인터넷 검색시 추가적인 광고창을 자동으로 생성하는 검색 도우미 "PC Clean Optimizer" 프로그램에 대해 살펴보도록 하겠습니다.
해당 프로그램의 설치 파일(MD5 : 18d45fb1eb0ab5bd728165d7a62f6654)에 대하여 AhnLab V3 보안 제품에서는 PUP/Win32.Helper (VT : 4/46) 진단명으로 진단되고 있습니다.
▶ <2011년 관련 정보> 검색 도우미 : Window network SafeTerra + TSolution (2011.10.17) 외 3종
▶ <2012년 관련 정보> 검색 도우미 : GGreenSvc2 (2012.12.6) 외 4종
▷ 검색 도우미 : InternetSafeZone (2013.1.22)
▷ 국내 악성코드 : KeywordYac (2013.2.26)
▷ 검색 도우미 : IProtect (2013.4.8)
또한 기존에 유사성이 강한 다양한 이름의 검색 도우미 프로그램들이 존재하였으므로 참고하시기 바랍니다.
프로그램 설치 과정에서는 특정 서버로부터 "PC Clean Optimizer" 프로그램의 설치 파일(MD5 : fff21265ac4f8ad370ef8695d931bb61)을 다운로드하여 "C:\Documents and Settings\(사용자 계정)\Templates\PCOInstall_5.exe" 파일로 생성하며, 설치가 완료된 후에는 자가 삭제 처리되도록 제작되어 있습니다.
C:\Program Files\PCO
C:\Program Files\PCO\PCO.exe :: 메모리 상주 프로세스
C:\Program Files\PCO\PCOUpdate.exe :: 시작 프로그램 등록 파일
C:\Program Files\PCO\unins000.dat
C:\Program Files\PCO\unins000.exe :: 프로그램 삭제 파일
C:\Program Files\PCO\PCO.exe
- MD5 : 75be562644a878bc184dd5357838a86f
- AhnLab V3 : PUP/Win32.Helper (VT : 3/46)
C:\Program Files\PCO\PCOUpdate.exe
- MD5 : e7aad1fc5bfb38951d96c1bfe819cac1
- AhnLab V3 : PUP/Win32.Helper (VT : 1/46)
해당 프로그램은 "C:\Program Files\PCO" 폴더에 파일을 생성하며, Windows 시작시 "C:\Program Files\PCO\PCOUpdate.exe" 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.
이를 통해 자동 실행된 파일은 "C:\Program Files\PCO\PCO.exe" 파일을 로딩하며, 프로그램 업데이트 및 광고 구성값 체크를 수행합니다.
프로그램이 설치된 환경에서 인터넷 검색시 추가적인 광고창이 생성되는 광고 행위를 확인할 수 있습니다.
해당 광고 동작은 메모리에 상주하는 PCO.exe 프로세스를 통해 이루어지므로, 프로그램 삭제시에는 Windows 작업 관리자를 실행하여 PCO.exe 프로세스를 찾아 수동으로 종료하시기 바랍니다.
프로그램 삭제는 제어판에 등록된 "PC Clean Optimizer" 삭제 항목을 이용하여 삭제할 수 있습니다.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- PC_Clean_Optimizer = C:\Program Files\PCO\PCOUpdate.exe
HKEY_CURRENT_USER\Software\PCO
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{5273F545-7D19-4ABA-8208-E9BF1AE38C30}_is1
해당 프로그램의 이름은 PC 최적화 프로그램처럼 등록되어 있지만, 실제적인 행위는 광고창 생성을 통한 수익 창출 방식이므로 사용자가 혼동하지 않도록 주의하시기 바랍니다.