사용자 몰래 네이버(Naver) 검색을 자동으로 수행하며 추가적인 제휴 프로그램 설치를 유도할 수 있는 국내에서 제작된 애드플레이링크(ADPlayLink) 광고 프로그램<SHA-1 : 7b7ad419f97f1dbbba4f48f0d89a18f8979b3520 - AhnLab V3 365 Clinic : PUP/Win32.Mopop.R96219>에 대해 살펴보도록 하겠습니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Users\(사용자 계정)\AppData\Roaming\adplaylink
C:\Users\(사용자 계정)\AppData\Roaming\adplaylink\aplink.exe :: 시작 프로그램(ADPlayLink) 등록 파일, 메모리 상주 프로세스
C:\Users\(사용자 계정)\AppData\Roaming\adplaylink\aplinkup.exe
C:\Users\(사용자 계정)\AppData\Roaming\adplaylink\log_1.txt
C:\Users\(사용자 계정)\AppData\Roaming\adplaylink\uninst.exe :: 프로그램 삭제 파일

 

[생성 파일 진단 정보]

 

C:\Users\(사용자 계정)\AppData\Roaming\adplaylink\aplink.exe
 - SHA-1 : 5ac013486a439d6bff4bc52725da7d31ac21db02
 - Kaspersky : UDS:DangerousObject.Multi.Generic

애드플레이링크 광고 프로그램은 "C:\Users\(사용자 계정)\AppData\Roaming\adplaylink" 폴더에 파일을 생성하며, Windows 시작시 "C:\Users\(사용자 계정)\AppData\Roaming\adplaylink\aplink.exe" 파일을 시작 프로그램(ADPlayLink)으로 등록하여 자동 실행되도록 구성되어 있습니다.

프로그램 실행 과정에서 업데이트 정보가 확인될 경우 "C:\Users\(사용자 계정)\AppData\Roaming\adplaylink\aplinkup.exe" 파일(SHA-1 : 3b64cbf1e695992c6bf7816c4cb5a605780b764b)을 로딩하여 필수 프로그램 패치 및 추가적인 제휴 프로그램 설치를 유도할 수 있으므로 주의하시기 바랍니다.

자동 실행된 애드플레이링크 광고 프로그램은 특정 시간 주기로 바탕 화면에 구글 애드센스(Google AdSense) 광고 팝업창을 생성하여 클릭을 유도할 수 있습니다.

또한 인터넷 검색을 통한 웹 사이트 접속 과정에서 광고 노출을 목적으로 제작된 것으로 추정되는 웹 사이트를 자동으로 오픈하는 행위를 수행할 수 있습니다.

핵심적인 광고 기능은 프로그램 실행 후 3분 주기로 화면상에는 표시되지 않는 방식으로 Internet Explorer 웹 브라우저(iexplore.exe)를 이용하여 네이버(Naver) 검색 서비스에 다양한 검색 키워드 입력을 통해 인터넷 검색을 수행합니다.

위와 같은 네이버(Naver) 검색 활동을 통해 추천 검색어 등록 또는 특정 웹 사이트 상위 노출을 노리는 것으로 추정됩니다.

 

애드플레이링크 광고 프로그램 삭제 방법

 

(a) 애드플레이링크 광고 프로그램은 일정 시간 동안 동작한 후 자동으로 종료되는 것으로 보이지만 Windows 작업 관리자를 실행하여 aplink.exe 프로세스가 메모리에 상주하고 있을 경우 종료하시기 바랍니다.

(b) 제어판 또는 체크잇(CheckIt : www.checkitinfo.com) 프로그램에 등록된 애드플레이링크 삭제 항목을 실행하여 프로그램 삭제를 진행하시기 바랍니다.

 

(c) 프로그램 삭제 후에는 "C:\Users\(사용자 계정)\AppData\Roaming\adplaylink" 폴더를 추가적으로 삭제하시기 바랍니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\aplink
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - ADPlayLink = C:\Users\(사용자 계정)\AppData\Roaming\adplaylink\aplink.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\aplink.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ADPlayLink

애드플레이링크 광고 프로그램이 설치된 경우 자동으로 인터넷 검색을 시도하여 불필요한 트래픽을 유발하므로 50여종의 백신 엔진을 이용하여 실행을 차단하는 앱체크(AppCheck) 보조 백신을 이용하시기 권장합니다.

 

 
블로그 이미지

벌새

울지않는벌새가 되고 싶은 나..