본문 바로가기

벌새::Analysis

포털 사이트에 추가되는 MemoThis 광고 주의 (2011.11.3)

국내 유명 인터넷 쇼핑몰 및 서점 등을 통해 알리미 위젯으로 소개되는 ActiveX를 설치할 경우 사용자가 인지하지 못하는 폴더 위치에 광고 프로그램을 추가하여 포털 사이트에 배너 광고를 생성하는 동작을 확인하였습니다.

 

개인적으로 해당 ActiveX는 2011년 8~9월경에 최초 확인한 것으로 기억되며 알리미 위젯 설치로 인하여 포털 사이트를 이용시 불편을 유발할 수 있습니다.

해당 알리미 위젯 ActiveX를 설치하는 과정에서는 이용약관 제시 등의 과정이 포함되어 있지 않으며, 설치 완료 후에는 해당 배포 사이트에서 제공하는 안내 페이지를 통해 이벤트 관련 정보를 노출한다고 표현되어 있는 수준입니다.

[생성 폴더 / 파일 등록 정보]

C:\Documents and Settings\(사용자 계정)\Application Data\MemoThis
C:\Documents and Settings\(사용자 계정)\Application Data\MemoThis\data
C:\Documents and Settings\(사용자 계정)\Application Data\MemoThis\data\adsthis.data
C:\Documents and Settings\(사용자 계정)\Application Data\MemoThis\Hiverion.dll
C:\Documents and Settings\(사용자 계정)\Application Data\MemoThis\lang
C:\Documents and Settings\(사용자 계정)\Application Data\MemoThis\lang\memo-string.1033
C:\Documents and Settings\(사용자 계정)\Application Data\MemoThis\lang\memo-string.1042
C:\Documents and Settings\(사용자 계정)\Application Data\MemoThis\memo-client.properties
C:\Documents and Settings\(사용자 계정)\Application Data\MemoThis\MemoThis.dll :: BHO 등록 파일
C:\Documents and Settings\(사용자 계정)\Application Data\MemoThis\uninstall.exe :: 프로그램 삭제 파일
C:\Documents and Settings\(사용자 계정)\Application Data\MemoThis\Updater.exe :: 시작 프로그램 등록 파일
C:\Documents and Settings\(사용자 계정)\Application Data\MemoThis\vcredist_x86_en.exe

해당 프로그램은 사용자가 제대로 인지할 수 없는 [C:\Documents and Settings\(사용자 계정)\Application Data\MemoThis] 폴더에 파일을 생성하며, Windows 시작시 Updater.exe 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.

 

프로그램이 설치된 환경에서 네이버(Naver) 메인 화면에 접속할 경우 웹 브라우저 좌측 85 Pixel 위치에 [Powered By MemoThis]라는 광고 배너가 생성되는 것을 확인할 수 있습니다.

참고로 해당 광고 배너는 Pixel 고정값 위치로 동작하여 웹 브라우저 상태에 따라서는 위와 같이 포털 사이트에서 제공하는 콘텐츠를 가리는 모습도 확인할 수 있습니다.

 

또한 해당 광고 배너는 포털 사이트 검색 결과창의 우측 사이드 영역에 동일하게 생성하는 동작을 확인할 수 있습니다.

 

해당 광고 배너는 약 15초 간격으로 특정 광고 서버로부터 광고를 받아오면서 변경이 이루어지는 동작을 확인할 수 있습니다.

 

MemoThis 광고 배너는 네이버(Naver)를 비롯하여 다음(Daum), 네이트(Nate), 파란(Paran), 야후(Yahoo), 구글(Google) 등 다수의 포털 사이트에서 동일한 광고 행위를 하는 것을 확인할 수 있습니다.

