Polaris Office 프로그램의 업데이트 완료 시점에서 추가되어 사용자의 부주의로 인해 자동 설치될 수 있는 3종의 제휴 프로그램 중 "Microsystem NTB Vision (x86) 버전 2.8.2" 광고 프로그램(SHA-1 : f1c5f6ebc7a38859b0d8c789f780a12445fee70c)에 대해 살펴보도록 하겠습니다.

 

 

해당 광고 프로그램은 설치 시 실행 중인 파일 중 다음과 같은 파일명을 가진 프로세스가 존재할 경우 종료 처리한 후 설치가 진행됩니다.

 

taskkill.exe /f /im BaconProgram.exe
taskkill.exe /f /im Microsystem NTB Vision.exe
taskkill.exe /f /im NewTabProgram.exe
taskkill.exe /f /im NewWindowProgram.exe

생성 폴더 / 파일 등록 정보

 

C:\Program Files (x86)\Microsystem NTB Vision (x86)
C:\Program Files (x86)\Microsystem NTB Vision (x86)\x64
C:\Program Files (x86)\Microsystem NTB Vision (x86)\x64\SQLite.Interop.dll
C:\Program Files (x86)\Microsystem NTB Vision (x86)\x86
C:\Program Files (x86)\Microsystem NTB Vision (x86)\x86\SQLite.Interop.dll
C:\Program Files (x86)\Microsystem NTB Vision (x86)\EasyHttp.dll
C:\Program Files (x86)\Microsystem NTB Vision (x86)\EntityFramework.dll
C:\Program Files (x86)\Microsystem NTB Vision (x86)\EntityFramework.SqlServer.dll
C:\Program Files (x86)\Microsystem NTB Vision (x86)\JsonFx.dll
C:\Program Files (x86)\Microsystem NTB Vision (x86)\MasterDevs.ChromeDevTools.dll
C:\Program Files (x86)\Microsystem NTB Vision (x86)\MasterDevs.ChromeDevTools.Sample.dll
C:\Program Files (x86)\Microsystem NTB Vision (x86)\Microsystem NTB Vision.exe :: 시작 프로그램(aceenter2NewTab) 등록 파일, 메모리 상주 프로세스
C:\Program Files (x86)\Microsystem NTB Vision (x86)\Newtonsoft.Json.dll
C:\Program Files (x86)\Microsystem NTB Vision (x86)\SQLite.Interop.dll
C:\Program Files (x86)\Microsystem NTB Vision (x86)\System.Data.SQLite.dll
C:\Program Files (x86)\Microsystem NTB Vision (x86)\System.Data.SQLite.EF6.dll
C:\Program Files (x86)\Microsystem NTB Vision (x86)\System.Data.SQLite.Linq.dll
C:\Program Files (x86)\Microsystem NTB Vision (x86)\unins000.dat
C:\Program Files (x86)\Microsystem NTB Vision (x86)\unins000.exe :: 프로그램 삭제 파일
C:\Program Files (x86)\Microsystem NTB Vision (x86)\unins000.msg
C:\Program Files (x86)\Microsystem NTB Vision (x86)\WebSocket4Net.dll
C:\ProgramData\AceEnter
C:\Users\%UserName%\AppData\Local\AceEnter
C:\Users\%UserName%\AppData\Local\AceEnter\config
C:\Users\%UserName%\AppData\Local\AceEnter\environment_NewTab_2
C:\Users\%UserName%\AppData\Local\AceEnter\sync_time

 

 

 

"ACE Ent" 디지털 서명이 포함된 "Microsystem NTB Vision (x86) 버전 2.8.2" 광고 프로그램은 "C:\Program Files (x86)\Microsystem NTB Vision (x86)" 폴더에 주요 파일을 생성합니다.

 

Windows 시작 시 aceenter2NewTab 시작 프로그램 등록값을 통해 "C:\Program Files (x86)\Microsystem NTB Vision (x86)\Microsystem NTB Vision.exe" 파일(SHA-1 : 6366a31fff55d39636d7c12bfbd846a132612252)을 자동 실행하여 메모리에 상주하도록 구성되어 있습니다.

 

해당 광고 프로그램이 설치된 경우 Internet Explorer 웹 브라우저의 새 탭이 열릴 경우 "새 탭 페이지"로 열리도록 설정을 변경하며, 기본적으로 Internet Explorer 웹 브라우저의 새 탭 페이지는 자주 방문하는 사이트가 썸네일 방식으로 표시됩니다.

 

 

하지만 "Microsystem NTB Vision (x86) 버전 2.8.2" 광고 프로그램이 설치된 환경에서는 새 탭을 오픈할 경우 "MSN Search" 페이지로 연결되어 기본 포털 사이트와 함께 제휴 코드(linkprice.com, dreamsearch.or.kr)가 포함된 다양한 웹 사이트 연결 정보가 노출됩니다.

 

 

MSN Search 새 탭 연결 정보를 세부적으로 확인해보면 "msnsearch.co.kr" 도메인 정보로 연결된 것을 알 수 있습니다.

 

"Microsystem NTB Vision (x86) 버전 2.8.2" 광고 프로그램 제거 방법

 

 

(a) 작업 관리자를 실행하여 메모리에 상주하는 Microsystem NTB Vision.exe 프로세스를 찾아 종료하시기 바랍니다.

 

 

(b) 설정(제어판)의 앱 및 기능(프로그램 및 기능)에 등록된 "Microsystem NTB Vision (x86) 버전 2.8.2" 프로그램을 찾아 제거하시기 바라며, 프로그램 제거 후 "C:\ProgramData\AceEnter" 폴더와 "C:\Users\%UserName%\AppData\Local\AceEnter" 폴더를 찾아 직접 삭제하시기 바랍니다.

 

생성 레지스트리 등록 정보

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - aceenter2NewTab = C:\Program Files (x86)\Microsystem NTB Vision (x86)\Microsystem NTB Vision.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{CF2DFAC8-E75D-430C-9ECB-0AAC4DB505A1}_is1

 

 

"Microsystem NTB Vision (x86) 버전 2.8.2" 프로그램 이름으로는 광고 프로그램으로 판단하기 매우 어려우며, 웹 브라우저의 기본 설정 정보를 변경하여 주소가 노출되지 않는 광고탭이 생성되어 불편을 유발할 수 있으므로 설치되지 않도록 주의하시기 바랍니다.

 

블로그 이미지

울지않는 벌새

울지않는벌새가 되고 싶은 나..