최근 인터넷 검색을 통해 웹 사이트 접속시 광고창을 생성하는 국내 광고 프로그램 중 사용자에 의한 프로그램 삭제를 방해할 목적으로 제어판의 설치 프로그램 목록에 등록하지 않으며, 사용자 몰래 추가적인 광고 프로그램을 설치하는 "Pccom + PrimePC" 프로그램에 대해 살펴보도록 하겠습니다.
설치 과정을 살펴보면 특정 배포 파일<SHA-1 : 62109c67a62ed9ee3a6671650174ee14e3ec3bb3 - ESET : a variant of Win32/AdWare.Kraddare.IY (VT : 2/53)>을 통해 설치가 진행되면 특정 서버로부터 Pccom 광고 프로그램의 설치 파일을 다운로드하여 "C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Windows\Templates\PccomInstall_284_177_80.exe" 파일로 생성하여 다음과 같은 Pccom 광고 프로그램을 설치한 후 자가 삭제 처리됩니다.
C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Windows\Templates\PCCOM_License_ver_d.rtf
C:\Users\(사용자 계정)\AppData\Roaming\Pccom
C:\Users\(사용자 계정)\AppData\Roaming\Pccom\category.dt
C:\Users\(사용자 계정)\AppData\Roaming\Pccom\Pccom.exe :: 메모리 상주 프로세스
C:\Users\(사용자 계정)\AppData\Roaming\Pccom\PccomUpdate.exe :: 예약 작업(Pccom) 등록 파일
C:\Users\(사용자 계정)\AppData\Roaming\Pccom\unins000.dat
C:\Users\(사용자 계정)\AppData\Roaming\Pccom\unins000.exe :: Pccom 프로그램 삭제 파일
C:\Windows\System32\Tasks\Pccom
C:\Users\(사용자 계정)\AppData\Roaming\Pccom\Pccom.exe
- SHA-1 : 70552c08efbafa303083a66cb4e3efdc11a4762e
- Symantec : Adware.BL (VT : 2/54)
C:\Users\(사용자 계정)\AppData\Roaming\Pccom\PccomUpdate.exe
- SHA-1 : c614d31811ca158f8cbc673151a7cb402dca45a8
- ESET : a variant of Win32/AdWare.Kraddare.JL (VT : 2/54)
"Adwill Communications Co., LTD." 디지털 서명이 포함된 Pccom 프로그램은 "C:\Users\(사용자 계정)\AppData\Roaming\Pccom" 폴더에 파일을 생성합니다.
Pccom 프로그램은 예약 작업 영역에 Pccom 작업 스케줄러 항목을 등록하여 시스템 시작시 "C:\Users\(사용자 계정)\AppData\Roaming\pccom\PccomUpdate.exe" 파일을 자동 실행하도록 구성되어 있습니다.
자동 실행된 PccomUpdate.exe 파일은 특정 업데이트 서버에서 다양한 광고 모듈<※ cpaacademy(엔딩+중간팝업 / 윙고), safe_pcyac(스타트팝업 / 광신), adpop(애드팝 / 더에이미디어), searchopen(서치오픈), newtab(뉴탭)> 버전을 체크하여 추가적인 다운로드가 가능하며, 이를 통해 광고 기능을 수행할 "C:\Users\(사용자 계정)\AppData\Roaming\Pccom\Pccom.exe" 파일을 로딩하여 메모리에 상주시킵니다.
실행된 Pccom.exe 파일은 다시 특정 서버로부터 PrimePC 광고 프로그램의 설치 파일<SHA-1 : 6bc97e0b475950305564e5772561366376a9724e - AhnLab V3 : PUP/Win32.Helper.R110419 (VT : 10/54)>을 다운로드하여 "C:\Users\(사용자 계정)\AppData\Roaming\primepcInstall_80.exe" 파일로 생성된 후 다음과 같은 PrimePC 프로그램을 사용자 몰래 설치합니다.
C:\Users\(사용자 계정)\AppData\Roaming\PrimePC :: 숨김(H) 속성
C:\Users\(사용자 계정)\AppData\Roaming\PrimePC\anyBoad.dll
C:\Users\(사용자 계정)\AppData\Roaming\PrimePC\PrimePC.exe :: 메모리 상주 프로세스
C:\Users\(사용자 계정)\AppData\Roaming\PrimePC\PrimePCUpdate.exe :: 예약 작업(PrimePC) 등록 파일
C:\Users\(사용자 계정)\AppData\Roaming\PrimePC\unins000.dat
C:\Users\(사용자 계정)\AppData\Roaming\PrimePC\unins000.exe :: PrimePC 프로그램 삭제 파일
C:\Users\(사용자 계정)\AppData\Roaming\primepcInstall_80.exe
C:\Windows\System32\Tasks\PrimePC
C:\Users\(사용자 계정)\AppData\Roaming\PrimePC\anyBoad.dll
- SHA-1 : 2cd90d2335816e67b0aa6115ac7bd9f019f16ef0
- AVG : Downloader.ASL (VT : 2/54)
C:\Users\(사용자 계정)\AppData\Roaming\PrimePC\PrimePC.exe
- SHA-1 : 06feef3b081d04a745a8616fdc1949d17abc455c
- AhnLab V3 : PUP/Win32.Helper (VT : 2/53)
C:\Users\(사용자 계정)\AppData\Roaming\PrimePC\PrimePCUpdate.exe
- SHA-1 : 3d68ba3a9aaed2173922266024668c72e4e5542e
- Symantec : Adware.BL (VT : 3/54)
C:\Users\(사용자 계정)\AppData\Roaming\primepcInstall_80.exe
- SHA-1 : 6bc97e0b475950305564e5772561366376a9724e)
- AhnLab V3 : PUP/Win32.Helper.R110419 (VT : 10/54)
"Adwill Communications Co., LTD." 디지털 서명이 포함된 PrimePC 프로그램은 기존의 PC Clean Optimizer 프로그램의 변종으로 숨김(H) 속성값을 가지는 "C:\Users\(사용자 계정)\AppData\Roaming\PrimePC" 폴더 내에 파일을 생성합니다.
