웹 브라우저를 이용하여 인터넷을 이용하는 과정에서 우측 가장자리 영역에 "Powered by cloudget" 배너 광고를 생성하는 검색 도우미 "Windows CloudGet" 프로그램(MD5 : 088055d047050cd3b0fbca6f3c27f0db)에 대해 살펴보도록 하겠습니다.
▷ 검색 도우미 : Windows CloudGet (2013.4.13)
해당 프로그램은 2013년 4월경 최초 확인되었으며, 그 후 프로그램 업데이트를 통한 변종이 지속적으로 배포되고 있는 것으로 보입니다.
C:\Program Files\Windows CloudGet v1.4
C:\Program Files\Windows CloudGet v1.4\clgsve.exe :: 메모리 상주 프로세스
C:\Program Files\Windows CloudGet v1.4\clgsvp.exe
C:\Program Files\Windows CloudGet v1.4\clgsvr.exe :: 서비스(clgsvr32) 등록 파일
C:\Program Files\Windows CloudGet v1.4\clgsvu.exe
C:\Program Files\Windows CloudGet v1.4\uninstall.exe :: 프로그램 삭제 파일
C:\ProgramData\Windows CloudGet
C:\ProgramData\Windows CloudGet\Cache
C:\ProgramData\Windows CloudGet\clgcad.db
C:\ProgramData\Windows CloudGet\clgdbi.db
"Windows CloudGet" 프로그램은 "C:\Program Files\Windows CloudGet v1.4" 폴더에 파일을 생성하며, "clgsvr32 (표시 이름 : Windows CloudGet Service)" 서비스 항목을 등록하여 시스템 시작시 "C:\Program Files\Windows CloudGet v1.4\clgsvr.exe" 파일을 자동 실행하도록 구성되어 있습니다.
자동 실행된 서비스 파일(clgsvr.exe)은 일정 시간 대기한 후 추가적으로 다음의 2개의 프로세스를 생성한 후 자동 종료 처리됩니다.
- "C:\Program Files\Windows CloudGet v1.4\clgsve.exe" -e
- "C:\Program Files\Windows CloudGet v1.4\clgsvu.exe" t
이를 통해 프로그램 버전 및 광고 구성값 체크를 수행한 후 "C:\Program Files\Windows CloudGet v1.4\clgsve.exe" 프로세스를 메모리에 상주시킵니다.
이렇게 설치된 프로그램은 사용자가 웹 브라우저를 이용하여 인터넷을 하는 과정 또는 바탕 화면에 광고 배너가 노출되도록 제작되어 있으며, 세부적으로 노출 시간 빈도, 배경색, 노출 위치, 노출 제한 웹 사이트 설정값에 따라 달라질 수 있습니다.
대표적으로 Google Chrome 웹 브라우저를 이용하여 인터넷을 하는 과정에서 좌측 가장자리 영역에 "Powered by cloudget" 광고 배너가 생성되는 동작을 확인할 수 있습니다.
또한 Internet Explorer 웹 브라우저에서도 웹 사이트 접속 중 좌측 가장자리 영역에 동일한 광고 배너가 노출되는 것을 확인할 수 있습니다.
해당 광고 행위는 메모리에 상주하는 clgsve.exe 프로세스를 통해 구현되므로, 광고 동작 중지 및 프로그램 삭제시에는 Windows 작업 관리자를 실행하여 clgsve.exe 프로세스를 찾아 수동으로 종료하시기 바랍니다.
프로그램 삭제는 제어판에 등록된 "Windows CloudGet" 삭제 항목을 이용하여 삭제할 수 있습니다.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
- clgsve = (년월일)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
Windows CloudGet
HKEY_LOCAL_MACHINE\SOFTWARE\Windows CloudGet
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\clgsvr32
"Windows CloudGet" 검색 도우미 프로그램은 "Now Media Corp." 디지털 서명이 포함되어 있으며, 짧은 시간에만 노출되는 광고로 인해 사용자는 어떤 프로그램을 통해 노출되는지 확인이 어려워 사용자 입장에서는 접속한 웹 사이트에서 제공하는 광고로 오해를 유발할 수 있으므로 주의하시기 바랍니다.
☞ 검색 도우미 : Windows Assist Service (2012.6.18)
☞ 검색 도우미 : Windows Key Pack (2012.6.23)
☞ 검색 도우미 : Windows Key Manager (2012.8.5)
☞ 검색 도우미 : Windows Smart Pack 1.0 (2012.8.6)
☞ 검색 도우미 : Windows Search Pack (2012.8.6)
☞ 제휴(스폰서) 프로그램 : Windows NS Assist (2012.10.18)
☞ 검색 도우미 : Windows Winerspop (2012.10.21)
☞ 검색 도우미 : Windows Everlive (2012.11.27)
☞ 검색 도우미 : Windows NAS (2013.3.19)
☞ 다운로드 도우미 : INSAFE Client 1.0 (2013.4.3)
☞ 제휴(스폰서) 프로그램 : Windows Explorer Lastpopup v1.11 (2013.4.15)
☞ 제휴(스폰서) 프로그램 : MSSafeFilter 3.0 (2013.4.18)
☞ 검색 도우미 : Windows ISM + Windows VOA (2013.5.8)
☞ 검색 도우미 : Windows Sidejet (2013.9.21)
windows cloudget이라는 프로그램이 프로그램 삭제에 들어가도 없는데 지속적으로 광고가 나오는건 어떻게 해결하나요?
홈페이지 들어가서 프로그램 설치 후 지워봐도 안없어지는데...
최근에는 Windows Now Pack Drivers라는 이름으로 유포를 하더군요.
http://hummingbird.tistory.com/5051
링크 내용을 확인하시기 바랍니다.
와 정말감사합니다 저 이름의 프로그램이 맞았던거같네요
대체 어떤 경로를 통해 설치가 되는것인지 모르겠습니다;;
특정 사이트를 방문하는것만으로도 설치가 되는것인가요?
다른 분들 글 보니 어느샌가 또 설치되어있더라고 하시던데;;
벌새님은 어떤 프로그램이 원인이신지 어떻게 구분하시는건가요?
컴퓨터에 대해서도 공부해보고싶어지네요ㅋㅋㅋ 감사합니다!
이런 프로그램의 상당수는 사용자가 블로그 등을 통해 프로그램을 다운로드하여 설치하는 과정에서 사용자가 설치시 안내하는 화면을 보지 않고 클릭을 하는 잘못된 습관을 악용하는 것 같습니다.
작게 숨어있기는 하지만 화면을 꼼꼼하게 살피시기 바라며, 블로그에서는 어떠한 파일도 다운로드하지 않도록 하시기 바랍니다.
Windows Now Pack Drivers라는 이름으로 깔려있어서 못찾았었는데
정말 감사합니다.
방문해 주셔서 감사합니다.^^
또 이름바꿔서 배포하나바요 인터넷을 할려고 크롬창여는데 광고창이 뜨는거에요 전 구글크롬이 이젠 이런식으로 광고하나 생각하다 신경이 거슬려서 광고창옵션창을 클릭하니 나우콤 이러저래 검색해서 지우긴햇지만 국내에있는 프로그램은 설치한적이없는데 사용해밧자 kmp플레이어밖에없는데 만든회사가 동영상녹화프로그램 캠노리를 만든 회사 나우미디어콥이던군요..
해당 광고 프로그램은 다양한 변종이 많습니다.