본문 바로가기
벌새::Analysis

검색 도우미 : ADart

벌새 2015. 5. 5. 14:24
반응형

인터넷 검색 및 웹 브라우저 종료시 광고창을 생성할 수 있는 국내에서 제작된 ADart 광고 프로그램<SHA-1 : 201998b79dc42e31fe79ded7d956c5a2a39e71b5 - AhnLab V3 365 Clinic : PUP/Win32.WinDisplay.R99761 (VT : 22/56)>에 대해 살펴보도록 하겠습니다.

 

해당 프로그램은 기존의 인터넷 쇼핑몰 바로가기 아이콘 및 광고창을 생성하는 WinDisplay 광고 프로그램의 변종입니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Users\(사용자 계정)\AppData\Local\adart
C:\Users\(사용자 계정)\AppData\Local\adart\11st.ico
C:\Users\(사용자 계정)\AppData\Local\adart\adart.exe :: 시작 프로그램(adart) 등록 파일
C:\Users\(사용자 계정)\AppData\Local\adart\adartex.exe :: 메모리 상주 프로세스
C:\Users\(사용자 계정)\AppData\Local\adart\adartun.exe :: 프로그램 삭제 파일
C:\Users\(사용자 계정)\AppData\Local\adart\auction.ico
C:\Users\(사용자 계정)\AppData\Local\adart\favicon.ico
C:\Users\(사용자 계정)\AppData\Local\adart\gmarket.ico

 

 

[생성 파일 진단 정보]

 

C:\Users\(사용자 계정)\AppData\Local\adart\adart.exe
 - SHA-1 : 50eebcb243b0df93e365a696f979728612ba3911
 - AVG : Win32/DH{gQwgJCIlDy42} (VT : 12/56)

 

C:\Users\(사용자 계정)\AppData\Local\adart\adartex.exe
 - SHA-1 : d6e224ac2c6da8eef444e2df2c0c86ec4a7a54b7
 - Avira : TR/Clicker.321248.1 (VT : 23/53)

 

C:\Users\(사용자 계정)\AppData\Local\adart\adartun.exe
 - SHA-1 : d2463d9f0943641004d3c2e6a3f1d0b96926c422
 - avast! : Win32:Adware-gen [Adw] (VT : 16/55)

"DOTPITCH.INC" 디지털 서명이 포함된 해당 프로그램은 "C:\Users\(사용자 계정)\AppData\Local\adart" 폴더에 파일을 생성하며, Windows 시작시 "C:\Users\(사용자 계정)\AppData\Local\adart\adart.exe" 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.

자동 실행된 파일(adart.exe)은 특정 서버 연결을 체크한 후 업데이트 및 광고 기능을 수행하는 "C:\Users\(사용자 계정)\AppData\Local\adart\adartex.exe" 파일을 로딩하여 메모리에 상주시킵니다.

프로그램이 설치된 환경에서 인터넷 검색 또는 웹 브라우저 창(탭)을 종료하는 시점에서 자동으로 제휴 코드가 포함된 광고창을 생성할 수 있습니다.

 

또한 추가적으로 테스트 당시에는 동작하지 않은 바탕 화면 및 즐겨찾기 영역에 11번가, G마켓, 옥션 인터넷 쇼핑몰 바로가기 아이콘을 생성할 수도 있습니다.

 

ADart 광고 프로그램 삭제 방법

(a) Windows 작업 관리자를 실행하여 메모리에 상주하는 adartex.exe 프로세스를 찾아 종료하시기 바랍니다.

(b) 제어판 또는 체크잇(CheckIt : www.checkitinfo.com) 프로그램에 등록된 "adart" 삭제 항목을 이용하여 프로그램 제거를 진행할 수 있습니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\adart
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - adart = C:\Users\(사용자 계정)\AppData\Local\adart\adart.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\adart

 

ADart 광고 프로그램은 광고창 및 인터넷 쇼핑몰 바로가기 아이콘을 생성할 수 있으므로 원치않는 광고 프로그램 설치로 인해 불편을 겪지 않도록 주의하시기 바랍니다.

728x90
반응형

티스토리툴바