Polaris Office 프로그램이 상위 버전으로 업데이트되는 과정에서 사용자가 부주의할 수 있는 시점에서 제휴 프로그램을 추가하여 자동 설치가 될 수 있는 3종의 광고 프로그램 중 "Redirect NWD 64bit (x86) 버전 3.8.3" 프로그램(SHA-1 : 73a9ca932e23fd769dfc47e2bc53b51785b51be4)에 대해 살펴보도록 하겠습니다.

 

 

해당 광고 프로그램은 설치 과정에서 다음과 같은 프로세스 이름이 존재할 경우 종료 처리한 후 설치가 진행되도록 구성되어 있습니다.

 

taskkill.exe /f /im BaconProgram.exe
taskkill.exe /f /im NewTabProgram.exe
taskkill.exe /f /im NewWindowProgram.exe
taskkill.exe /f /im Redirect NWD 64bit.exe

생성 폴더 / 파일 등록 정보

 

C:\Program Files (x86)\Redirect NWD 64bit (x86)
C:\Program Files (x86)\Redirect NWD 64bit (x86)\EasyHttp.dll
C:\Program Files (x86)\Redirect NWD 64bit (x86)\EntityFramework.dll
C:\Program Files (x86)\Redirect NWD 64bit (x86)\EntityFramework.SqlServer.dll
C:\Program Files (x86)\Redirect NWD 64bit (x86)\JsonFx.dll
C:\Program Files (x86)\Redirect NWD 64bit (x86)\MasterDevs.ChromeDevTools.dll
C:\Program Files (x86)\Redirect NWD 64bit (x86)\MasterDevs.ChromeDevTools.Sample.dll
C:\Program Files (x86)\Redirect NWD 64bit (x86)\Newtonsoft.Json.dll
C:\Program Files (x86)\Redirect NWD 64bit (x86)\Redirect NWD 64bit.exe :: 시작 프로그램(aceenter2NewWindow) 등록 파일, 메모리 상주 프로세스
C:\Program Files (x86)\Redirect NWD 64bit (x86)\SQLite.Interop.dll
C:\Program Files (x86)\Redirect NWD 64bit (x86)\System.Data.SQLite.dll
C:\Program Files (x86)\Redirect NWD 64bit (x86)\System.Data.SQLite.EF6.dll
C:\Program Files (x86)\Redirect NWD 64bit (x86)\System.Data.SQLite.Linq.dll
C:\Program Files (x86)\Redirect NWD 64bit (x86)\unins000.dat
C:\Program Files (x86)\Redirect NWD 64bit (x86)\unins000.exe :: 프로그램 삭제 파일
C:\Program Files (x86)\Redirect NWD 64bit (x86)\unins000.msg
C:\Program Files (x86)\Redirect NWD 64bit (x86)\WebSocket4Net.dll
C:\Program Files (x86)\Redirect NWD 64bit (x86)\x64
C:\Program Files (x86)\Redirect NWD 64bit (x86)\x64\SQLite.Interop.dll
C:\Program Files (x86)\Redirect NWD 64bit (x86)\x86
C:\Program Files (x86)\Redirect NWD 64bit (x86)\x86\SQLite.Interop.dll
C:\ProgramData\AceEnter
C:\Users\%UserName%\AppData\Local\AceEnter
C:\Users\%UserName%\AppData\Local\AceEnter\config
C:\Users\%UserName%\AppData\Local\AceEnter\environment_NewWindow_2
C:\Users\%UserName%\AppData\Local\AceEnter\sync_time

 

 

 

"ACE Ent" 디지털 서명이 포함된 "Redirect NWD 64bit (x86) 버전 3.8.3" 광고 프로그램은 "C:\Program Files (x86)\Redirect NWD 64bit (x86)" 폴더에 주요 파일을 생성합니다.

 

Windows 시작 시 aceenter2NewWindow 시작 프로그램 등록값을 통해 "C:\Program Files (x86)\Redirect NWD 64bit (x86)\Redirect NWD 64bit.exe" 파일(SHA-1 : 1a5eb11278f612ab7dfff9207e1ed998a0440579)을 자동 실행하여 메모리에 상주하도록 구성되어 있습니다.

 

 

광고 기능을 살펴보면 Redirect NWD 64bit.exe 파일은 "C:\Users\%UserName%\AppData\Local\AceEnter\config" 구성 파일에 추가된 다양한 URL 값을 참조하여 사용자가 해당 사이트에 접속할 경우 드림서치(dreamsearch.or.kr) 광고 서버를 경유한 광고 사이트를 추가적으로 오픈하도록 제작되어 있습니다.

 

 

실제 광고 행위가 이루어진 웹 브라우저 상태를 확인해보면 사용자가 포털 사이트에서 인터넷 검색을 통해 언론사 사이트에 접속할 경우 광고 사이트가 자동으로 오픈되는 구조입니다.

 

"Redirect NWD 64bit (x86) 버전 3.8.3" 광고 프로그램 제거 방법

 

 

(a) 작업 관리자를 실행하여 메모리에 상주하는 Redirect NWD 64bit.exe 프로세스를 찾아 종료하시기 바랍니다.

 

 

(b) 설정(제어판)의 앱 및 기능(프로그램 및 기능)에 등록된 "Redirect NWD 64bit (x86) 버전 3.8.3" 프로그램을 찾아 제거하시기 바라며, 프로그램 제거 후에는 다음과 같은 폴더를 찾아 추가적으로 직접 삭제하시기 바랍니다.

 

  • C:\ProgramData\AceEnter
  • C:\Users\%UserName%\AppData\Local\AceEnter

 

생성 레지스트리 등록 정보

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - aceenter2NewWindow = C:\Program Files (x86)\Redirect NWD 64bit (x86)\Redirect NWD 64bit.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{D742FEF5-49A6-4F0E-AFD1-15733470319F}_is1

 

 

제휴 프로그램을 통해 설치된 "Redirect NWD 64bit (x86) 버전 3.8.3" 광고 프로그램 이름으로는 광고 기능을 수행한다고 의심하기 매우 어려우며, 설치로 인하여 원치않는 다양한 광고창이 생성되어 불편을 유발할 수 있으므로 주의하시기 바랍니다.

 

블로그 이미지

울지않는 벌새

울지않는벌새가 되고 싶은 나..