울지않는벌새 : Security, Movie & Society

검색 도우미 : Micro OpenPop

벌새::Analysis

시스템 트레이 알림 아이콘 상단에 팝업창을 생성하며, Windows 부팅시 "Micro OpenPop Update" 창 생성을 통해 추가적인 제휴 프로그램 설치를 유도할 수 있는 "Micro OpenPop" 프로그램<MD5 : d169c8941b110ba5d7143921bb5bb86c - BitDefender : Gen:Variant.Symmi.31704 (VT : 12/49)
>에 대해 살펴보도록 하겠습니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Users\(사용자 계정)\AppData\Roaming\MOpop
C:\Users\(사용자 계정)\AppData\Roaming\MOpop\mopop.bat
C:\Users\(사용자 계정)\AppData\Roaming\MOpop\mopop.exe :: 메모리 상주 프로세스
C:\Users\(사용자 계정)\AppData\Roaming\MOpop\mopopm.exe
C:\Users\(사용자 계정)\AppData\Roaming\MOpop\mopopset.exe
C:\Users\(사용자 계정)\AppData\Roaming\MOpop\mopopunset.exe
C:\Users\(사용자 계정)\AppData\Roaming\MOpop\mopopup.exe
C:\Users\(사용자 계정)\AppData\Roaming\MOpop\srvmopop.exe :: 서비스(srvmopop) 등록 파일
C:\Users\(사용자 계정)\AppData\Roaming\MOpop\uninst.exe :: 프로그램 삭제 파일

해당 프로그램은 "C:\Users\(사용자 계정)\AppData\Roaming\MOpop" 폴더에 파일을 생성하며 시스템 시작시 다음과 같은 동작을 수행합니다.

"srvmopop (표시 이름 : MOPOP Service)" 서비스 항목을 등록하여 시스템 시작시 "C:\Users\(사용자 계정)\AppData\Roaming\MOpop\srvmopop.exe" 파일을 자동 실행하도록 구성되어 있습니다.

  • C:\Users\(사용자 계정)\AppData\Roaming\MOpop\mopop.exe :: 광고 팝업창 정보 체크
  • C:\Users\(사용자 계정)\AppData\Roaming\MOpop\mopopup.exe :: 프로그램 업데이트 체크

이를 통해 mopop.exe, mopopup.exe 2개의 파일을 로딩하여 프로그램 업데이트 및 광고 배너 정보를 체크하며, mopop.exe 파일은 메모리에 상주하도록 구성되어 있습니다.

이후 "C:\Users\(사용자 계정)\AppData\Roaming\MOpop\mopopm.exe" 파일을 통해 특정 파일 서버로부터 제휴 프로그램 업데이트 정보를 체크하는 동작을 확인할 수 있습니다.

 

이를 통해 특정 Windows 부팅 과정에서 "Micro OpenPop Update" 창 생성을 통해 추가적인 제휴 프로그램 설치를 유도할 수 있으므로 주의하시기 바랍니다.

  • h**p://file.clean*****.kr/cleanfree/app/update/cleanfree.exe (MD5 : fc18f2e16fbab613d3da5b9c87f7f8d1) - AhnLab V3 : PUP/Win32.CleanFree (VT : 1/47)
  • h**p://file.clean*****.kr/cleanfree/app/TestApp/test10.exe (MD5 : 7992ca40d10b674e5707d52ab63d3382)
  • h**p://file.clean*****.kr/cleanfree/app/update/inst_cleanfree.exe (MD5 : a3fac67566f6a5201ac756ffbf81d158) - AhnLab V3 : PUP/Win32.CleanFree (VT : 10/48)

현재 확인되는 등록된 프로그램은 클린프리(CleanFree) PC 최적화 프로그램을 통해 제휴 프로그램 설치를 유도할 수 있는 "Micro Windows CleanFree" 관련 파일을 확인할 수 있었습니다.

"Micro OpenPop" 프로그램이 설치된 환경에서는 Windows 부팅 후 6분이 경과하는 시점에서 시스템 트레이 알림 아이콘 상단에 AD 광고 팝업창을 생성하는 동작을 확인할 수 있습니다.

해당 광고 팝업창 생성은 메모리에 상주하는 mopop.exe 프로세스를 통해 이루어지므로, 광고 동작 중지 및 프로그램 삭제시에는 Windows 작업 관리자를 실행하여 mopop.exe 프로세스를 찾아 종료하시기 바랍니다.

프로그램 삭제는 제어판에 등록된 "Micro OpenPop" 삭제 항목을 이용하여 삭제할 수 있습니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\mopop
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\mopop.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Micro OpenPop
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\srvmopop

 

"Micro OpenPop" 프로그램은 차후 업데이트 창 생성을 통해 불필요한 프로그램(PUP) 설치를 유도할 수 있으며, 원치않는 광고 팝업창 생성으로 인해 불편을 유발할 수 있으므로 주의하시기 바랍니다.