본문 바로가기

벌새::PUP Info

해외 광고 프로그램 : TotalPlusHD-3.1V25.11

반응형

 

해외 광고성 웹 사이트를 이용하던 중 HD 고화질 영상 감상을 위한 프로그램 다운로드 또는 다양한 제휴 프로그램을 통해 설치가 이루어지는 것으로 추정되는 TotalPlusHD-3.1V25.11 해외 광고 프로그램의 파일 정보가 수집되어 살펴보도록 하겠습니다.

해당 프로그램은 HD-V1.9, HD+v2.1, HDPlus-V1.9, TotalPlusHD-3.1V14.10, TotalPlusHD-3.1V16.11 등의 유사한 변종 프로그램이 존재하므로 참고하시기 바랍니다.

 

TotalPlusHD-3.1V25.11 프로그램 정보

 

파일 경로

 C:\Program Files (x86)\TotalPlusHD-3.1V25.11\11da2501-fe9b-4aaf-b547-1246bfcbf879.exe

MD5

 DD3432DA3014D534FA568C85118AFD7E

진단명

 Adware/CrossRider.KC (Avira)

디지털 서명

 Winston Project

제품 이름

 TotalPlusHD-3.1V25.11

파일 설명

 TotalPlusHD-3.1V25.11 exe

비고

 메모리 상주 프로세스

 

파일 경로

 C:\Program Files (x86)\TotalPlusHD-3.1V25.11\2d374c00-0afb-44b3-95e5-4a41d9686eee-2.exe

MD5

 111FD6AD0446659940C50A8436906333

진단명

 not-a-virus:AdWare.NSIS.Adwapper.dg (Kaspersky)

디지털 서명

 Winston Project

제품 이름

 TotalPlusHD-3.1V25.11

파일 설명

 TotalPlusHD-3.1V25.11 exe

비고

 예약 작업(C:\Windows\Tasks\2d374c00-0afb-44b3-95e5-4a41d9686eee-2.job) 등록 파일

 

파일 경로

 C:\Program Files (x86)\TotalPlusHD-3.1V25.11\2d374c00-0afb-44b3-95e5-4a41d9686eee-3.exe

MD5

 BB18F4817438B13FD66F348B0238DA02

진단명

 Winston.EBB (AVG)

디지털 서명

 Winston Project

제품 이름

 TotalPlusHD-3.1V25.11

파일 설명

 TotalPlusHD-3.1V25.11 exe

비고

 예약 작업(C:\Windows\Tasks\2d374c00-0afb-44b3-95e5-4a41d9686eee-3.job) 등록 파일

 

파일 경로

 C:\Program Files (x86)\TotalPlusHD-3.1V25.11\2d374c00-0afb-44b3-95e5-4a41d9686eee-4.exe

MD5

 CB1CDADE742F61BF8F1F4370C21012A9

진단명

 PUP/Win32.CrossRider (AhnLab V3 365 Clinic)

디지털 서명

 Winston Project

제품 이름

 TotalPlusHD-3.1V25.11

파일 설명

 TotalPlusHD-3.1V25.11 exe

비고

 예약 작업(C:\Windows\Tasks\2d374c00-0afb-44b3-95e5-4a41d9686eee-4.job) 등록 파일

 

파일 경로

 C:\Program Files (x86)\TotalPlusHD-3.1V25.11\2d374c00-0afb-44b3-95e5-4a41d9686eee-5.exe

MD5

 1C67A7EA714F4FE621E96CF2C0A274A1

진단명

 Adware/CrossRider.KC (Avira)

디지털 서명

 Winston Project

제품 이름

 TotalPlusHD-3.1V25.11

파일 설명

 TotalPlusHD-3.1V25.11 exe

비고

 예약 작업(C:\Windows\Tasks\2d374c00-0afb-44b3-95e5-4a41d9686eee-5.job, C:\Windows\Tasks\2d374c00-0afb-44b3-95e5-4a41d9686eee-5_user.job) 등록 파일

 

파일 경로

 C:\Program Files (x86)\TotalPlusHD-3.1V25.11\2d374c00-0afb-44b3-95e5-4a41d9686eee-6.exe

MD5

 2CB35C935E6233311D279FA0E9D6D117

진단명

 not-a-virus:AdWare.NSIS.Adwapper.dg (Kaspersky)

디지털 서명

 Winston Project

제품 이름

 TotalPlusHD-3.1V25.11

파일 설명

 TotalPlusHD-3.1V25.11 exe

비고

 메모리 상주 프로세스

 

파일 경로

 C:\Program Files (x86)\TotalPlusHD-3.1V25.11\2d374c00-0afb-44b3-95e5-4a41d9686eee-7.exe

MD5

 098BD5A8E86DBF64F92120FEA0D0DDE7

진단명

 Win32:Crossrider-AH [PUP] (avast!)

