본문 바로가기

벌새::Analysis

악성코드 제거 프로그램 : 애드가드(ADGuard) - ADGUARD 버전 2.04b

728x90
반응형

국내 (주)씨온 업체에서 제공하는 유료 악성코드 제거 프로그램 "애드가드(ADGuard) - ADGUARD 버전 2.04b" 제품에 대해 살펴보도록 하겠습니다.

 

[테스트 환경]

 

◆ 운영 체제(OS) : Windows 7 SP1

◆ 설치 파일(SHA-1) : 3e14f1fb74389cfef41dade8c88fe4a317a5293a - Kaspersky : Trojan-FakeAV.Win32.AntispywareFireWallPro.a (VT : 10/50)

 

※ 해당 프로그램은 배포 방식 및 컴퓨터 환경에 따라 프로그램 정보가 일부 다를 수 있습니다.

※ 해당 내용은 게시글 작성일 기준이므로 차후 일부 내용이 변경될 수 있습니다.

 

1. 프로그램 설치 및 삭제 정보

 

1-1. 생성 폴더 / 파일 정보

 

C:\adguard_app
C:\adguard_app\unins000.dat
C:\adguard_app\unins000.exe :: 프로그램 삭제 파일
C:\Program Files\adguard
C:\Program Files\adguard\adguard.exe :: 프로그램 실행 파일
C:\Program Files\adguard\adguard.hta :: 프로그램 메인 화면 실행 파일
C:\Program Files\adguard\adguard.ico
C:\Program Files\adguard\css
C:\Program Files\adguard\dlls
C:\Program Files\adguard\dlls\gmj.bat
C:\Program Files\adguard\dlls\jquery.form.js
C:\Program Files\adguard\dlls\jquery.js
C:\Program Files\adguard\dlls\php_bcompiler.dll
C:\Program Files\adguard\dlls\php_curl.dll
C:\Program Files\adguard\dlls\php_win32std.dll
C:\Program Files\adguard\dlls\php_winbinder.dll
C:\Program Files\adguard\dlls\prg_1.npl
C:\Program Files\adguard\dlls\prg_3.npl
C:\Program Files\adguard\dlls\prg_4.npl
C:\Program Files\adguard\dlls\prg_5.npl
C:\Program Files\adguard\dlls\prg_6.npl
C:\Program Files\adguard\dlls\sys_in.cfg
C:\Program Files\adguard\fw_c.fwd
C:\Program Files\adguard\fw.cfg
C:\Program Files\adguard\fw01.fwd
C:\Program Files\adguard\fw02.fwd
C:\Program Files\adguard\fw03.fwd
C:\Program Files\adguard\fw04.fwd
C:\Program Files\adguard\fw05.fwd
C:\Program Files\adguard\fw06.fwd
C:\Program Files\adguard\fw07.fwd
C:\Program Files\adguard\fw08.fwd
C:\Program Files\adguard\fw09.fwd
C:\Program Files\adguard\fw10.fwd
C:\Program Files\adguard\fw11.fwd
C:\Program Files\adguard\fw12.fwd
C:\Program Files\adguard\fwcn.fwt
C:\Program Files\adguard\fwpromd.exe :: 악성코드 검사 및 치료 모듈, 메모리 상주 프로세스
C:\Program Files\adguard\images
C:\Program Files\adguard\libeay32.dll
C:\Program Files\adguard\php-embed.ini
C:\Program Files\adguard\php5ts.dll
C:\Program Files\adguard\ssleay32.dll
C:\Program Files\adguard\unins000.dat
C:\Program Files\adguard\unins000.exe
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\애드가드
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\애드가드\ADGUARD 제거.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\애드가드\ADGUARD.lnk
C:\Users\Public\Desktop\ADGUARD.lnk

 

[생성 파일 진단 정보]

 

C:\Program Files\adguard\fwpromd.exe
 - SHA-1 : 6be0d02f6ce1d7012227ccd0e26b4e535d934d71
 - ESET : a variant of Win32/Adware.PCPlus.A (VT : 32/50)

 

애드가드(ADGuard) 프로그램은 "C:\adguard_app", "C:\Program Files\adguard" 폴더에 파일을 생성하며, 프로그램을 실행(C:\Program Files\adguard\adguard.exe)하면 "C:\Windows\System32\mshta.exe" 시스템 파일 로딩을 통해 "C:\Program Files\adguard\adguard.hta" 파일 실행을 통해 메인 화면을 생성합니다.

악성코드 검사 및 시스템 최적화 검사를 통해 진단된 항목에 대해 치료를 시도할 경우 사용자 인증을 통한 유료 결제를 요구하며, 기존의 FireWall Pro 악성코드 제거 프로그램의 변종으로 추정됩니다.

또한 일정 시간이 경과하면 "C:\Program Files\adguard\fwpromd.exe" 파일을 통해 시스템 트레이 알림 아이콘 상단에 팝업창을 생성하여 유료 결제를 유도합니다.

 

1-2. 생성 레지스트리 정보

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
{5AB77E07-E9A7-43E6-8E48-D4B9ED4E46A7}}_is1

 

1-3. 프로세스 정보

프로그램이 실행되면 mshta.exe, fwpromd.exe 2개의 프로세스가 생성되므로, 프로그램 삭제시에는 Windows 작업 관리자를 실행하여 mshta.exe, fwpromd.exe 프로세스가 존재할 경우 종료하시기 바랍니다.

 

1-4. 프로그램 삭제 정보

프로그램 삭제는 제어판에 등록된 "ADGUARD 버전 2.04b" 삭제 항목을 이용하여 삭제할 수 있으며, 프로그램 삭제 후에는 추가적으로 다음의 폴더(파일)를 찾아 삭제하시기 바랍니다.

  • C:\Program Files\adguard
  • C:\Program Files\adguard\adguard.hta
  • C:\Program Files\adguard\dlls

2. 제품 유료 결제 해지 방법

 

해당 프로그램의 이용약관에서는 월정액(자동 연장 결제) 유료 사용자는 별도의 해지 신청이 없을 경우 매월 자동으로 이용요금을 청구하는 방식이므로 주의하시기 바랍니다.

 

(1) 전화 : 070-7777-6394

(2) 자동 연장 결제 해지 신청 게시판

 

위와 같은 방법으로 해지 신청이 되지 않을 시에는 휴대폰/ARS 결제중재센터를 통하여 문제를 해결하시기 바라며, 금전적 피해와 관련해서는 1372 소비자상담센터(국번없이 1372)에 민원 접수를 통해 상담하시기 바랍니다. 기타 프로그램 삭제와 관련된 상담은 한국인터넷진흥원 118센터(국번없이 118번)를 통해 무료 원격 점검을 받으실 수 있습니다.

 

728x90
반응형