사용자의 인터넷 검색 정보를 기반으로 광고창을 생성할 수 있는 국내에서 제작된 "Micro blue-ad secure softwear profile" 광고 프로그램<SHA-1 : 7fdeb784ac7eaa43d58a9497eb884f8c110921f3 - ESET : a variant of Win32/Adware.PopAd.AE (VT : 23/55)>에 대해 살펴보도록 하겠습니다.

해당 프로그램은 기존부터 유사한 기능을 가진 다양한 이름으로 배포되고 있었으므로 참고하시기 바랍니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Users\(사용자 계정)\AppData\Roaming\bluead
C:\Users\(사용자 계정)\AppData\Roaming\bluead\common
C:\Users\(사용자 계정)\AppData\Roaming\bluead\common\bin
C:\Users\(사용자 계정)\AppData\Roaming\bluead\common\bin\BAGuard.exe :: 시작 프로그램(guardba) 등록 파일
C:\Users\(사용자 계정)\AppData\Roaming\bluead\common\bin\bap_kwd.dat
C:\Users\(사용자 계정)\AppData\Roaming\bluead\common\bin\bap_nsminfo.dat
C:\Users\(사용자 계정)\AppData\Roaming\bluead\common\bin\bap_ominfo.dat
C:\Users\(사용자 계정)\AppData\Roaming\bluead\common\bin\bap_recog.dat
C:\Users\(사용자 계정)\AppData\Roaming\bluead\common\bin\bap_sku.dat
C:\Users\(사용자 계정)\AppData\Roaming\bluead\common\bin\baple.exe :: 시작 프로그램(BAgrd) 등록 파일, 메모리 상주 프로세스
C:\Users\(사용자 계정)\AppData\Roaming\bluead\common\bin\BASch.exe
C:\Users\(사용자 계정)\AppData\Roaming\bluead\common\bin\BAUpdate.exe :: 시작 프로그램(BAPop) 등록 파일
C:\Users\(사용자 계정)\AppData\Roaming\bluead\common\bin\bluead.dll
C:\Users\(사용자 계정)\AppData\Roaming\bluead\common\bin\RmBA.exe :: 프로그램 삭제 파일

 

[생성 파일 진단 정보]

 

C:\Users\(사용자 계정)\AppData\Roaming\bluead\common\bin\BAGuard.exe
 - SHA-1 : 394eb575b791d7b4bf08482856d8b1fdea06e1aa
 - AhnLab V3 365 Clinic : PUP/Win32.Helper.C992000 (VT : 3/55)

 

C:\Users\(사용자 계정)\AppData\Roaming\bluead\common\bin\baple.exe
 - SHA-1 : f75c65af4796d0b43d24d15cc46475e2589b0157
 - AhnLab V3 365 Clinic : PUP/Win32.Helper.C992034 (VT : 5/55)

 

C:\Users\(사용자 계정)\AppData\Roaming\bluead\common\bin\bluead.dll
 - SHA-1 : f9ea84dff7f22baa4a8a0c97361e51482017e254
 - BitDefender : Gen:Variant.Adware.Symmi.49980 (VT : 33/55)

Qzoneinteractive 디지털 서명이 포함된 "Micro blue-ad secure softwear profile" 광고 프로그램은 "C:\Users\(사용자 계정)\AppData\Roaming\bluead" 폴더에 파일을 생성하며, Windows 시작시 다음과 같은 시작 프로그램 등록값을 통해 자동 실행되도록 구성되어 있습니다.

  • 시작 프로그램(BAgrd) : C:\Users\(사용자 계정)\AppData\Roaming\BlueAD\common\bin\Baple.exe
  • 시작 프로그램(BAPop) : C:\Users\(사용자 계정)\AppData\Roaming\BlueAD\common\bin\BAUpdate.exe
  • 시작 프로그램(guardba) : C:\Users\(사용자 계정)\AppData\Roaming\BlueAD\common\bin\BAGuard.exe

자동 실행된 "C:\Users\(사용자 계정)\AppData\Roaming\bluead\common\bin\BAUpdate.exe" 파일(SHA-1 : 1d8b6431db261e16418bc360e5ef1122ab16aa27)은 특정 서버에서 업데이트 정보를 체크하여 추가적인 정보가 등록되어 있을 경우 "Blue-Ad Updater" 창 생성을 통해 추가적인 제휴 프로그램 설치를 유도할 수 있으므로 주의하시기 바랍니다.

또한 자동 실행되어 메모리에 상주하여 광고 기능을 수행하는 "C:\Users\(사용자 계정)\AppData\Roaming\bluead\common\bin\baple.exe" 파일은 서버에 등록된 광고 구성값이 포함된 5종의 데이터 파일을 추가 다운로드하여 광고 동작에 활용합니다.

기본적인 광고 동작을 살펴보면 사용자가 인터넷 검색시 검색 엔진 및 검색 키워드 값을 광고 서버에 조회하여 매칭되는 값이 존재할 경우 추가적인 광고창을 생성할 수 있습니다.

 

"Micro blue-ad secure softwear profile" 광고 프로그램 삭제 방법

(a) Windows 작업 관리자를 실행하여 메모리에 상주하는 baple.exe 프로세스를 찾아 종료하시기 바랍니다.

(b) 실행 중인 웹 브라우저를 종료한 상태에서 제어판 또는 체크잇(CheckIt : www.checkitinfo.com) 프로그램에 등록된 "Micro blue-ad secure softwear profile" 삭제 항목을 이용하여 프로그램 삭제를 진행하시기 바랍니다.

 

(c) 프로그램 삭제 후 "C:\Users\(사용자 계정)\AppData\Roaming\bluead" 폴더를 찾아 삭제하시기 바랍니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\BlueAD
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - BAgrd = C:\Users\(사용자 계정)\AppData\Roaming\BlueAD\common\bin\Baple.exe
 - BAPop = C:\Users\(사용자 계정)\AppData\Roaming\BlueAD\common\bin\BAUpdate.exe
 - guardba = C:\Users\(사용자 계정)\AppData\Roaming\BlueAD\common\bin\BAGuard.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\BAPop

 

"Micro blue-ad secure softwear profile" 프로그램 이름으로는 광고 프로그램인지 사용자가 쉽게 확인이 어려우며, 프로그램 설치로 인해 특정 시점에서는 또 다른 광고 프로그램 설치 통로로 활용될 수 있으므로 주의하시기 바랍니다.

 

 
블로그 이미지

울지않는 벌새

울지않는벌새가 되고 싶은 나..