사용자의 인터넷 검색 정보를 기반으로 광고창을 생성할 수 있는 국내에서 제작된 "Micro blue-ad secure softwear profile" 광고 프로그램<SHA-1 : 7fdeb784ac7eaa43d58a9497eb884f8c110921f3 - ESET : a variant of Win32/Adware.PopAd.AE (VT : 23/55)>에 대해 살펴보도록 하겠습니다.
해당 프로그램은 기존부터 유사한 기능을 가진 다양한 이름으로 배포되고 있었으므로 참고하시기 바랍니다.
C:\Users\(사용자 계정)\AppData\Roaming\bluead
C:\Users\(사용자 계정)\AppData\Roaming\bluead\common
C:\Users\(사용자 계정)\AppData\Roaming\bluead\common\bin
C:\Users\(사용자 계정)\AppData\Roaming\bluead\common\bin\BAGuard.exe :: 시작 프로그램(guardba) 등록 파일
C:\Users\(사용자 계정)\AppData\Roaming\bluead\common\bin\bap_kwd.dat
C:\Users\(사용자 계정)\AppData\Roaming\bluead\common\bin\bap_nsminfo.dat
C:\Users\(사용자 계정)\AppData\Roaming\bluead\common\bin\bap_ominfo.dat
C:\Users\(사용자 계정)\AppData\Roaming\bluead\common\bin\bap_recog.dat
C:\Users\(사용자 계정)\AppData\Roaming\bluead\common\bin\bap_sku.dat
C:\Users\(사용자 계정)\AppData\Roaming\bluead\common\bin\baple.exe :: 시작 프로그램(BAgrd) 등록 파일, 메모리 상주 프로세스
C:\Users\(사용자 계정)\AppData\Roaming\bluead\common\bin\BASch.exe
C:\Users\(사용자 계정)\AppData\Roaming\bluead\common\bin\BAUpdate.exe :: 시작 프로그램(BAPop) 등록 파일
C:\Users\(사용자 계정)\AppData\Roaming\bluead\common\bin\bluead.dll
C:\Users\(사용자 계정)\AppData\Roaming\bluead\common\bin\RmBA.exe :: 프로그램 삭제 파일
C:\Users\(사용자 계정)\AppData\Roaming\bluead\common\bin\BAGuard.exe
- SHA-1 : 394eb575b791d7b4bf08482856d8b1fdea06e1aa
- AhnLab V3 365 Clinic : PUP/Win32.Helper.C992000 (VT : 3/55)
C:\Users\(사용자 계정)\AppData\Roaming\bluead\common\bin\baple.exe
- SHA-1 : f75c65af4796d0b43d24d15cc46475e2589b0157
- AhnLab V3 365 Clinic : PUP/Win32.Helper.C992034 (VT : 5/55)
C:\Users\(사용자 계정)\AppData\Roaming\bluead\common\bin\bluead.dll
- SHA-1 : f9ea84dff7f22baa4a8a0c97361e51482017e254
- BitDefender : Gen:Variant.Adware.Symmi.49980 (VT : 33/55)
Qzoneinteractive 디지털 서명이 포함된 "Micro blue-ad secure softwear profile" 광고 프로그램은 "C:\Users\(사용자 계정)\AppData\Roaming\bluead" 폴더에 파일을 생성하며, Windows 시작시 다음과 같은 시작 프로그램 등록값을 통해 자동 실행되도록 구성되어 있습니다.
- 시작 프로그램(BAgrd) : C:\Users\(사용자 계정)\AppData\Roaming\BlueAD\common\bin\Baple.exe
- 시작 프로그램(BAPop) : C:\Users\(사용자 계정)\AppData\Roaming\BlueAD\common\bin\BAUpdate.exe
- 시작 프로그램(guardba) : C:\Users\(사용자 계정)\AppData\Roaming\BlueAD\common\bin\BAGuard.exe
자동 실행된 "C:\Users\(사용자 계정)\AppData\Roaming\bluead\common\bin\BAUpdate.exe" 파일(SHA-1 : 1d8b6431db261e16418bc360e5ef1122ab16aa27)은 특정 서버에서 업데이트 정보를 체크하여 추가적인 정보가 등록되어 있을 경우 "Blue-Ad Updater" 창 생성을 통해 추가적인 제휴 프로그램 설치를 유도할 수 있으므로 주의하시기 바랍니다.
또한 자동 실행되어 메모리에 상주하여 광고 기능을 수행하는 "C:\Users\(사용자 계정)\AppData\Roaming\bluead\common\bin\baple.exe" 파일은 서버에 등록된 광고 구성값이 포함된 5종의 데이터 파일을 추가 다운로드하여 광고 동작에 활용합니다.
기본적인 광고 동작을 살펴보면 사용자가 인터넷 검색시 검색 엔진 및 검색 키워드 값을 광고 서버에 조회하여 매칭되는 값이 존재할 경우 추가적인 광고창을 생성할 수 있습니다.
■ "Micro blue-ad secure softwear profile" 광고 프로그램 삭제 방법
(a) Windows 작업 관리자를 실행하여 메모리에 상주하는 baple.exe 프로세스를 찾아 종료하시기 바랍니다.
(b) 실행 중인 웹 브라우저를 종료한 상태에서 제어판 또는 체크잇(CheckIt : www.checkitinfo.com) 프로그램에 등록된 "Micro blue-ad secure softwear profile" 삭제 항목을 이용하여 프로그램 삭제를 진행하시기 바랍니다.
(c) 프로그램 삭제 후 "C:\Users\(사용자 계정)\AppData\Roaming\bluead" 폴더를 찾아 삭제하시기 바랍니다.
HKEY_CURRENT_USER\Software\BlueAD
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- BAgrd = C:\Users\(사용자 계정)\AppData\Roaming\BlueAD\common\bin\Baple.exe
- BAPop = C:\Users\(사용자 계정)\AppData\Roaming\BlueAD\common\bin\BAUpdate.exe
- guardba = C:\Users\(사용자 계정)\AppData\Roaming\BlueAD\common\bin\BAGuard.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\BAPop
"Micro blue-ad secure softwear profile" 프로그램 이름으로는 광고 프로그램인지 사용자가 쉽게 확인이 어려우며, 프로그램 설치로 인해 특정 시점에서는 또 다른 광고 프로그램 설치 통로로 활용될 수 있으므로 주의하시기 바랍니다.
☞ 제휴(스폰서) 프로그램 : ATL C++ Video Flash Activex Manager (2012.1.13)
☞ 제휴(스폰서) 프로그램 : ATL C++ Video Flash Activex Manager - QuickZone2 (2012.4.3)
☞ 제휴(스폰서) 프로그램 : 네임클린(NameClean) - Anti namecheck filter ActCtrl (2012.5.31)
☞ 검색 도우미 : 서치엔(SearchN) - Sn_x32,x64 XML 1.0.0.1 (2012.11.26)
☞ 국내 악성코드 : Micro WebViewer Application ActX (2012.12.4)