Polaris Office 프로그램이 상위 버전으로 업데이트되는 과정에서 사용자가 부주의할 수 있는 시점에서 제휴 프로그램을 추가하여 자동 설치가 될 수 있는 3종의 광고 프로그램 중 "Redirect NWD 64bit (x86) 버전 3.8.3" 프로그램(SHA-1 : 73a9ca932e23fd769dfc47e2bc53b51785b51be4)에 대해 살펴보도록 하겠습니다.
해당 광고 프로그램은 설치 과정에서 다음과 같은 프로세스 이름이 존재할 경우 종료 처리한 후 설치가 진행되도록 구성되어 있습니다.
taskkill.exe /f /im BaconProgram.exe
taskkill.exe /f /im NewTabProgram.exe
taskkill.exe /f /im NewWindowProgram.exe
taskkill.exe /f /im Redirect NWD 64bit.exe
| 생성 폴더 / 파일 등록 정보 |
C:\Program Files (x86)\Redirect NWD 64bit (x86) C:\Program Files (x86)\Redirect NWD 64bit (x86)\EasyHttp.dll C:\Program Files (x86)\Redirect NWD 64bit (x86)\EntityFramework.dll C:\Program Files (x86)\Redirect NWD 64bit (x86)\EntityFramework.SqlServer.dll C:\Program Files (x86)\Redirect NWD 64bit (x86)\JsonFx.dll C:\Program Files (x86)\Redirect NWD 64bit (x86)\MasterDevs.ChromeDevTools.dll C:\Program Files (x86)\Redirect NWD 64bit (x86)\MasterDevs.ChromeDevTools.Sample.dll C:\Program Files (x86)\Redirect NWD 64bit (x86)\Newtonsoft.Json.dll C:\Program Files (x86)\Redirect NWD 64bit (x86)\Redirect NWD 64bit.exe :: 시작 프로그램(aceenter2NewWindow) 등록 파일, 메모리 상주 프로세스 C:\Program Files (x86)\Redirect NWD 64bit (x86)\SQLite.Interop.dll C:\Program Files (x86)\Redirect NWD 64bit (x86)\System.Data.SQLite.dll C:\Program Files (x86)\Redirect NWD 64bit (x86)\System.Data.SQLite.EF6.dll C:\Program Files (x86)\Redirect NWD 64bit (x86)\System.Data.SQLite.Linq.dll C:\Program Files (x86)\Redirect NWD 64bit (x86)\unins000.dat C:\Program Files (x86)\Redirect NWD 64bit (x86)\unins000.exe :: 프로그램 삭제 파일 C:\Program Files (x86)\Redirect NWD 64bit (x86)\unins000.msg C:\Program Files (x86)\Redirect NWD 64bit (x86)\WebSocket4Net.dll C:\Program Files (x86)\Redirect NWD 64bit (x86)\x64 C:\Program Files (x86)\Redirect NWD 64bit (x86)\x64\SQLite.Interop.dll C:\Program Files (x86)\Redirect NWD 64bit (x86)\x86 C:\Program Files (x86)\Redirect NWD 64bit (x86)\x86\SQLite.Interop.dll C:\ProgramData\AceEnter C:\Users\%UserName%\AppData\Local\AceEnter C:\Users\%UserName%\AppData\Local\AceEnter\config C:\Users\%UserName%\AppData\Local\AceEnter\environment_NewWindow_2 C:\Users\%UserName%\AppData\Local\AceEnter\sync_time |
"ACE Ent" 디지털 서명이 포함된 "Redirect NWD 64bit (x86) 버전 3.8.3" 광고 프로그램은 "C:\Program Files (x86)\Redirect NWD 64bit (x86)" 폴더에 주요 파일을 생성합니다.
Windows 시작 시 aceenter2NewWindow 시작 프로그램 등록값을 통해 "C:\Program Files (x86)\Redirect NWD 64bit (x86)\Redirect NWD 64bit.exe" 파일(SHA-1 : 1a5eb11278f612ab7dfff9207e1ed998a0440579)을 자동 실행하여 메모리에 상주하도록 구성되어 있습니다.
광고 기능을 살펴보면 Redirect NWD 64bit.exe 파일은 "C:\Users\%UserName%\AppData\Local\AceEnter\config" 구성 파일에 추가된 다양한 URL 값을 참조하여 사용자가 해당 사이트에 접속할 경우 드림서치(dreamsearch.or.kr) 광고 서버를 경유한 광고 사이트를 추가적으로 오픈하도록 제작되어 있습니다.
실제 광고 행위가 이루어진 웹 브라우저 상태를 확인해보면 사용자가 포털 사이트에서 인터넷 검색을 통해 언론사 사이트에 접속할 경우 광고 사이트가 자동으로 오픈되는 구조입니다.
■ "Redirect NWD 64bit (x86) 버전 3.8.3" 광고 프로그램 제거 방법
(a) 작업 관리자를 실행하여 메모리에 상주하는 Redirect NWD 64bit.exe 프로세스를 찾아 종료하시기 바랍니다.
(b) 설정(제어판)의 앱 및 기능(프로그램 및 기능)에 등록된 "Redirect NWD 64bit (x86) 버전 3.8.3" 프로그램을 찾아 제거하시기 바라며, 프로그램 제거 후에는 다음과 같은 폴더를 찾아 추가적으로 직접 삭제하시기 바랍니다.
- C:\ProgramData\AceEnter
- C:\Users\%UserName%\AppData\Local\AceEnter
| 생성 레지스트리 등록 정보 |
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run - aceenter2NewWindow = C:\Program Files (x86)\Redirect NWD 64bit (x86)\Redirect NWD 64bit.exe HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{D742FEF5-49A6-4F0E-AFD1-15733470319F}_is1 |
제휴 프로그램을 통해 설치된 "Redirect NWD 64bit (x86) 버전 3.8.3" 광고 프로그램 이름으로는 광고 기능을 수행한다고 의심하기 매우 어려우며, 설치로 인하여 원치않는 다양한 광고창이 생성되어 불편을 유발할 수 있으므로 주의하시기 바랍니다.
[관련글 보기]
☞ 광고 제휴 프로그램 : Desktop BCN Drivers (x86) 버전 1.8.1 (2018.3.13)
☞ 광고 제휴 프로그램 : Microsystem NTB Vision (x86) 버전 2.8.2 (2018.3.18)