울지않는벌새 : Security, Movie & Society

국내 광고 프로그램 설치 및 동작 방해하는 방법 (2014.7.13)

벌새::PUP Info

국내에서 제작되어 활발하게 유포되고 있는 광고 프로그램 중 일부는 사용자 PC 환경을 체크하여 분석을 방해할 목적으로 설치되지 않거나 설치된 이후에도 정상적으로 동작하지 않는 사례가 점점 증가하고 있습니다.

 

이런 변화에 맞춰 역으로 사용자 PC에 특정 무료 소프트웨어를 설치함으로써 광고 프로그램이 설치 또는 동작하지 않도록 방해할 수 있는 방법에 대해 소개해 드리도록 하겠습니다.

이 글에서 표적이 되는 광고 프로그램 시리즈는 2013년경부터 본격적으로 발견되어 현재까지 활발하게 설치가 이루어지고 있는 특정 광고 제작 업체(1~3개 업체로 추정)에서 운영하는 다음과 같은 대표적인 프로그램들입니다.

 

 EasyClean

 Intelligent

 Internet Service Manager

 Mouse Control Client

 Mouse Control Service

 MyIP

 Network ADView

 RCProvider

 Reflection Infomation Client x86

 ToolTip v1.0

 Windows Baro Visit

 Windows GearExtion

 Windows Internet Service Manager

 Windows IP View (XP,Win7,Win8)

 Windows mouse protection release

 Windows Mouse Release

 Windows RCProvider

 Windows Reflection Service

 Windows ToolTip v1.0 (remove only)

 이지클린

 그 외 다수...

 

이런 광고 프로그램은 다양한 인터넷 쇼핑몰 바로가기 아이콘 생성, 사용자 PC에 존재하는 자동 실행 프로그램 정보 수집, 광고창 생성 등의 다양한 광고 동작으로 인하여 심각한 불편을 유발하고 있습니다.

특히 최근에는 Windows 부팅시 "구성된 식별자가 올바르지 않아 서버 프로세스를 시작하지 못했습니다. 사용자 이름과 암호를 점검하십시오."와 같은 gearext, mousecontrolsvc 메시지 창을 생성하는 문제도 발생하고 있는 것으로 파악되고 있습니다.

 

위와 같은 다양한 문제에 따라 다음과 같은 가상 환경 소프트웨어 및 분석 도구를 사용자 PC에 설치하여 광고 프로그램의 설치 또는 설치되어도 정상적인 동작이 이루어지지 않도록 하는 방법을 제시하므로, 관심있는 분들은 소개하는 프로그램을 설치해 두시길 권장합니다.(※ 소개하는 소프트웨어는 무료 버전이며 설치로 인해 시스템에 문제되는 부분은 없으므로 안심하시기 바랍니다.)

 

1. 네트워크 분석 프로그램 : Wireshark + WinPcap

 

Wireshark 프로그램은 네트워크 분석을 목적으로 제작되었으며, 프로그램 설치 과정에서 Windows Packet Capture 기능을 구현하기 위한 WinPcap 프로그램을 반드시 함께 설치해야 합니다.

 Wireshark 다운로드 (Stable Release 버전 중 32 / 64 비트 운영 체제에 따라 선택)

다운로드한 Wireshark 설치 파일을 실행하여 설치를 진행하는 과정에서 기본적으로 체크되어 있는 체크 항목을 유지하여 진행하시기 바라며, "Creat Shortcuts(바로가기 아이콘 생성)" 항목은 사용자 판단에 따라 체크 해제하시기 바랍니다.

다음 단계에서 "Install WinPcap 4.1.3" 체크 박스는 반드시 체크한 상태로 설치를 진행하시기 바랍니다.

WinPcap 4.1.3 버전 설치창이 추가적으로 생성되면 설치를 진행하시기 바라며, 반드시 "Automatically start the WinPcap driver at boot time" 항목에 체크한 상태로 설치하시기 바랍니다.

 

2. 프로세스 및 자동 실행 프로그램 체크 프로그램 : Sysinternals Process Explorer + Sysinternals AutoRuns

 

마이크로소프트(Microsoft) 업체에서 무료로 제공하는 프로세스와 시작 프로그램 정보를 확인할 수 있는 Sysinternals Process Explorer, Sysinternals AutoRuns 프로그램은 포터블(Portable) 버전으로 제공하는 도구입니다.

이들 프로그램은 설치 방식이 아니므로 제공되는 압축 파일을 적당한 폴더에 압축 해제하여 1회 실행만 하시면 됩니다.

