자동으로 특정 웹사이트를 오픈할 수 있는 국내에서 제작된 "Happ Manager" 광고 프로그램(SHA-1 : dc508d3af8d83e272f392950ba3e8db6a5e83d39 - AVG : Win32/DH{gVQTJQ?})에 대해 살펴보도록 하겠습니다.
해당 광고 프로그램은 2016년 2월 초부터 배포가 이루어지고 있으며, 설치 시 바탕 화면 및 즐겨찾기 영역에 바로가기 아이콘을 생성한다고 하지만 실제 동작은 특정 시간마다 자동으로 광고창을 생성할 수 있습니다.
|
생성 폴더 / 파일 등록 정보 |
|
C:\Program Files\Happ
|
|
생성 파일 진단 정보 |
|
C:\Program Files\Happ\happ.exe
|
WiseCommerce 디지털 서명이 포함된 "Happ Manager" 광고 프로그램은 "C:\Program Files\Happ" 폴더에 파일을 생성합니다.
Windows 시작 시 RunOnce 시작 프로그램 영역에 등록된 HappManager 값을 통해 ["C:\Program Files\Happ\happ.exe" -chkm] 파일을 자동 실행하여 메모리에 상주하도록 구성되어 있습니다.
또한 바탕 화면과 프로그램 목록에 "Happ Manager" 바로가기 항목을 추가하여 사용자가 직접 실행할 경우 "C:\Program Files\Happ\happ.exe" 파일을 실행하도록 되어 있습니다.
- 분석 도구 : WindowexeFFkiller.exe, WindowexeFFkillerAdd.exe, WindowexeAllkiller.exe, WindowexeLog.exe, WindowexeLogMail.exe, runscanner.exe, OLLYDBG.exe, UPM.exe
- PC방 관리 솔루션 : picavncsvc.exe, gtlexp.exe, dlxsvc.exe, dlx5.exe, dlc.exe, pcwc.exe, pcwc_ag.exe, ntmacc.exe
실행된 happ.exe 파일은 특정 분석 도구 또는 PC방 관리 솔루션 프로세스가 상주할 경우 자신의 행위를 수행하지 않도록 제작되어 있습니다.
정상적으로 실행된 happ.exe 파일은 5분 경과 시 특정 HTTPS 서버와 암호화된 통신을 시도한 후 30분 간격으로 다음과 같은 광고 행위를 수행할 수 있습니다.
"https://www.smart***.co.kr:444" 서버와의 통신을 통해 특정 Google 단축 URL 주소(goo.gl)를 경유하여 헝그리앱 사이트로 자동 연결되는 광고 행위를 수행할 수 있습니다.
■ "Happ Manager" 광고 프로그램 삭제 방법
(a) 작업 관리자를 실행하여 메모리에 상주하는 happ.exe 프로세스를 찾아 종료하시기 바랍니다.
(b) 제어판 또는 체크잇(CheckIt : www.checkitinfo.com) 프로그램에 등록된 "Happ Manager" 삭제 항목을 실행하여 프로그램 제거를 진행하시기 바랍니다.
프로그램 제거 후에는 추가적으로 "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Happ" 폴더를 찾아 삭제하시기 바랍니다.
|
생성 레지스트리 등록 정보 |
|
HKEY_CURRENT_USER\Software\Happ
|
"Happ Manager" 광고 프로그램은 광고 배포용 프로그램이 설치된 환경에서 업데이트 기능을 통해 추가적으로 설치될 수 있으므로 해당 광고 프로그램이 설치된 경우에는 PC 점검을 통해 불필요한 프로그램을 찾아 제거하시기 바랍니다.
☞ 검색 도우미 : Visual Tools for SmartInfo Runtime - English (2015.12.4)
☞ 검색 도우미 : Windows Resource for LinkGuide SDK (2015.12.12)
☞ 바로가기 아이콘 생성 프로그램 : Windows System Barozen Shortcut Manager (2015.12.21)
☞ 검색 도우미 : Windows Media Pod for MiniLauncher Runtime - English (2016.1.23)
☞ 검색 도우미 : SmartPage (2016.1.26)