디지털 서명

 Winston Project

제품 이름

 TotalPlusHD-3.1V25.11

파일 설명

 TotalPlusHD-3.1V25.11 exe

비고

 예약 작업(C:\Windows\Tasks\2d374c00-0afb-44b3-95e5-4a41d9686eee-7.job) 등록 파일

 

파일 경로

 C:\Program Files (x86)\TotalPlusHD-3.1V25.11\2d374c00-0afb-44b3-95e5-4a41d9686eee-11.exe

MD5

 BB18F4817438B13FD66F348B0238DA02

진단명

 Winston.EBB (AVG)

디지털 서명

 Winston Project

제품 이름

 TotalPlusHD-3.1V25.11

파일 설명

 TotalPlusHD-3.1V25.11 exe

비고

 예약 작업(C:\Windows\Tasks\2d374c00-0afb-44b3-95e5-4a41d9686eee-11.job) 등록 파일

 

파일 경로

 C:\Program Files (x86)\TotalPlusHD-3.1V25.11\TotalPlusHD-3.1V25.11-bg.exe

MD5

 5A05994B150A8416300F2B5FC000D12A

진단명

 Adware/CrossRider.KC (Avira)

디지털 서명

 Winston Project

제품 이름

 TotalPlusHD-3.1V25.11

파일 설명

 TotalPlusHD-3.1V25.11 exe

비고

 메모리 상주 프로세스

 

파일 경로

 C:\Program Files (x86)\TotalPlusHD-3.1V25.11\TotalPlusHD-3.1V25.11-bho.dll

MD5

 AB84880F517E3D3F8F0489739C54F1AF

진단명

 PUP/Win32.CrossRider (AhnLab V3 365 Clinic)

디지털 서명

 Winston Project

제품 이름

 TotalPlusHD-3.1V25.11

파일 설명

 TotalPlusHD-3.1V25.11 BHO

레지스트리

등록값

 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer

\Browser Helper Objects\{11111111-1111-1111-1111-110611321185}

비고

 브라우저 도우미 개체(BHO) 등록 파일

 

파일 경로

 C:\Program Files (x86)\TotalPlusHD-3.1V25.11\TotalPlusHD-3.1V25.11-codedownloader.exe

MD5

 098BD5A8E86DBF64F92120FEA0D0DDE7

진단명

 Win32:Crossrider-AH [PUP] (avast!)

디지털 서명

 Winston Project

제품 이름

 TotalPlusHD-3.1V25.11

파일 설명

 TotalPlusHD-3.1V25.11 exe

비고

 예약 작업(C:\Windows\Tasks\2d374c00-0afb-44b3-95e5-4a41d9686eee-1.job) 등록 파일

 

파일 경로

 C:\Users\(사용자 계정)\AppData\Roaming\ALQL.exe

MD5

 BB18F4817438B13FD66F348B0238DA02

진단명

 Winston.EBB (AVG)

디지털 서명

 Winston Project

제품 이름

 TotalPlusHD-3.1V25.11

파일 설명

 TotalPlusHD-3.1V25.11 exe

비고

 예약 작업(C:\Windows\Tasks\ALQL.job) 등록 파일, 랜덤(Random)한 파일명으로 생성 가능

 

파일 경로

 C:\Users\(사용자 계정)\AppData\Roaming\RS.exe

MD5

 CB1CDADE742F61BF8F1F4370C21012A9

진단명

 PUP/Win32.CrossRider (AhnLab V3 365 Clinic)

디지털 서명

 Winston Project

제품 이름

 TotalPlusHD-3.1V25.11

파일 설명

 TotalPlusHD-3.1V25.11 exe

비고

 예약 작업(C:\Windows\Tasks\RS.job) 등록 파일, 랜덤(Random)한 파일명으로 생성 가능

 

"Winston Project" 디지털 서명이 포함된 TotalPlusHD-3.1V25.11 광고 프로그램은 "C:\Program Files (x86)\TotalPlusHD-3.1V25.11" 폴더와 숨김(H) 속성값을 가진 "C:\Users\(사용자 계정)\AppData\Roaming" 폴더에 램덤(Random)한 파일명으로 실행 파일을 생성할 수 있습니다.

