본문 바로가기

벌새::Analysis

포털 사이트 메인에 광고 배너를 생성하는 DP_AD 광고 정보

반응형

국내 포털 사이트 메인 페이지 접속 시 좌측 사이드 영역에 알 수 없는 광고 배너를 생성하는 DP_AD 광고 배너에 대해 살펴보도록 하겠습니다.

 

 

배포 방식을 살펴보면 인터넷 쇼핑몰에서 제공하는 "EVENT COUPOON" ActiveX 설치 방식으로 설치될 수 있으며, 설치 과정에서 프로그램에 대한 이용약관을 전혀 제시하지 않습니다.

 

이름

 DP_AGENT Control

게시자

 (주) 다음사람

유형

 ActiveX 컨트롤

CLSID

 {C09D855D-2263-4B1E-BFBA-9E73F9C0174D}

폴더 / 파일

 C:\Windows\Downloaded Program Files\DP_AGENT.ocx

 

 

설치 완료 후 최초 실행 시 "C:\Windows\System32\DP_AD.exe" 178 (32비트) 또는 "C:\Windows\SysWOW64\DP_AD.exe" 178 (64비트) 실행값을 통해 동작하도록 구성되어 있습니다.

 

생성 폴더 / 파일 등록 정보

 

C:\Windows\Downloaded Program Files\DP_AGENT.inf
C:\Windows\Downloaded Program Files\DP_AGENT.ocx
C:\Windows\System32\DP_AD.exe :: 시작 프로그램(DPAD) 등록 파일, 메모리 상주 프로세스, 32비트 운영 체제 기준

C:\Windows\SysWOW64\DP_AD.exe :: 시작 프로그램(DPAD) 등록 파일, 메모리 상주 프로세스, 64비트 운영 체제 기준

 

 

설치된 광고 프로그램은 시스템 폴더 내에 "(주) 다음사람" 디지털 서명이 포함된 DP_AD.exe 파일(SHA-1 : 014c030b09a67e79393d67a70376a259dfbb5792)을 생성합니다.

 

Windows 시작 시 DPAD 시작 프로그램 등록값을 통해 "C:\Windows\system32\DP_AD.exe" 178 파일을 자동 실행하도록 구성되어 있습니다.

 

 

실행된 DP_AD.exe 파일은 Windows 방화벽에 DP_AD 이름으로 허용되는 앱 항목에 추가되어 외부 통신이 차단되지 않도록 설정합니다.

 

 

광고 프로그램이 설치된 환경에서 웹 사이트 접속 시 포털 사이트(네이버, 다음, 네이트) 여부를 체크하여 조건에 맞을 경우 다음과 같은 광고 배너를 자동 생성할 수 있습니다.

 

 

생성된 광고 배너에서는 어떤 광고 프로그램에 의한 동작인지 정보를 전혀 제공하지 않고 있으며, 단지 "하루 보지않기" 메뉴를 통해 일시적으로 광고 배너 동작을 중지할 수 있습니다.

 

DP_AD 광고 배너 제거 방법

 

포털 사이트 사이드 영역에 광고 배너를 생성하는 DP_AD 광고 프로그램은 제어판을 통한 제거 기능을 제공하지 않으므로 다음과 같은 절차에 따라 삭제하시기 바랍니다.

 

(a) 작업 관리자를 실행하여 메모리에 상주하는 DP_AD.exe 프로세스를 찾아 종료하시기 바랍니다.

 

(b) Windows 탐색기를 실행하여 다음의 파일을 찾아 삭제하시기 바랍니다.

 

  • C:\Windows\Downloaded Program Files\DP_AGENT.inf
  • C:\Windows\Downloaded Program Files\DP_AGENT.ocx
  • C:\Windows\System32\DP_AD.exe (32비트 기준)
  • C:\Windows\SysWOW64\DP_AD.exe (64비트 기준)

 

(c) 레지스트리 편집기(regedit)를 실행하여 다음의 레지스트리 값을 찾아 삭제하시기 바랍니다.

 

생성 레지스트리 등록 정보

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - DPAD = "C:\Windows\system32\DP_AD.exe" 178
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{C09D855D-2263-4B1E-BFBA-9E73F9C0174D}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\C:/Windows/Downloaded Program Files/DP_AGENT.ocx
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\C:/Windows/System32/DP_AD.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls
 - C:\Windows\Downloaded Program Files\DP_AGENT.ocx = 1
 - C:\Windows\System32\DP_AD.exe = 1
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules
 - TCP Query User{A4469E89-9629-44D2-B3A3-CB8B2BEF68DB}C:\windows\system32\dp_ad.exe = v2.10|Action=Allow|Active=TRUE|Dir=In|Protocol=6|Profile=Private|App=C:\windows\system32\dp_ad.exe|Name=DP_AD|Desc=DP_AD|Defer=User|
 - UDP Query User{57B347E0-5435-4E94-A4A8-350FFF7F1997}C:\windows\system32\dp_ad.exe = v2.10|Action=Allow|Active=TRUE|Dir=In|Protocol=17|Profile=Private|App=C:\windows\system32\dp_ad.exe|Name=DP_AD|Desc=DP_AD|Defer=User|

 

 

해당 광고 프로그램은 (a) 생성 광고 배너에서 어떠한 정보를 제공하지 않는 문제 (b) 제어판을 통한 제거 기능이 포함되지 않은 점 (c) 생성 파일이 시스템 폴더에 존재하여 파일을 찾기 매우 어려울 수 있다는 점에서 악성 광고 프로그램으로 판단되므로 설치되지 않도록 주의하시기 바랍니다.

728x90
반응형