울지않는벌새 : Security, Movie & Society

검색 도우미 : 애드플레이링크(ADPlayLink)

벌새::Analysis

사용자 몰래 네이버(Naver) 검색을 자동으로 수행하며 추가적인 제휴 프로그램 설치를 유도할 수 있는 국내에서 제작된 애드플레이링크(ADPlayLink) 광고 프로그램<SHA-1 : 7b7ad419f97f1dbbba4f48f0d89a18f8979b3520 - AhnLab V3 365 Clinic : PUP/Win32.Mopop.R96219>에 대해 살펴보도록 하겠습니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Users\(사용자 계정)\AppData\Roaming\adplaylink
C:\Users\(사용자 계정)\AppData\Roaming\adplaylink\aplink.exe :: 시작 프로그램(ADPlayLink) 등록 파일, 메모리 상주 프로세스
C:\Users\(사용자 계정)\AppData\Roaming\adplaylink\aplinkup.exe
C:\Users\(사용자 계정)\AppData\Roaming\adplaylink\log_1.txt
C:\Users\(사용자 계정)\AppData\Roaming\adplaylink\uninst.exe :: 프로그램 삭제 파일

 

[생성 파일 진단 정보]

 

C:\Users\(사용자 계정)\AppData\Roaming\adplaylink\aplink.exe
 - SHA-1 : 5ac013486a439d6bff4bc52725da7d31ac21db02
 - Kaspersky : UDS:DangerousObject.Multi.Generic

애드플레이링크 광고 프로그램은 "C:\Users\(사용자 계정)\AppData\Roaming\adplaylink" 폴더에 파일을 생성하며, Windows 시작시 "C:\Users\(사용자 계정)\AppData\Roaming\adplaylink\aplink.exe" 파일을 시작 프로그램(ADPlayLink)으로 등록하여 자동 실행되도록 구성되어 있습니다.

프로그램 실행 과정에서 업데이트 정보가 확인될 경우 "C:\Users\(사용자 계정)\AppData\Roaming\adplaylink\aplinkup.exe" 파일(SHA-1 : 3b64cbf1e695992c6bf7816c4cb5a605780b764b)을 로딩하여 필수 프로그램 패치 및 추가적인 제휴 프로그램 설치를 유도할 수 있으므로 주의하시기 바랍니다.

자동 실행된 애드플레이링크 광고 프로그램은 특정 시간 주기로 바탕 화면에 구글 애드센스(Google AdSense) 광고 팝업창을 생성하여 클릭을 유도할 수 있습니다.

또한 인터넷 검색을 통한 웹 사이트 접속 과정에서 광고 노출을 목적으로 제작된 것으로 추정되는 웹 사이트를 자동으로 오픈하는 행위를 수행할 수 있습니다.

핵심적인 광고 기능은 프로그램 실행 후 3분 주기로 화면상에는 표시되지 않는 방식으로 Internet Explorer 웹 브라우저(iexplore.exe)를 이용하여 네이버(Naver) 검색 서비스에 다양한 검색 키워드 입력을 통해 인터넷 검색을 수행합니다.

위와 같은 네이버(Naver) 검색 활동을 통해 추천 검색어 등록 또는 특정 웹 사이트 상위 노출을 노리는 것으로 추정됩니다.

 

애드플레이링크 광고 프로그램 삭제 방법

 

(a) 애드플레이링크 광고 프로그램은 일정 시간 동안 동작한 후 자동으로 종료되는 것으로 보이지만 Windows 작업 관리자를 실행하여 aplink.exe 프로세스가 메모리에 상주하고 있을 경우 종료하시기 바랍니다.

(b) 제어판 또는 체크잇(CheckIt : www.checkitinfo.com) 프로그램에 등록된 애드플레이링크 삭제 항목을 실행하여 프로그램 삭제를 진행하시기 바랍니다.

 

(c) 프로그램 삭제 후에는 "C:\Users\(사용자 계정)\AppData\Roaming\adplaylink" 폴더를 추가적으로 삭제하시기 바랍니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\aplink
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - ADPlayLink = C:\Users\(사용자 계정)\AppData\Roaming\adplaylink\aplink.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\aplink.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ADPlayLink

애드플레이링크 광고 프로그램이 설치된 경우 자동으로 인터넷 검색을 시도하여 불필요한 트래픽을 유발하므로 50여종의 백신 엔진을 이용하여 실행을 차단하는 앱체크(AppCheck) 보조 백신을 이용하시기 권장합니다.