인터넷 검색 과정에서 다수의 광고창을 생성하는 검색 도우미 "플러스업(Web OPU(plusup))" 프로그램에 대해 살펴보도록 하겠습니다.
해당 프로그램의 설치 파일(MD5 : ca77cde93f754e37a5f1081fd162e24f)은 2012년 6월 초부터 배포가 이루어진 것으로 확인되고 있으며, 최근 배포되고 있는 PowerSearch 검색 도우미 프로그램을 확인하던 중 추가로 발견하였습니다.
[생성 폴더 / 파일 등록 정보]
C:\Program Files\plusup
C:\Program Files\plusup\inst01.dat
C:\Program Files\plusup\mrtg.dat
C:\Program Files\plusup\msvcr71d.dll
C:\Program Files\plusup\plusup.exe :: 시작 프로그램 등록 파일, 메모리 상주 프로세스
C:\Program Files\plusup\temp.dat
C:\Program Files\plusup\unins000.dat
C:\Program Files\plusup\unins000.exe :: 프로그램 삭제 파일
해당 프로그램은 "C:\Program Files\plusup" 폴더에 파일을 생성하며, Windows 시작시 "C:\Program Files\plusup\plusup.exe" 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.
- "C:\Windows\System32\taskkill.exe" /F /IM popsi.exe
- "C:\Windows\System32\taskkill.exe" /F /IM topup.exe
- "C:\Windows\System32\taskkill.exe" /F /IM imulti.exe
- "C:\Windows\System32\taskkill.exe" /F /IM toup.exe
자동 실행된 plusup.exe 파일은 프로그램 업데이트 및 광고 구성값 체크와 함께 국내에서 제작된 것으로 보이는 4종의 광고 프로세스를 종료(taskkill.exe)시키는 동작을 확인할 수 있습니다.
프로그램의 광고 기능을 살펴보면 사용자가 네이버(Naver), 다음(Daum), 네이버 쇼핑 검색 서비스를 이용하여 웹 사이트 접속 후 웹 브라우저 창을 종료하는 시점에서 다수의 광고창을 생성할 수 있습니다.
이를 통해 다수의 광고창이 웹 브라우저 창을 종료하는 시점마다 연속으로 생성될 수 있습니다.
위와 같은 광고 행위는 메모리에 상주하는 plusup.exe 프로세스를 통해 이루어지므로, 광고 동작 중지 및 프로그램 삭제시에는 Windows 작업 관리자를 실행하여 plusup.exe 프로세스를 찾아 수동으로 종료하시기 바랍니다.
프로그램 삭제는 제어판에 등록된 "remove Web OPU(plusup)." 삭제 항목을 이용하여 삭제할 수 있습니다.
[생성 레지스트리 등록 정보]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- plusup = C:\Program Files\plusup\plusup.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\플러스업_is1
해당 프로그램은 인터넷 검색 과정에서 사용자 검색 키워드 값을 참조하여 원치 않는 광고창을 연속적으로 생성하는 동작으로 불편을 유발할 수 있으므로 주의하시기 바랍니다.