즐겨찾기 영역에 인터넷 쇼핑몰 바로가기 아이콘 생성 및 인터넷 검색 또는 웹 브라우저 종료시 광고창을 생성하는 국내에서 제작된 "pvinc plugin" 광고 프로그램<SHA-1 : 56bd6bd03fa66a4d2b08051d9d1b76a06a456e28 - AhnLab V3 365 Clinic : PUP/Win32.Installer.C790594 (VT : 17/57)>에 대해 살펴보도록 하겠습니다.

 

해당 광고 프로그램은 2015년 2월경 배포가 시작되었으며, 설치 과정을 살펴보면 "C:\Program Files\setup.exe" 설치 파일<SHA-1 : 25392ddabb845f60bdf2a48400acbb719612b7d6 - AVG : Win32/DH{gQyBEkEuDyAkIls} (VT : 17/57)>을 생성하여 다음과 같은 프로그램을 설치한 후 자신은 자동 삭제 처리합니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\sofa
C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\sofa\i
C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\sofa\i\1.ico
C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\sofa\i\2.ico
C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\sofa\i\3.ico
C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\sofa\pvcl.exe
C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\sofa\pvinc.exe :: 메모리 상주 프로세스
C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\sofa\unins000.dat
C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\sofa\unins000.exe :: 프로그램 삭제 파일
C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\sofa\upvinc.dat
C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\sofa\upvinc.exe :: 시작 프로그램(pv_inc) 등록 파일
C:\Users\(사용자 계정)\Favorites\11번가 이동.URL
C:\Users\(사용자 계정)\Favorites\옥션 이동.URL
C:\Users\(사용자 계정)\Favorites\G마켓 이동.URL

 

[생성 파일 진단 정보]

 

C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\sofa\pvinc.exe
 - SHA-1 : e8c1c8be0f9a24724fbce625427a142d52236d84
 - AhnLab V3 365 Clinic : PUP/Win32.Agent.C861289 (VT : 14/57)

 

C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\sofa\upvinc.exe
 - SHA-1 : 4fed20152200cfb327c04ecc3f85c6a2abb9cfb0
 - AhnLab V3 365 Clinic : PUP/Win32.WindowsLiveProtect.R29168 (VT : 6/57)

Gong-gam, Pabluskorea 2종의 디지털 서명이 포함된 "pvinc plugin" 광고 프로그램은 마이크로소프트(Microsoft) 폴더 내의 "C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\sofa" 폴더를 생성하여 프로그램을 설치합니다.

Windows 시작시 "C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\sofa\upvinc.exe" 파일을 시작 프로그램(pv_inc)으로 등록하여 자동 실행되도록 구성되어 있으며, 이를 통한 업데이트 체크를 통해 광고 기능을 수행하는 "C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\sofa\pvinc.exe" 파일을 메모리에 상주시킵니다.

  • G마켓 이동 : {000000A1-CA93-46BB-9D4A-DBD498CB8944}
  • 옥션 이동 : {000000A2-F93E-4C0B-87D5-490AEF45ADD3}
  • 11번가 이동 : {000000A3-57A6-49EA-B96B-1428070E5924}

"pvinc plugin" 광고 프로그램이 설치된 환경에서는 Internet Explorer 웹 브라우저의 명령 모음 영역에 11번가, G마켓, 옥션 바로가기 아이콘을 생성하며, 설치 과정에서 정상적인 "Java(tm) Plug-In SSV Helper" BHO 항목(HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43})을 자동 삭제합니다.

"pvinc plugin" 광고 프로그램은 기본적으로 즐겨찾기 영역에 11번가, G마켓, 옥션 바로가기 아이콘을 추가하여 접속시 특정 제휴 코드(click.linkprice.com)을 경유하여 인터넷 쇼핑몰에 접속하도록 되어 있습니다.

또한 인터넷 검색 또는 웹 브라우저를 종료하는 시점에서 자동으로 제휴 코드가 포함된 인터넷 쇼핑몰 광고창을 생성할 수 있습니다.

 

"pvinc plugin" 광고 프로그램 삭제 방법

(a) Windows 작업 관리자를 실행하여 메모리에 상주하는 pvinc.exe 프로세스를 찾아 종료하시기 바랍니다.

(b) 제어판 또는 체크잇(CheckIt : www.checkitinfo.com) 프로그램에 등록된 "pvinc plugin" 삭제 항목을 이용하여 프로그램 제거를 진행할 수 있습니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Extensions\{000000A1-CA93-46BB-9D4A-DBD498CB8944}
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Extensions\{000000A2-F93E-4C0B-87D5-490AEF45ADD3}
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Extensions\{000000A3-57A6-49EA-B96B-1428070E5924}
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - pv_inc = C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\sofa\upvinc.exe
HKEY_LOCAL_MACHINE\SOFTWARE\AppDataLow
 - pvi = 0
HKEY_LOCAL_MACHINE\SOFTWARE\AppDataLow\upvinc
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - pv_inc = C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\sofa\upvinc.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
pv_inc_is1

 

"pvinc plugin" 프로그램은 이름만으로는 광고 프로그램인지 유추가 쉽지 않으며, 마이크로소프트(Microsoft) 폴더 내에 설치되어 설치 여부를 확인하기 매우 어려우므로 설치되지 않도록 주의하시기 바랍니다.

 

 
블로그 이미지

울지않는 벌새

울지않는벌새가 되고 싶은 나..