본문 바로가기

벌새::Analysis

PC 예약 종료 기능을 제공하는 오프매니저(OffManager) 프로그램에 포함된 광고 기능 주의 (2014.9.28)

반응형

PC 예약 종료 기능을 가진 오프매니저(OffManager) 프로그램<SHA-1 : 35f51e85d049b9063141872db107844008f2d373 - AhnLab V3 365 Clinic : PUP/Win32.MediaLab.C570807 (VT : 2/55)>이 설치된 경우 인터넷 검색 및 웹 사이트 접속시 광고창이 생성되는 사례에 대해 살펴보도록 하겠습니다.

해당 프로그램은 기존의 포커스온 이미지 뷰어 프로그램 설치시 광고 기능을 수행하는 MediaUpdate 프로그램의 변종이므로 참고하시기 바랍니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\OffManager
C:\OffManager\OffManager.exe :: 시작 프로그램 등록 파일, 메모리 상주 프로세스
C:\OffManager\Uninstall.exe :: 프로그램 삭제 파일
C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\OffManager
C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\OffManager\오프매니저.lnk

 

[생성 파일 진단 정보]

 

C:\OffManager\OffManager.exe
 - SHA-1 : dfc6486a8a57552068fa502fb0a7671a5fd07c30
 - AhnLab V3 365 Clinic : PUP/Win32.MediaLab.C573653 (VT : 2/55)

 

C:\OffManager\Uninstall.exe
 - SHA-1 : a840be8d80dbf1e986a2f044d8afa5c56052c32f
 - BitDefender : Adware.Generic.1017800 (VT : 8/54)

"KoreaMediaLab Co.,Ltd" 디지털 서명이 포함된 해당 프로그램은 "C:\OffManager" 폴더에 파일을 생성하며, Windows 시작시 "C:\OffManager\OffManager.exe" 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.

  • h**p://update.me***update.co.kr/bin/OffManagerSetup.DA.exe (SHA-1 : 33306d02867e9b5b0609d4081528f755f28056c0) - AhnLab V3 365 Clinic : PUP/Win32.MediaLab.C570807 (VT : 2/55)

실행된 파일(OffManager.exe)은 업데이트 체크를 통해 추가적인 파일 다운로드 및 실행이 이루어질 수 있으며 추가적으로 광고 구성값 정보를 체크한 후 메모리에 상주합니다.

프로그램이 설치된 환경에서는 시스템 트레이 알림 아이콘 영역에 "오프매니저" 아이콘이 생성되어 특정 시간이 경과할 경우 시스템 종료 기능을 제공하고 있습니다.

하지만 오프매니저(OffManager) 프로그램은 PC 예약 종료 기능 이외에 사용자가 특정 검색 키워드 값을 이용한 인터넷 검색 및 특정 웹 사이트(인터넷 쇼핑몰, 게임 관련 사이트 등) 접속 과정에서 광고창을 자동으로 생성할 수 있습니다.

 

또한 테스트 당시에는 확인되지 않지만 인터넷 상에서 본인 인증시 추가적인 광고창 생성이 이루어질 수 있습니다.

해당 광고 기능 중지 및 프로그램 삭제를 위해서는 우선적으로 Windows 작업 관리자를 실행하여 OffManager.exe 프로세스를 찾아 종료하시기 바랍니다.

그 후 제어판에 등록된 "OffManager" 삭제 항목을 이용하여 프로그램 제거를 할 수 있습니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\KoreaMediaLab
HKEY_CURRENT_USER\Software\KoreaMediaLab\OffManager
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - OffManager = "C:\OffManager\OffManager.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\
KoreaMediaLab OffManager

 

오프매니저(OffManager) 프로그램처럼 유용한 기능이 포함된 프로그램 내부에 광고 기능이 포함된 경우가 많으므로 검증되지 않은 프로그램을 함부로 설치하여 인터넷 이용시 불편을 유발하지 않도록 주의하시기 바랍니다.

 

 
728x90
반응형