본문 바로가기

벌새::Analysis

검색 도우미 : popfreeka

728x90
반응형

Windows 부팅, 인터넷 검색 시 자동으로 다양한 광고창 및 광고탭을 생성하는 국내에서 제작된 popfreeka 광고 프로그램(SHA-1 : e4bfacf28eaf229be69cea91ebfa482c952b463e - Hauri ViRobot : Adware.Safeterra.3535960[h])에 대해 살펴보도록 하겠습니다.

 

우선 popfreeka 광고 프로그램의 배포 방식을 추적해보면 기존에 소개한 WiseCommerce 디지털 서명이 포함된 "Microsoft Windows Wise Runner Process Cleaning Runtime - Korean" 또는 "Windows Network IP Manager" 광고 배포용 프로그램을 통해 사용자 몰래 특정 일자에 백그라운드로 자동 설치되는 것으로 추정됩니다.

 

  • h**p://check**.kr/agree_smartrun/UpdateAgree0523.exe (SHA-1 : 9bece83e1fe89b1590022496abccc2847d9e4ebc) - Hauri ViRobot : Adware.Browshot.355128.E[h]

이를 통해 2016년 5월 22일경 발견된 업데이트 파일을 통해 popfreeka 설치 파일을 다운로드하여 추가되는 것으로 보입니다.

 

생성 폴더 / 파일 등록 정보

 

C:\Users\(로그인 계정명)\AppData\Roaming\popfreeka
C:\Users\(로그인 계정명)\AppData\Roaming\popfreeka\NewNT.db3
C:\Users\(로그인 계정명)\AppData\Roaming\popfreeka\popfreeka_dll.dll
C:\Users\(로그인 계정명)\AppData\Roaming\popfreeka\popfreeka.exe :: 작업 스케줄러(Popfreeka) 등록 파일, 메모리 상주 프로세스
C:\Users\(로그인 계정명)\AppData\Roaming\popfreeka\task.xml
C:\Users\(로그인 계정명)\AppData\Roaming\popfreeka\TimeAd.db3
C:\Users\(로그인 계정명)\AppData\Roaming\popfreeka\timeadd.dll
C:\Users\(로그인 계정명)\AppData\Roaming\popfreeka\Title.db3
C:\Users\(로그인 계정명)\AppData\Roaming\popfreeka\unins000.dat
C:\Users\(로그인 계정명)\AppData\Roaming\popfreeka\unins000.exe :: 프로그램 삭제 파일
C:\Windows\System32\Tasks\Popfreeka

 

생성 파일 진단 정보

C:\Users\(로그인 계정명)\AppData\Roaming\popfreeka\popfreeka_dll.dll
 - SHA-1 : 8ec6f3e8e19d691e44801df5defed2d21687bf9d
 - BitDefender : Gen:Variant.Adware.Kraddare.26

 

 

"Wetelecomunication Co.,Ltd" 디지털 서명이 포함된 popfreeka 광고 프로그램은 "C:\Users\(로그인 계정명)\AppData\Roaming\popfreeka" 폴더에 파일을 생성합니다.

 

예약 작업 영역에 Popfreeka 작업 스케줄러 값을 등록하여 Windows 부팅 시 "C:\Users\(로그인 계정명)\AppData\Roaming\popfreeka\popfreeka.exe" 파일(SHA-1 : ad246fe1dd4a9f0911c929b07ba1954abfed4fd2)을 자동 실행하도록 구성되어 있습니다.

 

 

Windows 부팅을 통해 자동 실행되어 메모리에 상주하는 popfreeka.exe 파일은 자동으로 HTTPS 통신을 통해 제휴 코드가 추가된 다양한 광고창을 생성할 수 있습니다.

 

 

또한 인터넷 검색 시 자동으로 광고창 및 광고탭을 생성하며, 광고탭 클릭 시 제휴 코드를 경유하여 다양한 웹사이트로 자동 연결이 이루어집니다.

 

popfreeka 광고 프로그램 삭제 방법

 

(a) 작업 관리자를 실행하여 메모리에 상주하는 popfreeka.exe 프로세스를 찾아 종료하시기 바랍니다.

 

 

(b) 제어판 또는 체크잇(CheckIt : www.checkitinfo.com) 프로그램에 등록된 popfreeka 삭제 항목을 실행하여 프로그램 제거를 진행하시기 바라며, 프로그램 제거 후 "C:\Users\(로그인 계정명)\AppData\Roaming\popfreeka" 폴더를 추가적으로 삭제하시기 바랍니다.

 

생성 레지스트리 등록 정보

 

HKEY_CURRENT_USER\Software\Popfreeka
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{E0783FDD-B6F1-4BCD-B5B4-52095BAC669F}_is1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{FB73CE78-6DF7-43C0-BC6D-4A8A594EABCD}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Popfreeka

 

 

popfreeka 광고 프로그램이 설치된 경우에는 사용자 PC에 다양한 광고 프로그램을 몰래 설치하는 악성 프로그램이 존재할 가능성이 높을 것으로 추정되며, 광고 프로그램 설치로 인하여 원치않는 다양한 광고창이 지속적으로 노출될 수 있으므로 주의하시기 바랍니다.

728x90
반응형