인터넷 검색 시 쇼핑몰 광고창을 생성할 수 있는 2015년 8월경부터 배포된 것으로 보이는 국내에서 제작된 InfoShare 광고 프로그램(SHA-1 : 38d23652186e6c5572e0f0d34fc7426a064cea6f)에 대해 살펴보도록 하겠습니다.
생성 폴더 / 파일 등록 정보 |
C:\Users\%UserName%\AppData\Local\infoshare
|
생성 파일 진단 정보 |
C:\Users\%UserName%\AppData\Local\infoshare\dreamwd.exe
|
"UniqueSoar, Inc." 디지털 서명이 포함된 InfoShare 광고 프로그램은 "C:\Users\%UserName%\AppData\Local\infoshare" 폴더에 파일을 생성합니다.
Windows 시작 시 infoshare 시작 프로그램 등록값을 통해 "C:\Users\%UserName%\AppData\Local\infoshare\infoupd.exe" 파일(SHA-1 : 451d94472104138531c84d87df84f1adc2550fee)을 자동 실행하여 프로그램 업데이트 체크 후 광고 기능을 수행하는 "C:\Users\%UserName%\AppData\Local\infoshare\infoshare.exe" 파일(SHA-1 : 9ade24ce0c4330567fdd3696e355d77c06044454)을 메모리에 상주시킵니다.
■ "C:\Users\%UserName%\AppData\Local\infoshare\dreamwd.exe" 파일 정보
InfoShare 광고 프로그램의 업데이트 기능을 통해 추가 다운로드를 통해 생성되는 dreamwd.exe 파일에서는 2가지 부분을 살펴볼 수 있습니다.
dreamwd.exe 파일의 코드에는 기존에 장기간 활동한 후 현재는 사라진 열린 주소창 검색(dns.ktguide.com) 광고와 매우 유사한 URL 값이 포함되어 있으며, 해당 구성값은 드림엑스(search.dreamx.com) 검색값으로 변경된 것으로 보입니다.
또한 분석 방해를 목적으로 ProcessHacker.exe, procexp.exe, HWMonitor.exe, CheckIt.exe, CheckItAdmin.exe 프로세스를 체크하는 행위가 포함되어 있습니다.
특히 타 광고 프로그램에서는 쉽게 발견되지 않는 이스트소프트(ESTsoft) 업체에서 제공하는 체크잇(CheckIt) 프로그램 설치 여부를 체크하는 부분은 광고 프로그램 정보를 공개하는 블로그를 고려한 것이 아닌가 의심됩니다.
■ InfoShare 주요 광고 행위
InfoShare 광고 프로그램이 설치된 환경에서 특정 검색 키워드를 이용한 포털 검색 시 자동으로 11번가, G마켓, 옥션과 같은 인터넷 쇼핑몰이 자동으로 노출되는 광고 행위를 할 수 있습니다.
■ InfoShare 광고 프로그램 제거 방법
(a) 작업 관리자를 실행하여 메모리에 상주하는 infoshare.exe 프로세스를 찾아 종료하시기 바랍니다.
(b) 제어판 또는 체크잇(CheckIt : www.checkitinfo.com) 프로그램을 통해 InfoShare 프로그램을 찾아 제거하시기 바랍니다.
생성 레지스트리 등록 정보 |
HKEY_CURRENT_USER\Software\infoshare
|
사용자의 부주의 또는 몰래 설치되는 광고 프로그램은 웹 브라우저를 이용한 인터넷 이용 시 원치않는 다양한 광고창 생성으로 불편을 유발할 수 있으므로 설치되지 않도록 주의하시기 바랍니다.