 통해 확인되고 있으며, 2014년 12월경부터 3종의 배포 파일을 이용하여 유포가 이루어졌던 것으로 보입니다.
C:\Users\(사용자 계정)\AppData\Roaming\interplex
C:\Users\(사용자 계정)\AppData\Roaming\interplex\InterPlex.exe :: 시작 프로그램(interplex) 등록 파일, 예약 작업(interplex) 등록 파일
C:\Users\(사용자 계정)\AppData\Roaming\interplex\uninst.exe :: 프로그램 삭제 파일
C:\Windows\interplex.ini
C:\Windows\System32\Tasks\interplex
C:\Users\(사용자 계정)\AppData\Roaming\interplex\InterPlex.exe
- SHA-1 : 3aaf6e3e10e5025b3846e75be5a76801ea879173
- AhnLab V3 365 Clinic : PUP/Win32.KorAd.C681437 (VT : 1/55)
모바일로드 디지털 서명이 포함된 "Interplex Service" 프로그램은 숨김(H) 속성값을 가진 폴더 내의 "C:\Users\(사용자 계정)\AppData\Roaming\interplex" 폴더에 파일을 생성합니다.
예약 작업 영역에 interplex 작업 스케줄러 값을 등록하여 시스템 시작시 "C:\Users\(사용자 계정)\AppData\Roaming\interplex\InterPlex.exe" 파일을 자동 실행하거나, 해당 파일을 시작 프로그램(interplex) 영역에 등록하여 자동 실행되도록 2중 구성되어 있습니다.
자동 실행된 InterPlex.exe 파일은 특정 서버에서 광고 구성값 및 업데이트 정보를 체크하여 시스템 트레이 알림 아이콘 상단에 2종의 광고 팝업 광고창을 생성할 수 있을 것으로 추정됩니다.
또한 "정기 업데이트 안내" 창을 생성하여 추가적인 광고 프로그램(SHA-1 : ff9467a28e3512205b0a022d333c9b2e58cf365f) 설치를 유도하고 있으며, 특히 종료 버튼이 우측 상단에 위치하여 종료를 방해하고 있습니다.
특히 종료(X) 버튼을 클릭할 경우 추가적인 메시지 창을 생성하여 "확인 (O)" 버튼을 클릭하도록 유도하고 있으므로 주의하시기 바랍니다.
■ "Interplex Service" 광고 프로그램 삭제 방법
프로그램 삭제는 제어판 또는 체크잇(CheckIt : www.checkitinfo.com) 프로그램에 등록된 "Interplex Service" 삭제 항목을 이용하여 제거할 수 있습니다.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\interplex.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- interplex = C:\Users\HOME2015\AppData\Roaming\interplex\interplex.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Interplex Service
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{81E4AA39-454B-4DC8-880E-A52523D1A5EB}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\interplex
"Interplex Service" 광고 프로그램은 광고 기능 이외에 시스템 시작시 불규칙적으로 생성될 수 있는 업데이트 창을 통해 사용자의 실수를 유발하여 다른 광고 프로그램의 설치를 유도하고 있으므로 설치되지 않도록 주의하시기 바랍니다.