본문 바로가기
벌새::Analysis

검색 도우미 : ADFORCE ecubekorea (Remove only)

벌새 2014. 3. 17. 13:58
반응형

특정 웹 사이트에서 인터넷 검색시 시스템 트레이 알림 아이콘 상단에 "powered by ADFROCE" 광고 팝업창을 생성하는 "ADFORCE ecubekorea (Remove only)" 프로그램<SHA-1 : cd189f43940e38f46cde30c9481b8c6d0ac81354 - Hauri ViRobot : Adware.Gearext.1234672 (VT : 4/50)>에 대해 살펴보도록 하겠습니다.

 

  검색 도우미 : ADFORCE witest (Remove only) (2014.1.13)

 

해당 프로그램은 기존의 "ADFORCE [배포 ID] (Remove only)" 검색 도우미 프로그램의 변종이므로 참고하시기 바랍니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Users\(사용자 계정)\AppData\Roaming\ADFORCE
C:\Users\(사용자 계정)\AppData\Roaming\ADFORCE\ADFORCE.exe :: 시작 프로그램 등록 파일, 메모리 상주 프로세스
C:\Users\(사용자 계정)\AppData\Roaming\ADFORCE\uninstall.exe :: 프로그램 삭제 파일

 

[생성 파일 진단 정보]

 

C:\Users\(사용자 계정)\AppData\Roaming\ADFORCE\uninstall.exe
 - SHA-1 : cbded168c69f974e6ac2e15e4ba25ea268e58e5d
 - AhnLab V3 : PUP/Win32.Adforce (VT : 1/50)

"제이디컴" 디지털 서명이 포함된 해당 프로그램은 "C:\Users\(사용자 계정)\AppData\Roaming\ADFORCE" 폴더에 파일을 생성하며, Windows 시작시 "C:\Users\(사용자 계정)\AppData\Roaming\ADFORCE\ADFORCE.exe" 파일(SHA-1 : addbd2f64033acd87afaa476bb47d29cb5e35632)을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.

프로그램이 설치된 환경에서 프로그램이 지정한 특정 웹 사이트를 이용하는 과정에서 시스템 트레이 알림 아이콘 상단에 "powered by ADFORCE" 광고 팝업창을 생성하는 동작을 확인할 수 있습니다.

이를 통해 연결되는 웹 사이트 중에서는 ADFORCE 검색 도우미 프로그램의 변종으로 알려진 "AllShow Co.,Ltd." 디지털 서명이 포함된 NEWSPOT 검색 도우미의 변종<SHA-1 : 7a65100996c0404d869041540d42e5b9f1232c74 - AhnLab V3 : PUP/Win32.Newspot (VT : 1/49)>을 ActiveX 설치 방식으로 배포하는 것을 확인할 수 있습니다.

해당 광고 동작은 ADFORCE.exe 프로세스를 통해 이루어지므로, 광고 동작 중지 및 프로그램 삭제시에는 Windows 작업 관리자를 실행하여 ADFORCE.exe 프로세스를 찾아 종료하시기 바랍니다.

프로그램 삭제는 제어판에 등록된 "ADFORCE ecubekorea (Remove only)" 삭제 항목을 이용하여 삭제할 수 있습니다.

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - ADFORCE = "C:\Users\(사용자 계정)\AppData\Roaming\ADFORCE\ADFORCE.exe"

프로그램 삭제 후에는 레지스트리 편집기(regedit)를 실행하여 삭제되지 않은 시작 프로그램으로 등록된 "ADFORCE" 값을 찾아 삭제하시기 바랍니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\ADFORCE
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - ADFORCE = "C:\Users\(사용자 계정)\AppData\Roaming\ADFORCE\ADFORCE.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\ADFORCE
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
ADFORCE

 

"ADFORCE [배포 ID] (Remove only)" 검색 도우미 프로그램은 인터넷 검색시 원치않는 팝업창을 지속적으로 생성하여 불편을 유발할 수 있으므로 설치되지 않도록 주의하시기 바랍니다.

728x90
반응형

티스토리툴바