울지않는벌새 : Security, Movie & Society

검색 도우미 : 팝클릭(PopClick) - 1.4

벌새::Analysis

특정 검색 키워드를 이용하여 인터넷 검색을 시도할 경우 자동으로 광고창을 생성하는 국내에서 제작된 팝클릭(PopClick) 광고 프로그램에 대해 살펴보도록 하겠습니다.

설치 과정을 살펴보면 배포 파일(SHA-1 : 208b542b90170988b56b5833586de09b3654e0e7) 실행을 통해 특정 서버에서 팝클릭(PopClick) 설치 파일을 다운로드하여 "C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Windows\Templates\PopClickInstall_2.exe" 파일(SHA-1 : 9aacd4f79a2efc04b9ed002dbbc5a871d054ac17)로 생성하여 다음과 같은 설치가 진행됩니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Windows\System32\Tasks\PopClick
C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Windows\Templates\PopClick_License_20150518.rtf
C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Windows\Templates\PopClickInstall_2.exe
C:\Users\(사용자 계정)\AppData\Roaming\Micrsort
C:\Users\(사용자 계정)\AppData\Roaming\Micrsort\pgConfig3.dt
C:\Users\(사용자 계정)\AppData\Roaming\PopClick
C:\Users\(사용자 계정)\AppData\Roaming\PopClick\E_popclickF.txt
C:\Users\(사용자 계정)\AppData\Roaming\PopClick\E_popclickN.txt
C:\Users\(사용자 계정)\AppData\Roaming\PopClick\E_popclickR.txt
C:\Users\(사용자 계정)\AppData\Roaming\PopClick\E_popclickS.txt
C:\Users\(사용자 계정)\AppData\Roaming\PopClick\E_popclickT.txt
C:\Users\(사용자 계정)\AppData\Roaming\PopClick\pck.dll
C:\Users\(사용자 계정)\AppData\Roaming\PopClick\PopClick.exe :: 예약 작업(PopClick) 등록 파일, 메모리 상주 프로세스
C:\Users\(사용자 계정)\AppData\Roaming\PopClick\unins000.dat
C:\Users\(사용자 계정)\AppData\Roaming\PopClick\unins000.exe :: 프로그램 삭제 파일

Wetelecommunication 디지털 서명이 포함된 팝클릭(PopClick) 광고 프로그램은 숨김(H) 속성값을 가진 폴더 내의 "C:\Users\(사용자 계정)\AppData\Roaming\PopClick" 폴더에 파일을 생성합니다.

예약 작업 영역에 PopClick 작업 스케줄러값을 등록하여 시스템 시작시 "C:\Users\(사용자 계정)\AppData\Roaming\PopClick\PopClick.exe" 파일(SHA-1 : e7608f371ed26eafcf5c4b791068f5abf937f216)을 자동 실행하여 광고 구성값 정보를 체크한 후 메모리에 상주하도록 구성되어 있습니다.

프로그램이 설치된 환경에서 특정 검색 키워드를 이용하여 인터넷 검색을 시도할 경우 "PopClick.exe + pck.dll" 광고 모듈(SHA-1 : 92dbe33ea01d2d361a60758631726867564a7b7e)을 통해 자동으로 광고창이 생성되는 것을 확인할 수 있습니다.

 

또한 사용자가 입력한 검색 키워드값은 "C:\Users\(사용자 계정)\AppData\Roaming\Micrsort\pgConfig3.dt" 파일로 저장이 이루어집니다.

 

팝클릭(PopClick) 광고 프로그램 삭제 방법

(a) Windows 작업 관리자를 실행하여 메모리에 상주하는 PopClick.exe 프로세스를 찾아 종료하시기 바랍니다.

(b) 제어판에 등록된 1.4 <우리텔레코뮤니케이션(주)> 삭제 항목을 이용하여 제거할 수 있으며, 프로그램 삭제 후에는 다음의 폴더(파일)를 찾아 추가로 삭제하시기 바랍니다.(※ 추가로 확인된 변종에서는 제어판에 "PopClick" 삭제 항목으로 등록되어 있을 수 있습니다.)

  • C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Windows\Templates\PopClick_License_20150518.rtf
  • C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Windows\Templates\PopClickInstall_2.exe
  • C:\Users\(사용자 계정)\AppData\Roaming\Micrsort
  • C:\Users\(사용자 계정)\AppData\Roaming\PopClick
[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\PopClick
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
{D099476D-5854-4043-A747-5233C9DA191A}_is1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{C0AC7D5A-29B8-4F72-972A-171BC82A4BC9}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\PopClick

 

팝클릭(PopClick)의 프로그램 이름이 1.4로 표시되어 사용자가 프로그램을 찾아 삭제하기 어려울 수 있으며, 인터넷 검색시 불법 도박 광고창 등 불량한 광고가 노출될 수 있으므로 설치되지 않도록 주의하시기 바랍니다.

 

[관련글 보기]

 

검색 도우미 : SmartPush (2014.3.5)