 

(1) Sysinternals Process Explorer 프로그램 설치하기

 Sysinternals Process Explorer 다운로드 (ZIP 압축 파일)

다운로드한 ProcessExplorer.zip 압축 파일을 적당한 폴더에 압축 해제한 후 procexp.exe 파일을 실행하면 사용 동의창이 생성되므로 "Agree" 버튼을 클릭하시기 바랍니다.

실행된 Sysinternals Process Explorer 프로그램은 현재 실행 중인 프로세스 정보를 제공하며 이후에는 프로그램을 종료하시면 됩니다.

 

(2) Sysinternals AutoRuns 프로그램 설치하기

 Sysinternals AutoRuns 다운로드 (ZIP 압축 파일)

다운로드한 Autoruns.zip 압축 파일을 적당한 폴더에 압축 해제한 후 autoruns.exe 파일을 실행하면 사용 동의창이 생성되므로 "Agree" 버튼을 클릭하시기 바랍니다.

실행된 Sysinternals AutoRuns 프로그램은 시스템 시작시 자동 실행되는 시작 프로그램, 서비스 등의 정보를 제공하며 이후에는 프로그램을 종료하시면 됩니다.

 

3. HTTP/HTTPS 프로토콜 분석 프로그램 : Fiddler Web Debugger

 

Fiddler Web Debugger 프로그램은 Microsoft .NET Framework 환경에서 구동하는 웹 브라우저를 통해 웹 사이트 접속시 연결되는 HTTP/HTTPS 프로토콜 URL 값을 모니터링하는 도구입니다.

 Fiddler Web Debugger 다운로드 (Built for .NET 4 / Built for .NET 2 중 선택)

Fiddler Web Debugger 설치 파일을 다운로드하여 프로그램 설치시에는 기본값으로 설치하시면 되며, 특별히 설치시 주의할 점은 존재하지 않습니다.

 

4. 가상 환경 프로그램 : Oracle VM VirtualBox + VMware Player

 

가상 환경 프로그램은 현재 사용하는 운영 체제(OS) 내에 가상 환경 프로그램 설치를 통해 또 다른 운영 체제(OS)를 함께 사용할 수 있는 프로그램입니다.

 

(1) Oracle VM VirtualBox 프로그램 설치하기

 Oracle VM VirtualBox 다운로드 (VirtualBox (버전) for Windows hosts → x86/amd64 클릭)

다운로드한 Oracle VM VirtualBox 설치 파일을 실행하여 기본값 그대로 설치를 진행하시기 바라며, 설치시에는 일시적으로 네트워크 연결이 차단될 수 있으므로 모든 프로그램을 종료한 상태에서 설치를 진행하시기 바랍니다.

또한 설치 과정에 생성되는 Oracle Corporation 게시자로 표시된 "이 장치 소프트웨어를 설치하시겠습니까?" 메시지 창이 생성되는 경우 반드시 "설치" 버튼을 클릭하여 설치를 진행하시기 바랍니다.

참고로 Oracle VM VirtualBox 가상 환경 프로그램을 설치한 후 가상 환경을 위한 추가적인 Windows 설치는 하실 필요는 없습니다.

 

(2) VMware Player 또는 VMware Workstation 프로그램 설치하기

 VMware Player 다운로드 (VMware Player for Windows → Download 클릭)

가상 환경 프로그램인 VMware Workstation 프로그램은 유료 제품으로 인하여 대체적인 성격인 VMware Player 무료 프로그램을 소개해 드립니다. 만약 능력이 되시는 분들은 VMware Workstation 프로그램을 설치해 두시길 권장합니다.

VMware Player 또는 VMware Workstation 설치 파일을 다운로드하여 기본값 그대로 프로그램 설치를 진행하시기 바라며, 프로그램 설치시에는 일시적으로 네트워크 차단이 이루어질 수 있으므로 모든 프로그램을 종료한 상태에서 진행하시기 바랍니다.

VMware Player 또는 VMware Workstation 가상 환경 프로그램을 설치한 후에는 추가적인 Windows 운영 체제를 설치하실 필요는 없습니다.

 

이상과 같이 글에서 소개한 Wireshark, WinPcap, Sysinternals Process Explorer, Sysinternals AutoRuns, Fiddler Web Debugger, Oracle VM VirtualBox, VMware Player 또는 VMware Workstation 프로그램을 설치한 환경에서는 국내 또는 해외에서 제작된 일부 광고 프로그램들이 설치되지 않거나 설치되어도 정상적으로 동작하지 않도록 방해가 가능합니다.

 

그러므로 수시로 광고 프로그램이 설치되는 사용자들은 글을 잘 참고하여 프로그램을 모두 설치해 두시고 PC를 사용하시는 것도 좋으며, 설치된 프로그램을 사용자가 직접 실행할 필요없이 단순히 설치해 두는 것만으로도 효과를 볼 수 있습니다.