즐겨찾기 영역에 인터넷 쇼핑몰 바로가기 아이콘 생성 및 인터넷 검색 또는 웹 브라우저 종료시 광고창을 생성하는 국내에서 제작된 "pvinc plugin" 광고 프로그램<SHA-1 : 56bd6bd03fa66a4d2b08051d9d1b76a06a456e28 - AhnLab V3 365 Clinic : PUP/Win32.Installer.C790594 (VT : 17/57)>에 대해 살펴보도록 하겠습니다.
해당 광고 프로그램은 2015년 2월경 배포가 시작되었으며, 설치 과정을 살펴보면 "C:\Program Files\setup.exe" 설치 파일<SHA-1 : 25392ddabb845f60bdf2a48400acbb719612b7d6 - AVG : Win32/DH{gQyBEkEuDyAkIls} (VT : 17/57)>을 생성하여 다음과 같은 프로그램을 설치한 후 자신은 자동 삭제 처리합니다.
C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\sofa
C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\sofa\i
C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\sofa\i\1.ico
C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\sofa\i\2.ico
C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\sofa\i\3.ico
C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\sofa\pvcl.exe
C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\sofa\pvinc.exe :: 메모리 상주 프로세스
C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\sofa\unins000.dat
C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\sofa\unins000.exe :: 프로그램 삭제 파일
C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\sofa\upvinc.dat
C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\sofa\upvinc.exe :: 시작 프로그램(pv_inc) 등록 파일
C:\Users\(사용자 계정)\Favorites\11번가 이동.URL
C:\Users\(사용자 계정)\Favorites\옥션 이동.URL
C:\Users\(사용자 계정)\Favorites\G마켓 이동.URL
C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\sofa\pvinc.exe
- SHA-1 : e8c1c8be0f9a24724fbce625427a142d52236d84
- AhnLab V3 365 Clinic : PUP/Win32.Agent.C861289 (VT : 14/57)
C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\sofa\upvinc.exe
- SHA-1 : 4fed20152200cfb327c04ecc3f85c6a2abb9cfb0
- AhnLab V3 365 Clinic : PUP/Win32.WindowsLiveProtect.R29168 (VT : 6/57)
Gong-gam, Pabluskorea 2종의 디지털 서명이 포함된 "pvinc plugin" 광고 프로그램은 마이크로소프트(Microsoft) 폴더 내의 "C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\sofa" 폴더를 생성하여 프로그램을 설치합니다.
Windows 시작시 "C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\sofa\upvinc.exe" 파일을 시작 프로그램(pv_inc)으로 등록하여 자동 실행되도록 구성되어 있으며, 이를 통한 업데이트 체크를 통해 광고 기능을 수행하는 "C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\sofa\pvinc.exe" 파일을 메모리에 상주시킵니다.
- G마켓 이동 : {000000A1-CA93-46BB-9D4A-DBD498CB8944}
- 옥션 이동 : {000000A2-F93E-4C0B-87D5-490AEF45ADD3}
- 11번가 이동 : {000000A3-57A6-49EA-B96B-1428070E5924}
"pvinc plugin" 광고 프로그램이 설치된 환경에서는 Internet Explorer 웹 브라우저의 명령 모음 영역에 11번가, G마켓, 옥션 바로가기 아이콘을 생성하며, 설치 과정에서 정상적인 "Java(tm) Plug-In SSV Helper" BHO 항목(HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43})을 자동 삭제합니다.
"pvinc plugin" 광고 프로그램은 기본적으로 즐겨찾기 영역에 11번가, G마켓, 옥션 바로가기 아이콘을 추가하여 접속시 특정 제휴 코드(click.linkprice.com)을 경유하여 인터넷 쇼핑몰에 접속하도록 되어 있습니다.
또한 인터넷 검색 또는 웹 브라우저를 종료하는 시점에서 자동으로 제휴 코드가 포함된 인터넷 쇼핑몰 광고창을 생성할 수 있습니다.
■ "pvinc plugin" 광고 프로그램 삭제 방법
(a) Windows 작업 관리자를 실행하여 메모리에 상주하는 pvinc.exe 프로세스를 찾아 종료하시기 바랍니다.
(b) 제어판 또는 체크잇(CheckIt : www.checkitinfo.com) 프로그램에 등록된 "pvinc plugin" 삭제 항목을 이용하여 프로그램 제거를 진행할 수 있습니다.
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Extensions\{000000A1-CA93-46BB-9D4A-DBD498CB8944}
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Extensions\{000000A2-F93E-4C0B-87D5-490AEF45ADD3}
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Extensions\{000000A3-57A6-49EA-B96B-1428070E5924}
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- pv_inc = C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\sofa\upvinc.exe
HKEY_LOCAL_MACHINE\SOFTWARE\AppDataLow
- pvi = 0
HKEY_LOCAL_MACHINE\SOFTWARE\AppDataLow\upvinc
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- pv_inc = C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\sofa\upvinc.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
pv_inc_is1
"pvinc plugin" 프로그램은 이름만으로는 광고 프로그램인지 유추가 쉽지 않으며, 마이크로소프트(Microsoft) 폴더 내에 설치되어 설치 여부를 확인하기 매우 어려우므로 설치되지 않도록 주의하시기 바랍니다.
☞ <2011년~2012년 관련 정보> 검색 도우미 : Windows Plus (2012.12.11) 외 10종
☞ <2013년 관련 정보> 프로그램 삭제 방해 및 ehame.exe 오류창을 생성하는 프로그램 유포 주의 (2013.11.27) 외 10종
☞ 공인인증서 폴더(NPKI)를 악용하는 incminfo 광고 프로그램 주의 (2015.4.27)