 

[추가 기능 관리 : 도구 모음 및 확장 프로그램]

이름 : ActionInfo Class
게시자 : ISFORU Co. Ltd.
유형 : ActiveX 컨트롤
CLSID : {A595CAC1-D102-495A-9301-84483913E1E6}
파일 : C:\Documents and Settings\(사용자 계정)\Application Data\MemoThis\Hiverion.dll

이름 : MemoThis
게시자 : ISFORU Co. Ltd.
유형 : 브라우저 도우미 개체
CLSID : {C9F82DA9-F2FC-4AC0-86C2-A34A5C4E9073}
파일 : C:\Documents and Settings\(사용자 계정)\Application Data\MemoThis\MemoThis.dll

해당 프로그램은 ActiveX 설치 방식으로 배포가 이루어지고 있으며, Internet Explorer 웹 브라우저를 실행할 경우 iexplore.exe 프로세스에 MemoThis.dll 파일을 BHO 방식으로 추가하여 광고 배너를 노출하고 있습니다.

 

프로그램 삭제시에는 Internet Explorer 웹 브라우저를 종료한 상태에서 제어판의 [대교리브로 알리미 위젯] 삭제 항목을 이용하여 삭제하실 수 있습니다.

만약 다른 웹 사이트에서 제공하는 알리미 위젯 ActiveX를 이용하여 설치한 경우에는 삭제 항목의 이름이 다를 수 있으므로 참고하시기 바랍니다.(※ 예 : 여인닷컴 알리미 위젯)

[생성 레지스트리 등록 정보]

HKEY_CURRENT_USER\Environment
 - Path = C:\Documents and Settings\(사용자 계정)\Application Data\MemoThis
HKEY_CURRENT_USER\Software\Hiverion
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{A595CAC1-D102-495A-9301-84483913E1E6}
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{C9F82DA9-F2FC-4AC0-86C2-A34A5C4E9073}
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{A595CAC1-D102-495A-9301-84483913E1E6}
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{A595CAC1-D102-495A-9301-84483913E1E6}
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{C9F82DA9-F2FC-4AC0-86C2-A34A5C4E9073}
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - WidgetUpdater = "C:\Documents and Settings\(사용자 계정)\Application Data\MemoThis\Updater.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\Hiverion.DLL
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\MemoThis.DLL
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\{44EB2515-AFC4-4FA8-BAF0-E0FFBD5D0A6D}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\{D1F78F84-6486-4532-AD30-C44235B13A63}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A595CAC1-D102-495A-9301-84483913E1E6}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{C9F82DA9-F2FC-4AC0-86C2-A34A5C4E9073}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Hiverion.ActionInfo
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Hiverion.ActionInfo.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{8F74E245-9A0B-410A-8D70-CB77FFF863A1}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{E8163BA4-A2CF-4668-A320-41513A414994}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\MemoThis.MemoThisBand
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\MemoThis.MemoThisBand.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{1992DB43-042F-4C15-B0FC-7D933E56F116}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{DAB2991F-2E31-42D1-AFBF-74CC688E1466}
HKEY_LOCAL_MACHINE\SOFTWARE\MemoThis
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{A595CAC1-D102-495A-9301-84483913E1E6}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C9F82DA9-F2FC-4AC0-86C2-A34A5C4E9073}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{A595CAC1-D102-495A-9301-84483913E1E6}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{C9F82DA9-F2FC-4AC0-86C2-A34A5C4E9073}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\MemoThis

최초 해당 알리미 위젯 프로그램이 설치되는 과정에서는 MemoThis라는 문구 자체를 확인할 수 없는 반면 광고 동작 과정에서는 ActiveX 설치와 MemoThis를 연결시키기란 쉬운게 아닙니다.

또한 프로그램 목록에 제시되지 않는 문제로 인하여 사용자는 해당 MemoThis 광고 프로그램의 설치 여부를 확인하기 어렵다는 문제가 있습니다.

그러므로 인터넷 상에서 제공하는 유명 사이트 ActiveX일지라도 해당 프로그램을 반드시 설치해야지만 이용이 가능한 것이 아니라면 무조건 설치하는 일이 없도록 주의해야 할 것입니다.