국내 포털 사이트 메인 페이지 접속 시 좌측 사이드 영역에 알 수 없는 광고 배너를 생성하는 DP_AD 광고 배너에 대해 살펴보도록 하겠습니다.
배포 방식을 살펴보면 인터넷 쇼핑몰에서 제공하는 "EVENT COUPOON" ActiveX 설치 방식으로 설치될 수 있으며, 설치 과정에서 프로그램에 대한 이용약관을 전혀 제시하지 않습니다.
이름 |
DP_AGENT Control |
게시자 |
(주) 다음사람 |
유형 |
ActiveX 컨트롤 |
CLSID |
{C09D855D-2263-4B1E-BFBA-9E73F9C0174D} |
폴더 / 파일 |
C:\Windows\Downloaded Program Files\DP_AGENT.ocx |
설치 완료 후 최초 실행 시 "C:\Windows\System32\DP_AD.exe" 178 (32비트) 또는 "C:\Windows\SysWOW64\DP_AD.exe" 178 (64비트) 실행값을 통해 동작하도록 구성되어 있습니다.
생성 폴더 / 파일 등록 정보 |
C:\Windows\Downloaded Program Files\DP_AGENT.inf C:\Windows\SysWOW64\DP_AD.exe :: 시작 프로그램(DPAD) 등록 파일, 메모리 상주 프로세스, 64비트 운영 체제 기준
|
설치된 광고 프로그램은 시스템 폴더 내에 "(주) 다음사람" 디지털 서명이 포함된 DP_AD.exe 파일(SHA-1 : 014c030b09a67e79393d67a70376a259dfbb5792)을 생성합니다.
Windows 시작 시 DPAD 시작 프로그램 등록값을 통해 "C:\Windows\system32\DP_AD.exe" 178 파일을 자동 실행하도록 구성되어 있습니다.
실행된 DP_AD.exe 파일은 Windows 방화벽에 DP_AD 이름으로 허용되는 앱 항목에 추가되어 외부 통신이 차단되지 않도록 설정합니다.
광고 프로그램이 설치된 환경에서 웹 사이트 접속 시 포털 사이트(네이버, 다음, 네이트) 여부를 체크하여 조건에 맞을 경우 다음과 같은 광고 배너를 자동 생성할 수 있습니다.
생성된 광고 배너에서는 어떤 광고 프로그램에 의한 동작인지 정보를 전혀 제공하지 않고 있으며, 단지 "하루 보지않기" 메뉴를 통해 일시적으로 광고 배너 동작을 중지할 수 있습니다.
■ DP_AD 광고 배너 제거 방법
포털 사이트 사이드 영역에 광고 배너를 생성하는 DP_AD 광고 프로그램은 제어판을 통한 제거 기능을 제공하지 않으므로 다음과 같은 절차에 따라 삭제하시기 바랍니다.
(a) 작업 관리자를 실행하여 메모리에 상주하는 DP_AD.exe 프로세스를 찾아 종료하시기 바랍니다.
(b) Windows 탐색기를 실행하여 다음의 파일을 찾아 삭제하시기 바랍니다.
- C:\Windows\Downloaded Program Files\DP_AGENT.inf
- C:\Windows\Downloaded Program Files\DP_AGENT.ocx
- C:\Windows\System32\DP_AD.exe (32비트 기준)
- C:\Windows\SysWOW64\DP_AD.exe (64비트 기준)
(c) 레지스트리 편집기(regedit)를 실행하여 다음의 레지스트리 값을 찾아 삭제하시기 바랍니다.
생성 레지스트리 등록 정보 |
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
|
해당 광고 프로그램은 (a) 생성 광고 배너에서 어떠한 정보를 제공하지 않는 문제 (b) 제어판을 통한 제거 기능이 포함되지 않은 점 (c) 생성 파일이 시스템 폴더에 존재하여 파일을 찾기 매우 어려울 수 있다는 점에서 악성 광고 프로그램으로 판단되므로 설치되지 않도록 주의하시기 바랍니다.