인터넷 검색 및 웹사이트 접속 시 다양한 광고창을 생성할 수 있는 국내에서 제작된 "Network Application Express" 광고 프로그램은 변종에 따라 다양한 프로그램 이름과 폴더(파일)명으로 설치될 수 있습니다.
이미 몇 종의 변종에 따라 "Network Application Express" 광고 프로그램이 다양하게 설치될 수 있는 부분을 알 수 있었으며, 이번에 추가적으로 확인된 정보에 의하면 Windows 운영 체제에 따라 제어판을 통한 프로그램 제거 기능이 표시되지 않는 부분이 있는 것으로 보입니다.
|
생성 폴더 / 파일 등록 정보 |
|
C:\Users\%UserName%\AppData\Roaming\Network Application Express
|
|
생성 파일 진단 정보 |
|
C:\Users\%UserName%\AppData\Roaming\Network Application Express\smartpush.dll
|
JWSOFT 디지털 서명이 포함된 "Network Application Express" 광고 프로그램(SHA-1 : c92dbe1bd2f645febe5cba83b7f8292ee5014fb9)은 "C:\Users\%UserName%\AppData\Roaming\Network Application Express" 폴더에 파일을 생성합니다.
- express_agent 시작 프로그램 등록값 : C:\Users\%UserName%\AppData\Roaming\Network Application Express\Network Application Express Agent.exe
- express_client 시작 프로그램 등록값 : C:\Users\%UserName%\AppData\Roaming\Network Application Express\Network Application Express.exe
Windows 시작 시 express_agent, express_client 2개의 시작 프로그램 등록값을 통해 Network Application Express Agent.exe, Network Application Express.exe 파일을 각각 자동 실행하도록 구성되어 있습니다.
- express_agent 작업 스케줄러 등록값 : "C:\Users\%UserName%\AppData\Roaming\Network Application Express\Network Application Express Agent.exe" "/run"
- express_client 작업 스케줄러 등록값 : "C:\Users\%UserName%\AppData\Roaming\Network Application Express\Network Application Express.exe" "/run"
또한 예약 작업 영역에 express_agent, express_client 2개의 작업 스케줄러 등록값을 통해 Network Application Express Agent.exe, Network Application Express.exe 파일을 각각 자동 실행하도록 구성되어 있습니다.
자동 실행된 Network Application Express Agent.exe 파일(SHA-1 : a8bff7b9eb27ca7e8442b478584a69f0dc75f79e)은 프로그램 버전 체크를 통한 업데이트 기능을 수행하며, 자동 실행되어 메모리에 상주하는 Network Application Express.exe 파일(SHA-1 : f4033268744c11f438c5e9e730380763f8090156)은 "Wetelecomunication Co.,Ltd" 디지털 서명이 포함된 "C:\Users\%UserName%\AppData\Roaming\Network Application Express\smartpush.dll" 광고 모듈을 로딩하여 다음과 같은 광고 행위를 수행할 수 있습니다.
웹 브라우저의 기본 검색 공급자를 통한 인터넷 검색 시도 시 자동으로 다양한 광고창 생성을 수행할 수 있습니다.
또한 인터넷 검색을 통해 웹사이트 접속 과정에서 자동으로 추가적인 광고창 생성 행위를 수행할 수 있습니다.
■ "Network Application Express" 광고 프로그램 제거 방법
"Network Application Express" 광고 프로그램은 Windows 7 운영 체제에서는 제어판을 통한 프로그램 제거 기능을 제공하고 있으므로 다음과 같은 절차에 따라 제거하시기 바랍니다.
(a) 작업 관리자를 실행하여 메모리에 상주하는 Network Application Express.exe 프로세스를 찾아 종료하시기 바랍니다.
(b) 제어판의 프로그램 및 기능 또는 체크잇(CheckIt : www.checkitinfo.com) 프로그램에 등록된 "Network Application Express" 프로그램을 찾아 제거하시기 바랍니다.
하지만 Windows 8.1 및 Windows 10 운영 체제에서는 해당 광고 프로그램이 설치된 경우 제어판에 표시되지 않으므로 다음과 같은 방식으로 프로그램 제거를 진행하시기 바랍니다.
(a) 작업 관리자를 실행하여 메모리에 상주하는 Network Application Express.exe 프로세스를 찾아 종료하시기 바랍니다.
(b) 실행 중인 웹 브라우저를 모두 종료한 상태에서 "C:\Users\%UserName%\AppData\Roaming\Network Application Express\uninst.exe" 파일을 찾아 직접 실행하시기 바랍니다.
uninst.exe 파일이 실행되면 "Network Application Express 제거"창이 생성되며 "제거" 버튼을 클릭할 경우 자동으로 프로그램 제거가 진행됩니다.
|
생성 레지스트리 등록 정보 |
|
HKEY_CURRENT_USER\Software\express
|
"Network Application Express" 광고 프로그램은 다양한 배포 경로를 통해 설치되는 것으로 보이지만, 일부 운영 체제 환경에서만 프로그램 설치 여부를 확인할 수 있어 프로그램 제거가 제대로 이루어지지 않는 것으로 추정됩니다.
특히 기존의 LuckyTool 악성 광고 프로그램처럼 제어판에 표시되지 않는 문제로 장기간 광고창 생성을 유발할 수 있으므로 설치되지 않도록 주의하시기 바랍니다.