인터넷 검색시 추가적인 광고창을 생성하는 검색 도우미 "Window Popmulticare" 프로그램(MD5 : 18e1fa11c7396c32edee1ccdf66ddef8)에 대해 살펴보도록 하겠습니다.
▶ <2011년~2012년 관련 정보> 검색 도우미 : Windows Plus (2012.12.11) 외 10종
▷ [삭제] Windowsoffice (2013.1.2)
▷ [삭제] Microsofts Winsrv64 (2013.1.3)
해당 프로그램은 기존에 다양한 이름의 변종 프로그램이 존재하였으므로 참고하시기 바랍니다.
C:\Documents and Settings\All Users\Application Data\Microsoft\popmulticare
C:\Documents and Settings\All Users\Application Data\Microsoft\popmulticare\makeguid.dll
C:\Documents and Settings\All Users\Application Data\Microsoft\popmulticare\popfree.exe
C:\Documents and Settings\All Users\Application Data\Microsoft\popmulticare\popmulticare_v1.dll :: BHO 등록 파일
C:\Documents and Settings\All Users\Application Data\Microsoft\popmulticare\popmulticare.dat
C:\Documents and Settings\All Users\Application Data\Microsoft\popmulticare\popmulticare.exe
C:\Documents and Settings\All Users\Application Data\Microsoft\popmulticare\unins000.dat
C:\Documents and Settings\All Users\Application Data\Microsoft\popmulticare\unins000.exe :: 프로그램 삭제 파일
C:\WINDOWS\system32\pmplay.exe :: 서비스(Windows Pop Object) 등록 파일 / 메모리 상주 프로세스
C:\WINDOWS\system32\popm.exe
※ popmulticare_v1.dll 파일은 프로그램 버전에 따라 popmulticare_v(숫자).dll 패턴으로 변경될 수 있습니다.
C:\Documents and Settings\All Users\Application Data\Microsoft\popmulticare\popmulticare.exe
- MD5 : 1c023106817e18b92a258d74e5994a8d
- AhnLab V3 : PUP/Win32.WindowsLiveProtect (VirusTotal : 5/46)
해당 프로그램은 마이크로소프트(Microsoft) 관련 폴더 내에 폴더를 생성하여 사용자의 눈을 속이고 있으며, 숨김(H) 속성 값을 가진 폴더 내의 "C:\Documents and Settings\All Users\Application Data\Microsoft\popmulticare" 폴더에 파일을 생성합니다.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- popmulticare = C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\popmulticare\popmulticare.exe
시작 프로그램(Run) 레지스트리 값에 등록된 popmulticare.exe 파일의 경로가 사용자 계정 폴더로 지정되어 있는 문제로 인해 자동 실행되지 않습니다.
대신 "wpmplay(Windows Pop Object)" 서비스 항목을 등록하여 시스템 시작시 "C:\WINDOWS\system32\pmplay.exe" 파일을 자동 실행하도록 구성되어 있습니다.
자동 실행된 서비스 파일(pmplay.exe)은 특정 서버로부터 업데이트 체크를 수행하며, 추가적으로 "popmulticare.exe → popfree.exe" 순으로 로딩하여 자신을 메모리에 상주시킵니다.
프로그램이 설치된 환경에서 사용자가 인터넷 검색을 시도할 경우 추가적인 광고창을 생성하는 동작을 확인할 수 있습니다.
해당 광고창 생성은 특정 광고 API에 등록된 정보를 받아와서 이루어지고 있는 것을 확인할 수 있습니다.
이름 : popmulticare Class
게시자 : keimc
유형 : 브라우저 도우미 개체
CLSID : {1A64F9EC-2126-45FB-9598-7A918ADBAAB0}
파일 : C:\Documents and Settings\All Users\Application Data\Microsoft\popmulticare\popmulticare_v1.dll
해당 프로그램은 Internet Explorer 웹 브라우저 실행시 popmulticare_v1.dll 파일을 브라우저 도우미 개체(BHO)로 등록하여 사용자 검색 키워드 값을 참조하여 광고창을 생성하도록 제작되어 있습니다.
그러므로 광고 동작의 중지를 위해서는 웹 브라우저의 추가 기능 관리에 등록된 "popmulticare Class" 항목을 선택하여 "사용 안 함"으로 변경하시기 바랍니다.
프로그램 삭제를 위해서는 우선 Windows 작업 관리자를 실행하여 메모리에 상주하는 pmplay.exe 프로세스를 찾아 수동으로 종료하시기 바랍니다.
그 후 Internet Explorer 웹 브라우저를 종료한 상태에서 제어판의 "Window Popmulticare" 삭제 항목을 이용하여 프로그램을 삭제할 수 있습니다.
프로그램 삭제 후에는 추가적으로 "C:\WINDOWS\system32\popm.exe" 파일을 찾아 수동으로 삭제하시기 바랍니다.
HKEY_LOCAL_MACHINE\SOFTWARE\AppDataLow
- popInst = 1
HKEY_LOCAL_MACHINE\SOFTWARE\AppDataLow\popmulticare
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1A64F9EC-2126-45FB-9598-7A918ADBAAB0}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{17727A1A-BBBC-342A-BAEE-A6D1B7BE61CB}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\popmulticare.popmulticare
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{170E4DCE-AFAD-35E8-AB93-74950AFEEA4A}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{1A64F9EC-2126-45FB-9598-7A918ADBAAB0}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- popmulticare = C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\popmulticare\popmulticare.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
popmulticare_is1
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WPMPLAY
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wpmplay
"Window Popmulticare" 프로그램은 폴더 위치가 사용자가 확인하기 어려운 곳에 등록되어 있으며, 인터넷 검색시 원치 않는 광고창이 생성되므로 주의하시기 바랍니다.