Windows 부팅 후 바탕 화면에 구글 애드센스(Google AdSense) 광고 및 다양한 팝업창을 생성할 수 있는 국내에서 제작된 "Windows highcloud" 광고 프로그램(SHA-1 : 812b1228123b9b8d25b3a8838d62066bddefba90 - AhnLab V3 365 Clinic : PUP/Win32.Generic.C1730400)에 대해 살펴보도록 하겠습니다.
해당 광고 프로그램은 기존부터 다양한 이름으로 배포된 적이 있는 변종이므로 참고하시기 바랍니다.
|
생성 폴더 / 파일 등록 정보 |
|
C:\Users\%UserName%\AppData\Roaming\highcloud
|
|
생성 파일 진단 정보 |
|
C:\Users\%UserName%\AppData\Roaming\highcloud\highcloud.dll
C:\Users\%UserName%\AppData\Roaming\highcloud\highcloud.exe
C:\Users\%UserName%\AppData\Roaming\highcloud\highsvc.exe
|
PioneerSoft 디지털 서명이 포함된 "Windows highcloud" 광고 프로그램은 "C:\Users\%UserName%\AppData\Roaming\highcloud" 폴더에 파일을 생성합니다.
"highcloud (표시 이름 : highcloud 서비스)" 서비스 항목을 등록하여 시스템 시작 시 "C:\Users\%UserName%\AppData\Roaming\highcloud\highsvc.exe" 파일을 자동 실행하여 광고 기능을 수행하는 highcloud.exe 파일을 로딩한 후 자동 종료 처리됩니다.
또한 highcloud 작업 스케줄러 값을 등록하여 시스템 시작 시 "C:\Users\%UserName%\AppData\Roaming\highcloud\highcloud.exe" 파일을 자동 실행하도록 구성되어 있습니다.
이를 통해 부팅 이후 특정 광고 팝업 구성값을 체크하여 작업 표시줄 알림 영역에 광고 팝업창을 자동 생성할 수 있습니다.
그 외에도 부팅 이후 바탕 화면 중앙에 구글 애드센스(Google AdSense) 팝업창을 생성할 수 있습니다.
해당 광고 프로그램은 Internet Explorer 웹 브라우저의 홈 페이지 설정값에 "h**p://www.highcloud.co.kr/newtab.html" 페이지를 추가하고 있으며, 테스트 당시에는 웹 브라우저 실행 시 새 탭 방식으로 해당 페이지를 오픈하지만 자동으로 종료되도록 설정되어 있지만 기존 또는 차후에는 다양한 광고 페이지로 자동 연결될 수 있습니다.
■ "Windows highcloud" 광고 프로그램 제거 방법
(a) 작업 관리자를 실행하여 메모리에 상주하는 highcloud.exe 프로세스를 찾아 종료하시기 바랍니다.
(b) 제어판의 프로그램 및 기능 또는 체크잇(CheckIt : www.checkitinfo.com) 프로그램에 등록된 "Windows highcloud" 프로그램을 찾아 제거하시기 바라며, 프로그램 제거 후에는 "C:\Users\%UserName%\AppData\Roaming\highcloud" 폴더를 찾아 추가적으로 삭제하시기 바랍니다.
(c) 명령 프롬프트(관리자)를 실행하여 sc delete highcloud 명령어를 입력 및 실행하여 삭제되지 않은 서비스 등록값을 삭제하시기 바랍니다.
|
생성 레지스트리 등록 정보 |
|
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
|
"Windows highcloud" 프로그램 이름으로는 광고 기능을 수행하는지 인지하기 매우 어려우며, 생성된 광고 팝업창이 어떤 프로그램을 통해 동작하는지 알 수 없다는 점에서 설치되지 않도록 주의하시기 바랍니다.