국내에서 제작된 메모리 최적화 프로그램을 설치하여 특정 시점에서 시스템 시작시 추가적인 수익성 프로그램의 설치를 유도할 수 있는 CleanMemory 프로그램에 대해 살펴보도록 하겠습니다.
해당 프로그램의 설치 파일(MD5 : 30dd0a2709784ffa2df269ec6b4828d8)에 대하여 Hauri ViRobot 보안 제품에서는 Adware.Agent.348113 (VT : 7/47) 진단명으로 진단되고 있습니다.
▷ <Right Security Blog> 제휴(스폰서) 프로그램 : 스마트 메모리(Smart Memory) (2012.5.25)
▷ <Right Security Blog> 제휴(스폰서) 프로그램 : OutMemory (2012.11.22)
해당 프로그램과 유사한 기능을 가진 메모리 최적화 프로그램들이 존재하였으므로 참고하시기 바랍니다.
C:\Documents and Settings\All Users\시작 메뉴\프로그램\CleanMemory
C:\Documents and Settings\All Users\시작 메뉴\프로그램\CleanMemory\CleanMemory.lnk
C:\Documents and Settings\All Users\시작 메뉴\프로그램\CleanMemory\Uninstall.lnk
C:\Program Files\CleanMemory
C:\Program Files\CleanMemory\CleanMemory.exe :: 프로그램 실행 파일
C:\Program Files\CleanMemory\CleanMemUD.exe :: 시작 프로그램 등록 파일
C:\Program Files\CleanMemory\uninstall.exe :: 프로그램 삭제 파일
C:\Program Files\CleanMemory\uninstall.exe
- MD5 : 9238cc74015c9d2e42d2ccdb00a8da68
- AhnLab V3 : PUP/Win32.Enumerate (VT : 5/47)
해당 프로그램은 Windows 시작시 "C:\Program Files\CleanMemory\CleanMemUD.exe" 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.
자동 실행된 파일은 실행 카운터(Counter) 및 업데이트 체크 동작을 한 후 자동으로 종료되며, 클린메모리(CleanMemory) 프로그램은 자동 실행하지 않습니다.
이 과정에서 특정 시점에서는 "CleanMemory Update" 창을 생성하여 추가적인 권장 프로그램(수익성 프로그램)의 설치를 유도할 수 있으므로 주의하시기 바랍니다.
사용자가 프로그램 목록에 등록된 CleanMemory를 실행(C:\Program Files\CleanMemory\CleanMemory.exe)한 경우에만 프로그램이 동작합니다.
일반적인 메모리 최적화 프로그램이 시스템 시작시 자동 실행되어 실시간으로 최적화 기능을 수행하는 반면, 이 프로그램은 시스템 시작시 업데이트 체크를 통해 수익성 프로그램 설치만 체크하는 동작만 이루어지고 있습니다.
그러므로 CleanMemory 프로그램은 메모리 최적화 기능보다는 사용자의 부주의한 동의 과정을 거쳐 다양한 수익성 프로그램 설치 통로로 활용할 목적으로 배포되고 있다고 판단할 수 있습니다.
프로그램 삭제는 제어판에 등록된 "CleanMemory" 삭제 항목을 이용하여 삭제할 수 있습니다.
HKEY_CURRENT_USER\Software\cleanmemory
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- CleanMemoryUpdate = C:\Program Files\CleanMemory\CleanMemUD.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\cleanmemory uninstall
해당 프로그램은 메모리 최적화 기능을 제공하는 유용한 프로그램으로 제작되어 있지만, 배포자가 원하는 시간대에 사용자들의 실수를 유발하여 원치 않는 프로그램들의 설치를 유도할 수 있으므로 주의하시기 바랍니다.