화면에는 표시되지 않는 방식으로 제휴 코드가 추가된 다양한 웹 사이트 접속을 시도하는 국내에서 제작된 "A-FlashPlugin V.1.0.0.4" 광고 프로그램<SHA-1 : 26be8020ed647038b7985fc43d012373a945885e - Avira : ADWARE/CloverPlus.120928.1>에 대해 살펴보도록 하겠습니다.
해당 프로그램은 기존의 CloverPlus 계열의 광고 프로그램이며, 특히 "A-FlashPlugin V.1.0.0.4" 광고 프로그램 이름이 Adobe Flash Player 플러그인과 동일하다고 착각할 수 있으므로 주의하시기 바랍니다.
C:\Users\(사용자 계정)\AppData\Local\AFlashPlugin
C:\Users\(사용자 계정)\AppData\Local\AFlashPlugin\AFlashPlugin.exe :: 시작 프로그램(AFlashPlugin) 등록 파일, 메모리 상주 프로세스
C:\Users\(사용자 계정)\AppData\Local\AFlashPlugin\AFlashPlugin_uninstaller.exe :: 프로그램 삭제 파일
C:\Users\(사용자 계정)\AppData\Local\AFlashPlugin\AFlashPlugin_Up.exe :: 시작 프로그램(AFlashPlugin_Up) 등록 파일
C:\Users\(사용자 계정)\AppData\Local\AFlashPlugin\AFlashPlugin.exe
- SHA-1 : 8f0acc04d88c2d37cedd5552213304b84529a077
- avast! : Win32:Seimon-B [Drp]
C:\Users\(사용자 계정)\AppData\Local\AFlashPlugin\AFlashPlugin_Up.exe
- SHA-1 : 100330f19fe5ed5edc92ac8f2b71a7e4597cfcac
- Hauri ViRobot : Adware.Agent.120928.C[h]
"Rainnd Inc" 디지털 서명이 포함된 "A-FlashPlugin V.1.0.0.4" 광고 프로그램은 "C:\Users\(사용자 계정)\AppData\Local\AFlashPlugin" 폴더에 파일을 생성합니다.
- 시작 프로그램(AFlashPlugin) : C:\Users\(사용자 계정)\AppData\Local\AFlashPlugin\AFlashPlugin.exe
- 시작 프로그램(AFlashPlugin_Up) : C:\Users\(사용자 계정)\AppData\Local\AFlashPlugin\AFlashPlugin_Up.exe
Windows 시작시 AFlashPlugin_Up 시작 프로그램 등록값을 통해 "C:\Users\(사용자 계정)\AppData\Local\AFlashPlugin\AFlashPlugin_Up.exe" 파일을 자동 실행합니다.
- h**p://more.A*****Plugin.com/down/c_updater.exe (= AFlashPlugin_Up.exe)
- h**p://more.A*****Plugin.com/down/c_exe.exe (= AFlashPlugin.exe)
자동 실행된 AFlashPlugin_Up.exe 파일은 미국(USA)에 위치한 서버에서 암호화된 업데이트 정보를 체크하여 파일 업데이트가 이루어질 수 있습니다.
또한 Windows 시작시 AFlashPlugin 시작 프로그램 등록값을 통해 자동 실행된 광고 기능을 수행하는 "C:\Users\(사용자 계정)\AppData\Local\AFlashPlugin\AFlashPlugin.exe" 파일은 메모리에 상주합니다.
자동 실행된 프로그램은 30초가 경과할 경우 서버에서 암호화된 정보를 체크하여 다음과 같은 광고 행위를 수행할 수 있습니다.
화면상으로는 표시되지 않는 방식으로 Internet Explorer 웹 브라우저(iexplore.exe)를 실행하여 국내 웹하드에 제휴 코드를 추가하는 방식으로 연결이 이루어지도록 구성되어 있습니다.
■ "A-FlashPlugin V.1.0.0.4" 광고 프로그램 삭제 방법
(a) Windows 작업 관리자를 실행하여 메모리에 상주하는 AFlashPlugin.exe 프로세스를 찾아 종료하시기 바랍니다.
(b) 제어판 또는 체크잇(CheckIt : www.checkitinfo.com) 프로그램에 등록된 "A-FlashPlugin V.1.0.0.4" 삭제 항목을 이용하여 프로그램 삭제를 진행하시기 바랍니다.
(c) 프로그램 삭제 후에는 "C:\Users\(사용자 계정)\AppData\Local\AFlashPlugin" 폴더를 찾아 추가적으로 삭제하시기 바랍니다.
HKEY_CURRENT_USER\Software\Microsoft\AFlashPlugin
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- AFlashPlugin = C:\Users\(사용자 계정)\AppData\Local\AFlashPlugin\AFlashPlugin.exe
- AFlashPlugin_Up = C:\Users\(사용자 계정)\AppData\Local\AFlashPlugin\AFlashPlugin_Up.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\AFlashPlugin
■ 광고 프로그램 대응 방법
국내 무료 백신<AhnLab V3 Lite, 알약(ALYac)>은 광고 프로그램(PUP)에 대한 진단 정책에 따라 진단이 이루어지지 않을 수 있습니다.
그러므로 40여종의 백신 엔진을 이용하여 가볍고 빠르게 악성코드 및 불필요한 프로그램(PUP)을 차단할 수 있을 수 있는 앱체크(AppCheck) 보조 백신을 통해 차단이 가능하므로 잘 활용하시기 바랍니다.
☞ 국내 악성코드 : IntoTheMap Plus CP IE Helper (2012.4.18)
☞ 검색 도우미 : Windows Internet Explorer KoreanKeyword V.2.2.1.1 (2012.10.16)
☞ 국내 악성코드 : brainclan CP (2013.6.13)
☞ 국내 악성코드 : KoreaMessenger CP (2013.6.14)
☞ 국내 악성코드 : Windows Desktop Batang Icon Ver 3.1.1.2 (2013.10.23)
☞ 옥션 바로가기 아이콘 생성 프로그램 : Windows Desktop BT Icons Ver 5.1.1.4 (2014.2.15)