  • "C:\Windows\Tasks\2d374c00-0afb-44b3-95e5-4a41d9686eee-1.job" 작업 스케줄러 : C:\Program Files (x86)\TotalPlusHD-3.1V25.11\TotalPlusHD-3.1V25.11-codedownloader.exe
  • "C:\Windows\Tasks\2d374c00-0afb-44b3-95e5-4a41d9686eee-2.job" 작업 스케줄러 : C:\Program Files (x86)\TotalPlusHD-3.1V25.11\2d374c00-0afb-44b3-95e5-4a41d9686eee-2.exe
  • "C:\Windows\Tasks\2d374c00-0afb-44b3-95e5-4a41d9686eee-3.job" 작업 스케줄러 : C:\Program Files (x86)\TotalPlusHD-3.1V25.11\2d374c00-0afb-44b3-95e5-4a41d9686eee-3.exe
  • "C:\Windows\Tasks\2d374c00-0afb-44b3-95e5-4a41d9686eee-4.job" 작업 스케줄러 : C:\Program Files (x86)\TotalPlusHD-3.1V25.11\2d374c00-0afb-44b3-95e5-4a41d9686eee-4.exe
  • "C:\Windows\Tasks\2d374c00-0afb-44b3-95e5-4a41d9686eee-5.job" 작업 스케줄러 : C:\Program Files (x86)\TotalPlusHD-3.1V25.11\2d374c00-0afb-44b3-95e5-4a41d9686eee-5.exe
  • "C:\Windows\Tasks\2d374c00-0afb-44b3-95e5-4a41d9686eee-5_user.job" 작업 스케줄러 : C:\Program Files (x86)\TotalPlusHD-3.1V25.11\2d374c00-0afb-44b3-95e5-4a41d9686eee-5.exe
  • "C:\Windows\Tasks\2d374c00-0afb-44b3-95e5-4a41d9686eee-7.job" 작업 스케줄러 : C:\Program Files (x86)\TotalPlusHD-3.1V25.11\2d374c00-0afb-44b3-95e5-4a41d9686eee-7.exe
  • "C:\Windows\Tasks\2d374c00-0afb-44b3-95e5-4a41d9686eee-11.job" 작업 스케줄러 : C:\Program Files (x86)\TotalPlusHD-3.1V25.11\2d374c00-0afb-44b3-95e5-4a41d9686eee-11.exe
  • "C:\Windows\Tasks\ALQL.job" 작업 스케줄러 : C:\Users\(사용자 계정)\AppData\Roaming\ALQL.exe
  • "C:\Windows\Tasks\RS.job" 작업 스케줄러 : C:\Users\(사용자 계정)\AppData\Roaming\RS.exe

설치된 광고 프로그램은 예약 작업 영역에 다수의 작업 스케줄러 값을 등록하여 시스템 시작시 자동 실행되어 업데이트 및 광고 구성값 정보를 체크하며, 이를 통해 다음과 같은 파일을 메모리에 상주시킵니다.

  • C:\Program Files (x86)\TotalPlusHD-3.1V25.11\11da2501-fe9b-4aaf-b547-1246bfcbf879.exe
  • C:\Program Files (x86)\TotalPlusHD-3.1V25.11\2d374c00-0afb-44b3-95e5-4a41d9686eee-6.exe
  • C:\Program Files (x86)\TotalPlusHD-3.1V25.11\TotalPlusHD-3.1V25.11-bg.exe

프로그램이 설치된 환경에서 Internet Explorer 웹 브라우저 실행시 브라우저 도우미 개체(BHO)로 등록된 "C:\Program Files (x86)\TotalPlusHD-3.1V25.11\TotalPlusHD-3.1V25.11-bho.dll" 광고 모듈을 로딩하여 인터넷 검색 및 웹 사이트 접속시 광고 배너 등을 생성하여 수익 활동을 할 수 있을 것으로 보입니다.

프로그램 삭제는 기본적으로 제어판에 등록된 "TotalPlusHD-3.1V25.11" 삭제 항목을 이용하여 제거할 수 있으며, 수동으로 프로그램 삭제를 원하는 경우에는 다음의 절차를 참조하여 제거하시기 바랍니다.

 

(a) Windows 작업 관리자를 실행하여 11da2501-fe9b-4aaf-b547-1246bfcbf879.exe / 2d374c00-0afb-44b3-95e5-4a41d9686eee-6.exe / TotalPlusHD-3.1V25.11-bg.exe 프로세스를 찾아 종료하시기 바랍니다.

 

(b) Internet Explorer 웹 브라우저를 종료한 상태에서 다음의 폴더(파일)를 찾아 직접 삭제하시기 바랍니다.

  • C:\Program Files (x86)\TotalPlusHD-3.1V25.11
  • "C:\Users\(사용자 계정)\AppData\Roaming" 폴더에 존재하는 실행 파일의 속성값을 확인하여 "Winston Project" 디지털 서명 또는 "TotalPlusHD-3.1V25.11" 정보가 포함된 파일을 찾아 모두 삭제하시기 바랍니다.

(c) "제어판 → 시스템 및 보안 → 관리 도구 → 예약 작업" 메뉴를 실행하여 생성된 작업 스케줄러 창에서 "작업 스케줄러 라이브러리"에 등록된 값 중 TotalPlusHD-3.1V25.11 관련값을 찾아 모두 삭제하시기 바랍니다.

 

(d) 레지스트리 편집기(regedit)를 실행하여 "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{11111111-1111-1111-1111-110611321185}"
값을 찾아 삭제하시기 바랍니다.

 

그 외에도 Google Chrome, Mozilla Firefox 웹 브라우저 사용자는 추가적인 각 웹 브라우저의 확장 프로그램, 확장 기능 항목을 확인하여 TotalPlusHD-3.1V25.11 관련 플러그인이 등록된 경우 제거하시기 바랍니다.

 

TotalPlusHD 해외 광고 프로그램 시리즈는 다양한 버전별로 변종이 존재하며 다수의 작업 스케줄러 등록을 한다는 공통점이 있으므로 인터넷 이용시 원치않는 해외 광고 배너가 생성되는 경우 점검해 보시기 바랍니다.

 

 

728x90
반응형