최근 Polaris Office 프로그램의 업데이트 완료 시점에서 자동으로 추가되어 사용자가 인지하지 못하는 과정에서 설치될 수 있는 광고 제휴 프로그램에 대해 소개한 적이 있었습니다.

 

 

추가된 3종의 광고 프로그램 중 바탕 화면 및 즐겨찾기 영역에 바로 가기 아이콘을 생성할 수 있는 "Desktop BCN Drivers (x86) 버전 1.8.1" 광고 프로그램(SHA-1 : 265938ac6ea92890032ba77f91448332970cb988)에 대해 살펴보도록 하겠습니다.

 

해당 광고 프로그램은 설치 시 다음과 같은 4종의 프로세스가 실행 중일 경우 종료한 후 설치가 이루어지도록 제작되어 있습니다.

 

taskkill.exe /f /im BaconProgram.exe
taskkill.exe /f /im Desktop BCN Drivers.exe
taskkill.exe /f /im NewTabProgram.exe
taskkill.exe /f /im NewWindowProgram.exe

생성 폴더 / 파일 등록 정보

 

C:\Program Files (x86)\Desktop BCN Drivers (x86)
C:\Program Files (x86)\Desktop BCN Drivers (x86)\x64
C:\Program Files (x86)\Desktop BCN Drivers (x86)\x64\SQLite.Interop.dll
C:\Program Files (x86)\Desktop BCN Drivers (x86)\x86
C:\Program Files (x86)\Desktop BCN Drivers (x86)\x86\SQLite.Interop.dll
C:\Program Files (x86)\Desktop BCN Drivers (x86)\Desktop BCN Drivers.exe :: 시작 프로그램(aceenter2Bacon) 등록 파일, 메모리 상주 프로세스
C:\Program Files (x86)\Desktop BCN Drivers (x86)\EasyHttp.dll
C:\Program Files (x86)\Desktop BCN Drivers (x86)\EntityFramework.dll
C:\Program Files (x86)\Desktop BCN Drivers (x86)\EntityFramework.SqlServer.dll
C:\Program Files (x86)\Desktop BCN Drivers (x86)\JsonFx.dll
C:\Program Files (x86)\Desktop BCN Drivers (x86)\MasterDevs.ChromeDevTools.dll
C:\Program Files (x86)\Desktop BCN Drivers (x86)\MasterDevs.ChromeDevTools.Sample.dll
C:\Program Files (x86)\Desktop BCN Drivers (x86)\Newtonsoft.Json.dll
C:\Program Files (x86)\Desktop BCN Drivers (x86)\SQLite.Interop.dll
C:\Program Files (x86)\Desktop BCN Drivers (x86)\System.Data.SQLite.dll
C:\Program Files (x86)\Desktop BCN Drivers (x86)\System.Data.SQLite.EF6.dll
C:\Program Files (x86)\Desktop BCN Drivers (x86)\System.Data.SQLite.Linq.dll
C:\Program Files (x86)\Desktop BCN Drivers (x86)\unins000.dat
C:\Program Files (x86)\Desktop BCN Drivers (x86)\unins000.exe :: 프로그램 삭제 파일
C:\Program Files (x86)\Desktop BCN Drivers (x86)\unins000.msg
C:\Program Files (x86)\Desktop BCN Drivers (x86)\WebSocket4Net.dll
C:\ProgramData\AceEnter
C:\Users\%UserName%\AppData\Local\AceEnter

C:\Users\%UserName%\AppData\Local\AceEnter\config
C:\Users\%UserName%\AppData\Local\AceEnter\environment_Bacon_2

C:\Users\%UserName%\AppData\Local\AceEnter\sync_time

 

 

 

"ACE Ent" 디지털 서명이 포함된 "Desktop BCN Drivers (x86) 버전 1.8.1" 광고 프로그램은 "C:\Program Files (x86)\Desktop BCN Drivers (x86)" 폴더에 주요 파일을 생성합니다.

 

Windows 시작 시 aceenter2Bacon 시작 프로그램 등록값을 통해 "C:\Program Files (x86)\Desktop BCN Drivers (x86)\Desktop BCN Drivers.exe" 파일(SHA-1 : e09143a1b2772363684179f7048bf150b767c3cd)을 자동 실행하도록 구성되어 있습니다.

 

 

자동 실행된 Desktop BCN Drivers.exe 프로세스는 메모리에 상주하여 다음과 같은 추가적인 광고 설정값을 체크합니다.

 

 

이를 통해 사용자가 웹 브라우저를 통해 특정 웹 사이트에 접속할 경우 바탕 화면 및 즐겨찾기 영역에 해당 사이트 접속을 위한 바로 가기 아이콘을 생성할 수 있습니다.

 

 

생성된 바로 가기 아이콘 연결 정보를 확인해보면 드림서치(dreamsearch.or.kr) 광고 서버를 경유하여 사이트에 접속하는 구조로 되어 있습니다.

 

만약 사용자가 해당 바로 가기 아이콘을 삭제할 경우 다시 사용자 접속 사이트를 모니터링하다가 표적 사이트에 접속할 경우 광고 코드가 포함된 바로 가기 아이콘을 재생성할 수 있습니다.

 

"Desktop BCN Drivers (x86) 버전 1.8.1" 광고 프로그램 제거 방법

 

(a) 작업 관리자를 실행하여 메모리에 상주하는 Desktop BCN Drivers.exe 프로세스를 찾아 종료하시기 바랍니다.

 

 

(b) 설정(제어판)의 앱 및 기능(프로그램 및 기능)에 등록된 "Desktop BCN Drivers (x86) 버전 1.8.1" 프로그램을 찾아 제거하시기 바라며, 추가적으로 바탕 화면 및 즐겨찾기에 생성된 바로 가기 아이콘 및 "C:\ProgramData\AceEnter" 폴더와 "C:\Users\%UserName%\AppData\Local\AceEnter" 폴더를 찾아 직접 삭제하시기 바랍니다.

 

생성 레지스트리 등록 정보

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - aceenter2Bacon = C:\Program Files (x86)\Desktop BCN Drivers (x86)\Desktop BCN Drivers.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{CCDBA92B-B053-4643-9005-7973D30AC90D}_is1

 

 

"Desktop BCN Drivers (x86) 버전 1.8.1" 광고 프로그램은 이름으로는 광고 기능을 가진 것으로 판단하기 매우 어려우며, 해당 광고 프로그램 시리즈는 2018년 1월경에도 Network Retarget (x64) 버전 1.7.3 또는 Windows System Icon 버전 1.7.1 이름으로도 배포된 적이 있는 것으로 확인되므로 참고하시기 바랍니다.

블로그 이미지

울지않는 벌새

울지않는벌새가 되고 싶은 나..