Polaris Office 프로그램의 업데이트 완료 시점에서 추가되어 사용자의 부주의로 인해 자동 설치될 수 있는 3종의 제휴 프로그램 중 "Microsystem NTB Vision (x86) 버전 2.8.2" 광고 프로그램(SHA-1 : f1c5f6ebc7a38859b0d8c789f780a12445fee70c)에 대해 살펴보도록 하겠습니다.
해당 광고 프로그램은 설치 시 실행 중인 파일 중 다음과 같은 파일명을 가진 프로세스가 존재할 경우 종료 처리한 후 설치가 진행됩니다.
taskkill.exe /f /im BaconProgram.exe
taskkill.exe /f /im Microsystem NTB Vision.exe
taskkill.exe /f /im NewTabProgram.exe
taskkill.exe /f /im NewWindowProgram.exe
생성 폴더 / 파일 등록 정보 |
C:\Program Files (x86)\Microsystem NTB Vision (x86) C:\Program Files (x86)\Microsystem NTB Vision (x86)\x64 C:\Program Files (x86)\Microsystem NTB Vision (x86)\x64\SQLite.Interop.dll C:\Program Files (x86)\Microsystem NTB Vision (x86)\x86 C:\Program Files (x86)\Microsystem NTB Vision (x86)\x86\SQLite.Interop.dll C:\Program Files (x86)\Microsystem NTB Vision (x86)\EasyHttp.dll C:\Program Files (x86)\Microsystem NTB Vision (x86)\EntityFramework.dll C:\Program Files (x86)\Microsystem NTB Vision (x86)\EntityFramework.SqlServer.dll C:\Program Files (x86)\Microsystem NTB Vision (x86)\JsonFx.dll C:\Program Files (x86)\Microsystem NTB Vision (x86)\MasterDevs.ChromeDevTools.dll C:\Program Files (x86)\Microsystem NTB Vision (x86)\MasterDevs.ChromeDevTools.Sample.dll C:\Program Files (x86)\Microsystem NTB Vision (x86)\Microsystem NTB Vision.exe :: 시작 프로그램(aceenter2NewTab) 등록 파일, 메모리 상주 프로세스 C:\Program Files (x86)\Microsystem NTB Vision (x86)\Newtonsoft.Json.dll C:\Program Files (x86)\Microsystem NTB Vision (x86)\SQLite.Interop.dll C:\Program Files (x86)\Microsystem NTB Vision (x86)\System.Data.SQLite.dll C:\Program Files (x86)\Microsystem NTB Vision (x86)\System.Data.SQLite.EF6.dll C:\Program Files (x86)\Microsystem NTB Vision (x86)\System.Data.SQLite.Linq.dll C:\Program Files (x86)\Microsystem NTB Vision (x86)\unins000.dat C:\Program Files (x86)\Microsystem NTB Vision (x86)\unins000.exe :: 프로그램 삭제 파일 C:\Program Files (x86)\Microsystem NTB Vision (x86)\unins000.msg C:\Program Files (x86)\Microsystem NTB Vision (x86)\WebSocket4Net.dll C:\ProgramData\AceEnter C:\Users\%UserName%\AppData\Local\AceEnter C:\Users\%UserName%\AppData\Local\AceEnter\config C:\Users\%UserName%\AppData\Local\AceEnter\environment_NewTab_2 C:\Users\%UserName%\AppData\Local\AceEnter\sync_time |
"ACE Ent" 디지털 서명이 포함된 "Microsystem NTB Vision (x86) 버전 2.8.2" 광고 프로그램은 "C:\Program Files (x86)\Microsystem NTB Vision (x86)" 폴더에 주요 파일을 생성합니다.
Windows 시작 시 aceenter2NewTab 시작 프로그램 등록값을 통해 "C:\Program Files (x86)\Microsystem NTB Vision (x86)\Microsystem NTB Vision.exe" 파일(SHA-1 : 6366a31fff55d39636d7c12bfbd846a132612252)을 자동 실행하여 메모리에 상주하도록 구성되어 있습니다.
해당 광고 프로그램이 설치된 경우 Internet Explorer 웹 브라우저의 새 탭이 열릴 경우 "새 탭 페이지"로 열리도록 설정을 변경하며, 기본적으로 Internet Explorer 웹 브라우저의 새 탭 페이지는 자주 방문하는 사이트가 썸네일 방식으로 표시됩니다.
하지만 "Microsystem NTB Vision (x86) 버전 2.8.2" 광고 프로그램이 설치된 환경에서는 새 탭을 오픈할 경우 "MSN Search" 페이지로 연결되어 기본 포털 사이트와 함께 제휴 코드(linkprice.com, dreamsearch.or.kr)가 포함된 다양한 웹 사이트 연결 정보가 노출됩니다.
MSN Search 새 탭 연결 정보를 세부적으로 확인해보면 "msnsearch.co.kr" 도메인 정보로 연결된 것을 알 수 있습니다.
■ "Microsystem NTB Vision (x86) 버전 2.8.2" 광고 프로그램 제거 방법
(a) 작업 관리자를 실행하여 메모리에 상주하는 Microsystem NTB Vision.exe 프로세스를 찾아 종료하시기 바랍니다.
(b) 설정(제어판)의 앱 및 기능(프로그램 및 기능)에 등록된 "Microsystem NTB Vision (x86) 버전 2.8.2" 프로그램을 찾아 제거하시기 바라며, 프로그램 제거 후 "C:\ProgramData\AceEnter" 폴더와 "C:\Users\%UserName%\AppData\Local\AceEnter" 폴더를 찾아 직접 삭제하시기 바랍니다.
생성 레지스트리 등록 정보 |
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run - aceenter2NewTab = C:\Program Files (x86)\Microsystem NTB Vision (x86)\Microsystem NTB Vision.exe HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{CF2DFAC8-E75D-430C-9ECB-0AAC4DB505A1}_is1 |
"Microsystem NTB Vision (x86) 버전 2.8.2" 프로그램 이름으로는 광고 프로그램으로 판단하기 매우 어려우며, 웹 브라우저의 기본 설정 정보를 변경하여 주소가 노출되지 않는 광고탭이 생성되어 불편을 유발할 수 있으므로 설치되지 않도록 주의하시기 바랍니다.