2015년 11월 초부터 유포된 것으로 확인되는 국내에서 제작된 PickPlus 악성 광고 프로그램은 이전에 공개한 프로그램 제거 시 사용자의 실수를 유발하여 자동 설치될 수 있는 LineUp 광고 프로그램과 동일한 유형을 가지고 있습니다.
PickPlus 광고 프로그램의 설치 과정을 살펴보면 배포 파일(SHA-1 : 2c0698892253eb1c94c31ce327e4ca15a4557a86 - Hauri ViRobot : Adware.Agent.311520.A[h]) 실행을 통해 추가적인 다운로드를 통해 PickPlus 설치 파일이 다운로드됩니다.
다운로드된 PickPlus 설치 파일은 "C:\Users\%UserName%\AppData\Local\Temp\TempSetup_1.exe" 파일명(SHA-1 : e2ff5b08937b9dbdfe2bb84996c41426627adef0 - Avira : ADWARE/Popuper.wbaz)으로 생성되어 추가 명령어(/hide)를 통해 다음과 같이 설치됩니다.
|
생성 폴더 / 파일 등록 정보 |
|
C:\Users\%UserName%\AppData\Local\Temp\PickPlus_setup.exe :: PickPlus 설치 파일
|
|
생성 파일 진단 정보 |
|
C:\Users\%UserName%\AppData\Local\Temp\PickPlus_setup.exe
C:\Users\%UserName%\AppData\Local\Temp\TempSetup_1.exe
C:\Users\%UserName%\AppData\Roaming\PickPlus\PickPlus.dll
C:\Users\%UserName%\AppData\Roaming\PickPlus\PickPlusUninstall.exe
C:\Users\%UserName%\AppData\Roaming\PickPlus\PickPlusUp.exe
C:\Users\%UserName%\AppData\Roaming\PickPlus\PickPlusUpch.exe
|
"jncmarketing Co., Ltd" 디지털 서명이 포함된 해당 광고 프로그램은 "C:\Users\%UserName%\AppData\Roaming\PickPlus" 폴더에 파일을 생성합니다.
Windows 시작 시 PickPlusUpdate 시작 프로그램 등록값을 통해 "C:\Users\%UserName%\AppData\Roaming\PickPlus\PickPlusUp.exe" 파일을 자동 실행하여 프로그램 실행 정보 및 프로그램 버전을 체크한 후 자동 종료 처리됩니다.
|
이름 |
pickplus |
|
게시자 |
jncmarketing Co., Ltd |
|
유형 |
브라우저 도우미 개체 |
|
CLSID |
{93C40E59-9854-4B20-B550-659556396B36} |
|
폴더 / 파일 |
C:\Users\%UserName%\AppData\Roaming\PickPlus\PickPlus.dll |
설치된 PickPlus 광고 프로그램은 Internet Explorer 웹 브라우저 실행 시 pickplus 이름으로 추가된 브라우저 도우미 개체(BHO) 기능을 통해 PickPlus.dll 광고 모듈을 로딩하여 인터넷 검색 키워드 값을 기반으로 광고창(탭)을 생성할 수 있습니다.
■ 제어판 제거 목록에 표시되지 않는 PickPlus 악성 광고 프로그램 제거 방법 및 주의할 점
PickPlus 악성 광고 프로그램이 설치된 PC 환경에서는 프로그램 삭제 파일(PickPlusUninstall.exe)은 존재하지만 제어판의 프로그램 및 기능에 표시하지 않는 수법으로 자신의 존재를 숨기고 있습니다.
그러므로 PickPlus 악성 광고 프로그램 제거를 위해서는 "C:\Users\%UserName%\AppData\Roaming\PickPlus\PickPlusUninstall.exe" 파일을 찾아 직접 실행하시기 바랍니다.
생성된 "PickPlus_Uninatall" 창에는 기본값으로 "add install" 버튼이 눈에 띄지 않는 색으로 체크되어 있으며, 이 과정에서 다음과 같은 서버 통신을 통해 추가적인 제휴 프로그램 정보를 체크합니다.
이를 통해 사용자가 "add install" 체크값 그대로 accept 버튼을 클릭하여 PickPlus 악성 광고 프로그램 제거를 진행할 경우 ① 설치되어 있던 PickPlus 광고 프로그램 제거 ② 사용자 몰래 2종의 광고 프로그램 자동 설치가 다음과 같이 이루어집니다.
- C:\Users\%UserName%\AppData\Local\Temp\LineUp_setup.exe (SHA-1 : 8e32b879042d91413bb40458eb9ba067cde18329 - AhnLab V3 365 Clinic : PUP/Win32.Downloader.R167412) :: LineUp 광고 프로그램 설치 파일
- C:\Users\%UserName%\AppData\Local\Temp\OneDayWeather_setup.exe (SHA-1 : 3b2ee741a9747da7d1a9a455da32f0746b23803a - BitDefender : Application.Generic.1652431) :: OneDayWeather 광고 프로그램 설치 파일
- C:\Users\%UserName%\AppData\Local\Temp\TempSetup_0.exe (SHA-1 : e3ff475ca4453b862f6a53f0f9c6dbac4ac5a946 - Hauri ViRobot : Adware.Agent.367840[h]) :: OneDayWeather 광고 프로그램 배포 파일
- C:\Users\%UserName%\AppData\Local\Temp\TempSetup_2.exe (SHA-1 : 483924fe0efe8817af5621d78bb0e14882c5474e - Norton : Trojan Horse) :: LineUp 광고 프로그램 배포 파일
이렇게 설치된 LineUp, OneDayWeather 광고 프로그램은 자신들의 지속적인 설치를 유지할 목적으로 프로그램 제거 시 사용자의 실수를 유발하여 지속적으로 재설치할 수 있습니다.
그러므로 PickPlus 악성 광고 프로그램 제거 시에는 "add install" 체크 박스를 클릭하여 해제하시고 accept 버튼을 클릭하시면 파일 삭제가 이루어집니다.
|
생성 레지스트리 등록 정보 |
|
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Approved Extensions
|
LineUp, PickPlus 광고 프로그램과 같이 프로그램 제거 시에 사용자의 실수를 유발하여 자동으로 광고 프로그램을 설치할 수 있으므로 주의하시기 바랍니다.