Windows 부팅, 인터넷 검색 시 자동으로 다양한 광고창 및 광고탭을 생성하는 국내에서 제작된 popfreeka 광고 프로그램(SHA-1 : e4bfacf28eaf229be69cea91ebfa482c952b463e - Hauri ViRobot : Adware.Safeterra.3535960[h])에 대해 살펴보도록 하겠습니다.
우선 popfreeka 광고 프로그램의 배포 방식을 추적해보면 기존에 소개한 WiseCommerce 디지털 서명이 포함된 "Microsoft Windows Wise Runner Process Cleaning Runtime - Korean" 또는 "Windows Network IP Manager" 광고 배포용 프로그램을 통해 사용자 몰래 특정 일자에 백그라운드로 자동 설치되는 것으로 추정됩니다.
- h**p://check**.kr/agree_smartrun/UpdateAgree0523.exe (SHA-1 : 9bece83e1fe89b1590022496abccc2847d9e4ebc) - Hauri ViRobot : Adware.Browshot.355128.E[h]
이를 통해 2016년 5월 22일경 발견된 업데이트 파일을 통해 popfreeka 설치 파일을 다운로드하여 추가되는 것으로 보입니다.
생성 폴더 / 파일 등록 정보 |
C:\Users\(로그인 계정명)\AppData\Roaming\popfreeka
|
생성 파일 진단 정보 |
C:\Users\(로그인 계정명)\AppData\Roaming\popfreeka\popfreeka_dll.dll
|
"Wetelecomunication Co.,Ltd" 디지털 서명이 포함된 popfreeka 광고 프로그램은 "C:\Users\(로그인 계정명)\AppData\Roaming\popfreeka" 폴더에 파일을 생성합니다.
예약 작업 영역에 Popfreeka 작업 스케줄러 값을 등록하여 Windows 부팅 시 "C:\Users\(로그인 계정명)\AppData\Roaming\popfreeka\popfreeka.exe" 파일(SHA-1 : ad246fe1dd4a9f0911c929b07ba1954abfed4fd2)을 자동 실행하도록 구성되어 있습니다.
Windows 부팅을 통해 자동 실행되어 메모리에 상주하는 popfreeka.exe 파일은 자동으로 HTTPS 통신을 통해 제휴 코드가 추가된 다양한 광고창을 생성할 수 있습니다.
또한 인터넷 검색 시 자동으로 광고창 및 광고탭을 생성하며, 광고탭 클릭 시 제휴 코드를 경유하여 다양한 웹사이트로 자동 연결이 이루어집니다.
■ popfreeka 광고 프로그램 삭제 방법
(a) 작업 관리자를 실행하여 메모리에 상주하는 popfreeka.exe 프로세스를 찾아 종료하시기 바랍니다.
(b) 제어판 또는 체크잇(CheckIt : www.checkitinfo.com) 프로그램에 등록된 popfreeka 삭제 항목을 실행하여 프로그램 제거를 진행하시기 바라며, 프로그램 제거 후 "C:\Users\(로그인 계정명)\AppData\Roaming\popfreeka" 폴더를 추가적으로 삭제하시기 바랍니다.
생성 레지스트리 등록 정보 |
HKEY_CURRENT_USER\Software\Popfreeka
|
popfreeka 광고 프로그램이 설치된 경우에는 사용자 PC에 다양한 광고 프로그램을 몰래 설치하는 악성 프로그램이 존재할 가능성이 높을 것으로 추정되며, 광고 프로그램 설치로 인하여 원치않는 다양한 광고창이 지속적으로 노출될 수 있으므로 주의하시기 바랍니다.