본문 바로가기

벌새::Analysis

검색 도우미 : OneTrip

반응형

인터넷 검색 및 웹사이트 접속 시 다수의 광고창을 자동 생성할 수 있는 국내에서 제작된 OneTrip 광고 프로그램(SHA-1 : 39b2760bfb54ecc6f20eae24cdba493bc48434d6 - AhnLab V3 : Trojan/Win32.Installer.C1483473)에 대해 살펴보도록 하겠습니다.

 

생성 폴더 / 파일 등록 정보

 

C:\Users\(로그인 계정명)\AppData\Roaming\OneTrip
C:\Users\(로그인 계정명)\AppData\Roaming\OneTrip\OneTrip.exe :: 메모리 상주 프로세스
C:\Users\(로그인 계정명)\AppData\Roaming\OneTrip\unins000.dat
C:\Users\(로그인 계정명)\AppData\Roaming\OneTrip\unins000.dt
C:\Users\(로그인 계정명)\AppData\Roaming\OneTrip\unins000.exe :: 프로그램 삭제 파일

 

생성 파일 진단 정보

 

C:\Users\(로그인 계정명)\AppData\Roaming\OneTrip\OneTrip.exe
 - SHA-1 : 0e58b66859f0e7234e090319fabecaef2f20b8e5
 - AhnLab V3 365 Clinic : PUP/Win32.SearchAssistant.C1483474

 

 

"jncmarketing Co., Ltd" 디지털 서명이 포함된 OneTrip 광고 프로그램은 "C:\Users\(로그인 계정명)\AppData\Roaming\OneTrip" 폴더에 파일을 생성합니다.

 

기존 광고 프로그램과는 다르게 OneTrip 광고 프로그램은 이름 그대로 자동 실행값이 추가되지 않기 때문에 최초 설치된 후 Windows 재부팅 이전까지만 동작하도록 제작되어 있습니다.

 

OneTrip 광고 프로그램이 설치된 환경에서는 인터넷 검색 및 웹사이트 접속 과정에서 다수의 광고창을 자동으로 생성하여 불편을 유발할 수 있습니다.

 

OneTrip 광고 프로그램 삭제 방법

 

(a) 작업 관리자를 실행하여 메모리에 상주하여 광고 기능을 수행하는 OneTrip.exe 프로세스를 찾아 종료하시기 바랍니다.

 

 

(b) 제어판 또는 체크잇(CheckIt : www.checkitinfo.com) 프로그램에 등록된 OneTrip 삭제 항목을 실행하여 프로그램 제거를 진행하시기 바라며, 프로그램 제거 후에는 "C:\Users\(로그인 계정명)\AppData\Roaming\OneTrip" 폴더를 찾아 직접 삭제하시기 바랍니다.

 

생성 레지스트리 등록 정보

 

HKEY_CURRENT_USER\Software\OneTrip
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{B1DF60C3-C7AB-4CF8-8073-816F7AE681B5}_is1

 

 

OneTrip 광고 프로그램은 1회용으로 제작된 것으로 보이지만 광고 행위는 상당히 공격적으로 사용자에게 불편을 유발하고 있으므로 설치되지 않도록 주의하시기 바랍니다.

 

728x90
반응형