본문 바로가기

벌새::Analysis

팡팡클린(PangPangClean) 프로그램 설치시 광고 기능 주의 (2013.9.4)

반응형

국내에서 제작된 무료 PC 최적화 프로그램 "팡팡클린(PangPangClean)" 프로그램이 설치되는 과정에서 "팡팡클린 업데이트" 프로그램을 추가적으로 설치하여 홈 페이지 추가 및 광고창을 생성하는 사례에 대해 살펴보도록 하겠습니다.

해당 프로그램의 대표적인 배포 방식은 시스템 시작시 "정기 업데이트 설치" 창을 생성하여 "정기 업데이트 권장 프로그램"으로 등록된 다수의 수익성 프로그램 중 "Windows pangpangclean"을 통해 설치가 되고 있습니다.

 

  제휴(스폰서) 프로그램 : Windows cnbarodcon (2013.7.17) 외 다수

 

참고로 해당 업데이트 창 생성과 관련된 다수의 제휴 프로그램에 대한 분석글을 참고하시기 바랍니다.

 

또한 팡팡클린(PangPangClean) 배포 파일(MD5 : 0b23952b2be506217cdff232655e8c47)에 대하여 AhnLab V3 보안 제품에서는 PUP/Win32.Helper.R81487 (VT : 2/47) 진단명으로 진단되고 있습니다.

 

[생성 폴더 / 파일 등록 정보 : 팡팡클린(PangPangClean)]

 

C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\팡팡클린
C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\팡팡클린\팡팡클린.lnk
C:\Users\(사용자 계정)\AppData\Roaming\PangPangClean
C:\Users\(사용자 계정)\AppData\Roaming\PangPangClean\ppc.exe :: 팡팡클린 프로그램 실행 파일
C:\Users\(사용자 계정)\AppData\Roaming\PangPangClean\ppcagent.exe :: 예약 작업(PangPangClean) 등록 파일
C:\Users\(사용자 계정)\AppData\Roaming\PangPangClean\uninst.exe :: 팡팡클린 프로그램 삭제 파일
C:\Users\(사용자 계정)\Desktop\팡팡클린.lnk
C:\Windows\System32\Tasks\PangPangClean

 

[생성 파일 진단 정보]

 

C:\Users\(사용자 계정)\AppData\Roaming\PangPangClean\ppc.exe
 - MD5 : 00e9820c21a0e99f4139d34461371749
 - AhnLab V3 : PUP/Win32.Helper (VT : 1/47)

 

C:\Users\(사용자 계정)\AppData\Roaming\PangPangClean\ppcagent.exe
 - MD5 : 0a0fcf044208ccaecab5eec2ab141cde
 - AhnLab V3 : PUP/Win32.Helper (VT : 1/46)

 

C:\Users\(사용자 계정)\AppData\Roaming\PangPangClean\uninst.exe
 - MD5 : 018906efec04ca5dac646b4da1f5f3dd
 - AhnLab V3 : PUP/Win32.Helper (VT : 1/47)

 

최초 배포 파일(MD5 : 0b23952b2be506217cdff232655e8c47) 다운로드 및 실행을 통해 팡팡클린(PangPangClean) 프로그램이 설치되면 "C:\Users\(사용자 계정)\AppData\Roaming\PangPangClean" 폴더에 파일을 생성하며, 설치 과정에서 다음과 같은 추가 다운로드를 진행합니다.

추가로 다운로드된 pcu_agent.exe 파일<MD5 : 85e19a9e791d6a8a0782e74ce506f882 - AhnLab V3 : PUP/Win32.Helper.R81487 (VT : 1/47)>은 다음과 같은 폴더에 "팡팡클린 업데이트" 프로그램을 설치합니다.

 

[생성 폴더 / 파일 등록 정보 : 팡팡클린 업데이트]

 

C:\Users\(사용자 계정)\AppData\Roaming\pcu
C:\Users\(사용자 계정)\AppData\Roaming\pcu\pcu.exe :: 메모리 상주 프로세스
C:\Users\(사용자 계정)\AppData\Roaming\pcu\pcuagent.exe :: 예약 작업(PangPangCleanUpdate) 등록 파일
C:\Users\(사용자 계정)\AppData\Roaming\pcu\uninst.exe :: 팡팡클린 업데이트 프로그램 삭제 파일
C:\Windows\System32\Tasks\PangPangCleanUpdate

 

[생성 파일 진단 정보]

 

C:\Users\(사용자 계정)\AppData\Roaming\pcu\pcuagent.exe
 - MD5 : 246a6242ec627d350ff3887ed033f2cc
 - AhnLab V3 : PUP/Win32.Helper (VT : 1/47)

추가 설치된 "팡팡클린 업데이트" 프로그램은 "C:\Users\(사용자 계정)\AppData\Roaming\pcu" 폴더에 파일을 생성하며, "C:\Users\(사용자 계정)\AppData\Roaming\pcu\pcu.exe" 파일을 메모리에 상주하도록 구성되어 있습니다.

