국내 악성코드 : pop2click

특정 인터넷 쇼핑몰 접속시 사용자 몰래 광고 코드가 추가되는 검색 도우미 pop2click 프로그램에 대해 살펴보도록 하겠습니다.

 

해당 프로그램의 설치 파일(MD5 : 7e02db717a6f8d66e446727cf1b1c8ef)에 대하여 AhnLab V3 보안 제품에서는 PUP/Win32.TotalLink (VirusTotal : 8/41) 진단명으로 진단되고 있습니다.

 

  ▷ 검색 도우미 : qpscd (2012.3.21)

 

  ▷ 검색 도우미 : tpnbbs (2012.3.23)

 

  ▷ 검색 도우미 : mrsph (2012.4.17)

 

해당 프로그램은 다양한 이름을 가진 유사성이 강한 프로그램이 존재하였으므로 참고하시기 바랍니다.

GET /****/pop2click/pop2click.zip HTTP/1.1
Content-Type: text/html
Host: ****.tmqrhks.com
Accept: text/html, */*
User-Agent: Mozilla/3.0 (compatible; Indy Library)

설치 파일이 실행되면 특정 서버로부터 pop2click 관련 파일이 포함된 pop2click.zip 압축 파일을 다운로드하여 설치가 진행됩니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Program Files\pop2click
C:\Program Files\pop2click\pop2click.dll :: BHO 등록 파일
C:\Program Files\pop2click\pop2click.zip
C:\Program Files\pop2click\pop2clickuninst.exe :: 프로그램 삭제 파일

 

[생성 파일 진단 정보]

 

C:\Program Files\pop2click\pop2click.dll
 - MD5 : 69ef91a54672d518880266fa2bb9cb32
 - AhnLab V3 : Win-Adware/Pop2Click.591872 (VirusTotal : 25/42)

 

C:\Program Files\pop2click\pop2clickuninst.exe
 - MD5 : 44444da2df6b6f08b9884125a353f4a8
 - AhnLab V3 : Win-Adware/Pop2Click.580096 (VirusTotal : 2/42)

 

해당 프로그램은 "C:\Program Files\pop2click" 폴더에 파일을 생성하며, Internet Explorer 웹 브라우저를 통해 프로그램이 지정한 특정 인터넷 쇼핑몰 웹 사이트 접속시 동작하도록 구성되어 있습니다. 

예를 들어 11번가, G마켓, 옥션, 우체국 쇼핑 등 인터넷 쇼핑몰에 접속하는 과정에서 사용자 몰래 특정 광고 코드(click.linkprice.com)가 추가되며, 이를 통해 조건을 만족시킬 경우 프로그램 제작자(배포자)에게 금전적 수익이 발생할 것으로 보입니다. 

[추가 기능 관리 : 도구 모음 및 확장 프로그램]

 

이름 : pop2click

유형 : 브라우저 도우미 개체

CLSID : {01266880-8556-4AC8-8871-0D4BF461FA0F}

파일 : C:\Program Files\pop2click\pop2click.dll

 

해당 프로그램은 Internet Explorer 웹 브라우저 실행시 iexplore.exe 프로세스에 pop2click.dll 파일을 브라우저 도우미 개체(BHO)로 등록하여, 프로그램에서 지정한 인터넷 쇼핑몰 접속시 광고 코드를 추가하는 동작을 하도록 제작되어 있습니다.

 

그러므로 광고 동작의 중지를 위해서는 웹 브라우저의 추가 기능 관리에 등록된 "pop2click" 항목을 선택하여 "사용 안 함"으로 변경하시기 바랍니다. 

프로그램 삭제시에는 Internet Explorer 웹 브라우저를 종료한 상태에서 제어판의 "pop2click" 삭제 항목을 이용하여 삭제할 수 있습니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\pop2click
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{01266880-8556-4AC8-8871-0D4BF461FA0F}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\

Browser Helper Objects\{01266880-8556-4AC8-8871-0D4BF461FA0F}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\

pop2click

 

해당 프로그램은 프로그램 목록에 제시되지 않는 문제로 설치 여부를 확인하기 어려우며, 인터넷 쇼핑몰 이용시 원치 않는 상대방에게 금전적 혜택을 지속적으로 제공할 수 있으므로 주의하시기 바랍니다.