국내에서 제작되어 2015년 11월 초부터 배포된 것으로 보이는 LineUp 광고 프로그램은 기본적인 광고 행위 이외에 프로그램 제거 시 사용자의 부주의를 통해 추가적인 광고 프로그램을 자동 설치하는 기능이 포함되어 있기에 살펴보도록 하겠습니다.
LineUp 배포 파일(SHA-1 : 483924fe0efe8817af5621d78bb0e14882c5474e - Hauri ViRobot : Adware.LineUp.943328[h])이 실행되면 추가적인 다운로드를 통해 LineUp 설치 파일이 다운로드됩니다.
다운로드된 설치 파일은 "C:\Users\%UserName%\AppData\Local\Temp\LineUp_setup.exe" 파일명(SHA-1 : 8e32b879042d91413bb40458eb9ba067cde18329 - Kaspersky : not-a-virus:AdWare.Win32.Popuper.rs)으로 생성 및 추가 명령어(/hide)가 포함되어 실행됩니다.
|
생성 폴더 / 파일 등록 정보 |
|
C:\Users\%UserName%\AppData\Local\Temp\LineUp_setup.exe :: LineUp 설치 파일 C:\Users\%UserName%\AppData\Local\Temp\TempSetup_2.exe :: LineUp 배포 파일
|
|
생성 파일 진단 정보 |
|
C:\Users\%UserName%\AppData\Local\Temp\LineUp_setup.exe
C:\Users\%UserName%\AppData\Local\Temp\TempSetup_2.exe - SHA-1 : 483924fe0efe8817af5621d78bb0e14882c5474e - Hauri ViRobot : Adware.LineUp.943328[h]
C:\Users\%UserName%\AppData\Roaming\LineUp\LineUp.dll
C:\Users\%UserName%\AppData\Roaming\LineUp\LineUpUninstall.exe
C:\Users\%UserName%\AppData\Roaming\LineUp\LineUpUp.exe
C:\Users\%UserName%\AppData\Roaming\LineUp\LineUpUpch.exe
|
"jncmarketing Co., Ltd" 디지털 서명이 포함된 해당 광고 프로그램은 "C:\Users\%UserName%\AppData\Roaming\LineUp" 폴더에 파일을 생성합니다.
Windows 시작 시 LineUpUpdate 시작 프로그램 등록값을 통해 "C:\Users\%UserName%\AppData\Roaming\LineUp\LineUpUp.exe" 파일을 자동 실행하여 실행 정보 및 프로그램 버전을 체크한 후 자동 종료 처리됩니다.
|
이름 |
LineUp |
|
게시자 |
jncmarketing Co., Ltd |
|
유형 |
브라우저 도우미 개체 |
|
CLSID |
{991DE46A-A97C-4BDB-927B-8DCF1EAE0821} |
|
폴더 / 파일 |
C:\Users\%UserName%\AppData\Roaming\LineUp\LineUp.dll |
설치된 LineUp 광고 프로그램은 Internet Explorer 웹 브라우저 실행 시 브라우저 도우미 개체(BHO)로 추가된 LinuUp.dll 광고 모듈을 로딩하여 인터넷 검색 키워드 값을 기반으로 광고창(탭) 생성 행위가 이루어질 수 있습니다.
■ LineUp 광고 프로그램 제거 기능에 숨어있는 추가 광고 프로그램 설치 기능
LineUp 광고 프로그램은 기존 광고 프로그램과는 다르게 프로그램 제거 과정에서 사용자의 부주의를 유발하여 자동으로 추가적인 광고 프로그램을 자동 설치하는 기능이 포함되어 있습니다.
이에 LineUp 광고 프로그램의 제거 방법과 그 과정에서 주의해야할 부분에 대해 살펴보도록 하겠습니다.
Internet Explorer 웹 브라우저를 종료한 상태에서 제어판의 프로그램 및 기능 또는 체크잇(CheckIt : www.checkitinfo.com) 프로그램에 등록된 LineUp 프로그램을 찾아 제거할 수 있습니다.
그런데 제거 과정에서 생성된 "PickPlus_Uninatall" 창에는 흐릿한 "add install" 박스가 체크된 상태로 표시되어 있습니다.
이 과정에서 외부 서버와의 통신을 통해 LineUp 광고 프로그램을 비롯한 총 3종의 광고 프로그램 정보를 체크하는 것을 확인할 수 있습니다.
만약 사용자가 LineUp 광고 프로그램 제거를 위해 기본값 그대로 accept 버튼을 클릭할 경우 LineUp 광고 프로그램 삭제와 동시에 자동으로 2종의 광고 프로그램을 자동 설치합니다.
- C:\Users\%UserName%\AppData\Local\Temp\OneDayWeather_setup.exe (SHA-1 : 3b2ee741a9747da7d1a9a455da32f0746b23803a - BitDefender : Application.Generic.1652431) :: OneDayWeather 광고 프로그램 설치 파일
- C:\Users\%UserName%\AppData\Local\Temp\PickPlus_setup.exe (SHA-1 : e2ff5b08937b9dbdfe2bb84996c41426627adef0 - Avira : ADWARE/Popuper.wbaz) :: PickPlus 광고 프로그램 설치 파일
- C:\Users\%UserName%\AppData\Local\Temp\TempSetup_0.exe (SHA-1 : e3ff475ca4453b862f6a53f0f9c6dbac4ac5a946 - Hauri ViRobot : Adware.Agent.367840[h]) :: OneDayWeather 광고 프로그램 배포 파일
- C:\Users\%UserName%\AppData\Local\Temp\TempSetup_1.exe (SHA-1 : 2c0698892253eb1c94c31ce327e4ca15a4557a86 - Hauri ViRobot : Adware.Agent.311520.A[h]) :: PickPlus 광고 프로그램 배포 파일
이를 통해 OneDayWeather 광고 프로그램(C:\Users\%UserName%\AppData\Roaming\OneDayWeather)과 PickPlus 광고 프로그램(C:\Users\%UserName%\AppData\Roaming\PickPlus)이 자동 설치됩니다.
그러므로 LineUp 광고 프로그램 제거 시에는 "add install" 버튼을 클릭하여 체크값을 해제한 후 accept 버튼을 클릭하여 프로그램 제거를 진행하시기 바랍니다.
|
생성 레지스트리 등록 정보 |
|
HKEY_CURRENT_USER\Software\LineUp
|
이번 사례와 같이 국내 광고 프로그램 중에서도 메뉴를 영어(English)로 표기하거나 색깔을 회색으로 표시하여 사용자의 실수를 유발하여 프로그램 제거 과정에서도 또 다른 광고 프로그램을 자동으로 설치하도록 할 수 있으므로 매우 주의하시기 바랍니다.