  • PangPangClean : "C:\Users\(사용자 계정)\AppData\Roaming\PangPangClean\ppcagent.exe" "/run"
  • PangPangCleanUpdate : "C:\Users\(사용자 계정)\AppData\Roaming\pcu\pcuagent.exe" "/run"

프로그램이 설치된 환경에서 "예약 작업" 항목에 PangPangClean, PangPangCleanUpdate 2개의 작업 스케줄러를 등록하여 시스템 시작시 자동 실행되도록 구성되어 있습니다.

 

1. 팡팡클린(PangPangClean)

 

팡팡클린(PangPangClean) 프로그램은 무료 PC 최적화 프로그램으로 사용자가 직접 프로그램을 실행한 경우에만 동작합니다.

  • h**p://www.pang****clean.com/app/ppc/download/ppc_agent.exe (MD5 : 0b23952b2be506217cdff232655e8c47) - AhnLab V3 : PUP/Win32.Helper.R81487 (VT : 2/47)

우선 시스템 시작시 예약 작업으로 등록된 "PangPangClean" 작업 스케줄러<C:\Users\(사용자 계정)\AppData\Roaming\PangPangClean\ppcagent.exe>가 자동 실행되면 프로그램 업데이트 정보를 체크한 후 자동 종료 처리됩니다.

사용자가 팡팡클린(PangPangClean) 프로그램을 실행<C:\Users\(사용자 계정)\AppData\Roaming\PangPangClean\ppc.exe>할 경우 그림과 같은 메인 화면 생성을 통해 실행됩니다.

또한 프로그램 실행과 동시에 구글 애드센스(Google Adsense) 광고창이 함께 생성되는 동작을 확인할 수 있습니다.

 

2. 팡팡클린 업데이트

 

팡팡클린(PangPangClean) 프로그램과 함께 설치되는 "팡팡클린 업데이트" 프로그램은 광고 기능을 수행합니다.

  • h**p://www.pang****clean.com/app/pcu/download/pcu_agent.exe (MD5 : 85e19a9e791d6a8a0782e74ce506f882) - hnLab V3 : PUP/Win32.Helper.R81487 (VT : 1/47)

시스템 시작시 예약 작업으로 등록된 "PangPangCleanUpdate" 작업 스케줄러<C:\Users\(사용자 계정)\AppData\Roaming\pcu\pcuagent.exe>가 자동 실행되면 프로그램 업데이트 체크를 수행한 후 "C:\Users\(사용자 계정)\AppData\Roaming\pcu\pcu.exe" 파일을 로딩합니다.

실행된 pcu.exe 파일은 홈 페이지(시작 페이지) 구성값을 체크한 후 메모리에 상주하도록 구성되어 있습니다.

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
 - Secondary Start Pages =
http://www.searchview.co.kr/

팡팡클린 업데이트 프로그램은 웹 브라우저의 홈 페이지에 사용자가 지정한 홈 페이지 이외에 두 번째 홈 페이지로 "h**p://www.searchview.co.kr/" 주소를 추가합니다.

이를 통해 사용자가 웹 브라우저를 실행할 경우 사용자가 지정한 홈 페이지 이외에 자동으로 "새 브라우저 살펴보기(h**p://www.searchview.co.kr/)" 광고 페이지가 생성됩니다.

만약 사용자가 인터넷 옵션에서 두 번째 홈 페이지로 등록된 주소(h**p://www.searchview.co.kr/)를 삭제 처리하여도 메모리에 상주하는 pcu.exe 프로세스를 통해 사용자가 웹 브라우저 실행 및 새 탭 오픈시마다 "새 블라우저 살펴보기" 광고창이 자동으로 열리도록 제작되어 있습니다.

또한 팡팡클린 업데이트 프로그램은 사용자가 인터넷 검색을 시도할 경우 자동으로 광고창을 생성하는 기능을 가지고 있습니다.

해당 광고창은 사용자가 인터넷 검색시 pcu.exe 프로세스를 통해 오픈키워드(OpenKeyword) 광고 서버를 경유하여 특정 제휴 코드를 추가하는 방식으로 광고창 생성을 연결하고 있습니다.

 

3. 프로그램 삭제 방법

프로그램 삭제시에는 Windows 작업 관리자를 실행하여 pcu.exe 프로세스를 찾아 수동으로 종료한 상태에서 제어판에 등록된 "팡팡클린", "팡팡클린업데이트" 삭제 항목을 이용하여 삭제할 수 있습니다.

프로그램 삭제 이후에도 인터넷 옵션에 등록된 두 번째 홈 페이지 주소는 유지되므로 사용자가 직접 "h**p://www.searchview.co.kr/" URL 주소를 삭제하시기 바랍니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
 - Secondary Start Pages = http://www.searchview.co.kr/
HKEY_CURRENT_USER\Software\PangPangClean
HKEY_CURRENT_USER\Software\pcu
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\pcu
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ppc

 

팡팡클린(PangPangClean) 프로그램은 무료로 이용할 수 있지만, 사용자가 제대로 인지하지 못하는 과정에서 함께 설치되는 팡팡클린 업데이트 프로그램은 광고 목적으로 설치되어 인터넷 이용시 불편을 유발할 수 있으므로 주의하시기 바랍니다.

728x90
반응형