인터넷 검색 키워드 값을 기반으로 광고탭(창)을 생성할 수 있는 국내에서 제작된 "Windows GoodsFind" 광고 프로그램(SHA-1 : c0695e5bddf9e26c18b75ca9724a28672b90799b - Avira : ADWARE/Adware.Gen7)에 대해 살펴보도록 하겠습니다.
해당 광고 프로그램은 기존의 "Windows Cookiemon" 광고 프로그램 계열이며, 2016년 10월 중순경부터 광고 배포용 프로그램을 통해 사용자 몰래 자동 설치될 수 있는 것으로 추정되고 있습니다.
|
생성 폴더 / 파일 등록 정보 |
|
C:\Users\%UserName%\AppData\Local\Windows GoodsFind
|
|
생성 파일 진단 정보 |
|
C:\Users\%UserName%\AppData\Local\Windows GoodsFind\goods_g.dll
C:\Users\%UserName%\AppData\Local\Windows GoodsFind\goods_t.dll
C:\Users\%UserName%\AppData\Local\Windows GoodsFind\TLoader.exe
C:\Users\%UserName%\AppData\Roaming\GFS\Goodson.exe
|
GeoCube 디지털 서명이 포함된 "Windows GoodsFind" 광고 프로그램은 다음과 같은 2개의 폴더에 각각의 파일을 생성합니다.
- C:\Users\%UserName%\AppData\Local\Windows GoodsFind
- C:\Users\%UserName%\AppData\Roaming\GFS
Windows 시작 시 RunOnce 시작 프로그램 영역에 "Windows GoodsFind" 등록값을 추가하여 ["C:\Users\%UserName%\AppData\Roaming\GFS\Goodson.exe" /Check] 파일을 자동 실행하도록 구성되어 있으며, 이를 통해 HTTPS 암호화 통신을 통해 업데이트 정보 체크 및 광고 기능을 수행하는 "C:\Users\%UserName%\AppData\Local\Windows GoodsFind\TLoader.exe" 파일을 로딩하여 메모리에 상주시킵니다.
"Windows GoodsFind" 광고 프로그램이 설치된 환경에서는 특정 검색 키워드를 이용한 인터넷 검색이 이루어질 경우 광고 서버(click.dotmap.co.kr)를 경유하여 다양한 사이트로 광고탭(창) 형태로 연결이 이루어질 수 있습니다.
■ "Windows GoodsFind" 광고 프로그램 제거 방법
(a) 작업 관리자를 실행하여 메모리에 상주하는 TLoader.exe 프로세스를 찾아 종료하시기 바랍니다.
(b) 제어판의 프로그램 및 기능 또는 체크잇(CheckIt : www.checkitinfo.com) 프로그램에 등록된 "Windows GoodsFind" 프로그램을 찾아 제거하시기 바랍니다.
|
생성 레지스트리 등록 정보 |
|
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
|
"Windows GoodsFind" 광고 프로그램 역시도 일부 환경에서는 웹 브라우저를 이용한 사이트 접속 과정에서 얼어버리는 문제를 유발할 수 있으며, 위와 같은 광고 프로그램을 자동으로 설치하는 악성 광고 배포 프로그램을 찾아 추가적으로 삭제하시기 바랍니다.