바탕 화면에 바로 가기 아이콘 생성 및 인터넷 검색 시 광고창 생성 등의 광고 행위를 수행할 수 있는 국내에서 제작된 newgoplus 광고 프로그램(SHA-1 : dc97299b5d7950ba37bd425fd8f9b6c89d96199f - AhnLab V3 365 Clinic : PUP/Win32.Installer.C1960862)에 대해 살펴보도록 하겠습니다.
해당 광고 프로그램은 기존에 다양한 이름을 가진 유사 광고 프로그램이 존재하였으므로 참고하시기 바랍니다.
|
생성 폴더 / 파일 등록 정보 |
|
C:\Users\%UserName%\AppData\Local\Temp\C_1572.NLS
|
|
생성 파일 진단 정보 |
|
C:\Users\%UserName%\AppData\Local\Temp\C_1572.NLS
C:\Users\%UserName%\AppData\Roaming\newgoplus\netcon.dll
C:\Users\%UserName%\AppData\Roaming\newgoplus\newgoplus.exe
C:\Users\%UserName%\AppData\Roaming\newgoplus\ngpup.exe
|
GeoCube 디지털 서명이 포함된 해당 광고 프로그램은 "C:\Users\%UserName%\AppData\Roaming\newgoplus" 폴더에 파일을 생성합니다.
Windows 시작 시 NGPlus 시작 프로그램 등록값으로 추가된 "C:\Users\%UserName%\AppData\Roaming\newgoplus\newgoplus.exe" 파일을 자동 실행하여 프로그램 업데이트 확인을 통해 광고 기능을 수행하는 newgoplus.exe 파일을 메모리에 상주시킵니다.
이후 일본(Japan)에 위치한 특정 서버로부터 특정 웹하드 추천 아이디(ID)가 포함된 URL 값을 가진 바로 가기 아이콘 정보를 받아옵니다.
이를 통해 newgoplus 광고 프로그램은 기본적으로 바탕 화면 영역에 "역적 다운받기"와 같은 바로 가기 아이콘이 생성될 수 있습니다.
또한 메모리에 상주하는 newgoplus.exe 파일은 임시 폴더(%Temp%)에 생성된 C_1572.NLS, C_1623.NLS, locale.nls 3종의 광고 모듈(DLL)을 로딩할 수 있습니다.
C_1572.NLS 광고 모듈의 내부 코드를 확인해보면 기존에 확인된 PlusMatching, Windows highcloud 계열 광고 프로그램과 유사한 것으로 추정되며, 이를 통해 광고창 생성 등의 행위가 이루어질 수 있습니다.
특히 C_1623.NLS, locale.nls 광고 모듈에서는 가상 환경 및 네트워크 분석 도구 등의 프로그램에 대한 체크를 통해 광고 행위 수행 여부가 결정되도록 제작되어 있습니다.
■ newgoplus 광고 프로그램 제거 방법
(a) 작업 관리자를 실행하여 메모리에 상주하는 newgoplus.exe 프로세스를 찾아 종료하시기 바랍니다.
(b) 설정(제어판)의 앱 및 기능(프로그램 및 기능) 또는 체크잇(CheckIt : www.checkitinfo.com) 프로그램에 등록된 newgoplus 프로그램을 찾아 제거하시기 바라며, 프로그램 제거 후에는 바탕 화면에 생성된 바로 가기 아이콘을 추가적으로 삭제하시기 바랍니다.
|
생성 레지스트리 등록 정보 |
|
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
|
newgoplus 광고 프로그램이 설치된 경우 원치않는 광고창 생성 및 바로 가기 아이콘 생성으로 인하여 불편을 유발할 수 있으므로 설치되지 않도록 주의하시기 바랍니다.