특히 기존에 PCYac 광고 프로그램(= Pccom 프로그램)을 통해 사용자 몰래 설치되었던 KeywordYac, PC Clean Optimizer 프로그램과 동일하게 생성 폴더를 사용자가 찾기 어렵게 할 목적으로 숨김(H) 속성으로 생성하고 있습니다.
PrimePC 프로그램은 예약 작업 영역에 PrimePC 작업 스케줄러 항목을 등록하여 시스템 시작시 "C:\Users\(사용자 계정)\AppData\Roaming\PrimePC\PrimePCUpdate.exe" 파일을 자동 실행하도록 구성되어 있습니다.
이를 통해 특정 업데이트 서버에서 다양한 광고 모듈 버전을 체크하지만 현재 테스트 시점에서는 더 이상의 동작없이 종료 처리되며, 정상적으로 동작한다면 광고 기능을 수행하는 "C:\Users\(사용자 계정)\AppData\Roaming\PrimePC\PrimePC.exe" 파일을 로딩하여 메모리에 상주시킬 수 있습니다.
■ Pccom 프로그램 광고 기능
Pccom 광고 프로그램이 설치된 환경에서는 사용자가 인터넷 검색을 통해 웹 사이트 접속시 자동으로 추가적인 광고창을 생성할 수 있으며, 사용자 몰래 설치된 PrimePC 광고 프로그램 역시 유사한 광고 기능을 수행할 수 있으리라 판단됩니다.
■ "Pccom + PrimePC" 프로그램 삭제 방법
Pccom, PrimePC 광고 프로그램은 사용자가 제어판을 통한 프로그램 삭제를 방해할 목적으로 등록하지 않고 있으므로 다음과 같은 절차에 따라 프로그램 삭제를 진행하시기 바랍니다.
참고로 프로그램 삭제시에는 폴더 옵션의 "숨김 파일, 폴더 및 드라이브 표시" 항목에 체크를 하시고 진행하시기 바랍니다.
(1) Pccom 프로그램 삭제
(a) Windows 작업 관리자를 실행하여 Pccom.exe 프로세스를 찾아 종료하시기 바랍니다.
(b) "C:\Users\(사용자 계정)\AppData\Roaming\Pccom\unins000.exe" 파일을 찾아 직접 실행하시면 삭제를 진행할 수 있습니다.
(2) PrimePC 프로그램 삭제
(a) Windows 작업 관리자를 실행하여 PrimePC.exe 프로세스가 존재할 경우 종료하시기 바랍니다.
(b) "C:\Users\(사용자 계정)\AppData\Roaming\PrimePC\unins000.exe" 파일을 찾아 직접 실행하시면 삭제를 진행할 수 있습니다.
(c) 프로그램 삭제 후 다음의 파일을 찾아 추가적으로 삭제하시기 바랍니다.
- C:\Users\(사용자 계정)\AppData\Roaming\primepcInstall_80.exe
- C:\Windows\System32\Tasks\PrimePC
그 외 Pccom, PrimePC 광고 프로그램 설치로 인해 생성되는 레지스트리 값 정보는 다음과 같습니다.
HKEY_CURRENT_USER\Software\Pccom
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{782EEEAF-E609-4C65-830E-2D6EE84AFEB4}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Pccom
[생성 레지스트리 등록 정보 : PrimePC 프로그램]
HKEY_CURRENT_USER\Software\PrimePC
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{30EED51D-79BD-449B-83DC-2778F58DEA01}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\PrimePC
Pccom 프로그램은 기존의 PCYac 광고 프로그램의 변종으로 판단되며, 이를 통해 사용자 몰래 유사한 기능을 가진 PrimePC 프로그램을 함께 설치하여 차후 업데이트 기능을 통해 지속적인 광고 노출을 목적으로 제작된 것으로 보입니다.
특히 제어판에 등록하지 않는 수법으로 사용자가 프로그램 설치 여부를 확인하기 매우 어려울 수 있으므로 광고창 문제로 고생하시는 분들은 설치 여부를 점검해 보시기 바랍니다.