울지않는벌새 : Security, Movie & Society

검색 도우미 : ADFORCE witest (Remove only)

벌새::Analysis

인터넷 검색 키워드 정보 수집 및 특정 조건에서 광고 팝업창 생성이 이루어질 것으로 추정되는 검색 도우미 "ADFORCE witest (Remove only)" 프로그램(SHA-1 : 31f7f7ed5109383f5611a5b10076ac9b53fa3fcb)에 대해 살펴보도록 하겠습니다.

 

해당 프로그램은 변종에 따라 "ADFORCE dlawhdtn (Remove only)" 이름으로도 설치가 이루어지며, 프로그램 이름은 "ADFORCE [배포 ID] (Remove only)" 패턴으로 등록되는 것으로 보입니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Users\(사용자 계정)\AppData\Roaming\ADFORCE
C:\Users\(사용자 계정)\AppData\Roaming\ADFORCE\ADFORCE.exe :: 시작 프로그램 등록 파일, 메모리 상주 프로세스
C:\Users\(사용자 계정)\AppData\Roaming\ADFORCE\uninstall.exe :: 프로그램 삭제 파일

"제이디컴" 디지털 서명이 포함된 "ADFORCE witest (Remove only)" 프로그램은 "C:\Users\(사용자 계정)\AppData\Roaming\ADFORCE" 폴더에 파일을 생성하며, Windows 시작시 "C:\Users\(사용자 계정)\AppData\Roaming\ADFORCE\ADFORCE.exe" 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.

자동 실행된 파일(ADFORCE.exe)은 특정 서버에서 프로그램 업데이트 체크 및 광고 구성값 정보를 받아오도록 제작되어 있으며, 정보를 통해 유추할 수 있는 것은 특정 웹 사이트에서 웹 브라우저상에 그림과 같은 SNS 이미지 노출을 통해 홍보 기능이 포함되어 있는 것이 아닌가 생각됩니다.

또한 사용자가 구글(Google), 네이버(Naver), 다음(Daum), 네이트(Nate) 검색을 통해 검색 키워드 입력시 해당 정보를 특정 서버에 전송하는 것을 확인할 수 있으며, 이를 통해 매칭되는 광고 팝업창 생성을 유발할 수 있을 것으로 보입니다.

해당 광고 동작은 메모리에 상주하는 ADFORCE.exe 프로세스를 통해 이루어지므로, 광고 동작 중지 및 프로그램 삭제시에는 Windows 작업 관리자를 실행하여 ADFORCE.exe 프로세스를 찾아 종료하시기 바랍니다.

프로그램 삭제는 제어판에 등록된 "ADFORCE witest (Remove only)" 삭제 항목을 이용하여 삭제할 수 있습니다.

또한 프로그램 삭제 이후에도 시작 프로그램으로 등록된 "ADFORCE" 시작 프로그램 등록값이 삭제되지 않으므로 레지스트리 편집기(regedit)를 실행하여 다음의 레지스트리 값을 찾아 삭제하시기 바랍니다.

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - ADFORCE = "C:\Users\(사용자 계정)\AppData\Roaming\ADFORCE\ADFORCE.exe"
[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\ADFORCE
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - ADFORCE = "C:\Users\(사용자 계정)\AppData\Roaming\ADFORCE\ADFORCE.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\ADFORCE
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
ADFORCE

 

ADFORCE 검색 도우미 프로그램은 실제 광고 동작은 테스트 과정에서는 구현되지 않았지만, 인터넷 검색시 사용자의 검색 키워드 값이 외부로 전송된다는 점과 서비스 업체를 확인할 수 없는 신뢰할 수 없는 프로그램이므로 설치되지 않도록 주의하시기 바랍니다.