광고 제휴 프로그램 : Redirect NWD 64bit (x86) 버전 3.8.3

벌새::Analysis 2018.03.24 15:17

Polaris Office 프로그램이 상위 버전으로 업데이트되는 과정에서 사용자가 부주의할 수 있는 시점에서 제휴 프로그램을 추가하여 자동 설치가 될 수 있는 3종의 광고 프로그램 중 "Redirect NWD 64bit (x86) 버전 3.8.3" 프로그램(SHA-1 : 73a9ca932e23fd769dfc47e2bc53b51785b51be4)에 대해 살펴보도록 하겠습니다.

Polaris Office 업데이트 완료 시 추가된 국내 제휴 프로그램 정보 (2018.3.8)

해당 광고 프로그램은 설치 과정에서 다음과 같은 프로세스 이름이 존재할 경우 종료 처리한 후 설치가 진행되도록 구성되어 있습니다.

taskkill.exe /f /im BaconProgram.exe
taskkill.exe /f /im NewTabProgram.exe
taskkill.exe /f /im NewWindowProgram.exe
taskkill.exe /f /im Redirect NWD 64bit.exe

생성 폴더 / 파일 등록 정보

C:\Program Files (x86)\Redirect NWD 64bit (x86)
C:\Program Files (x86)\Redirect NWD 64bit (x86)\EasyHttp.dll
C:\Program Files (x86)\Redirect NWD 64bit (x86)\EntityFramework.dll
C:\Program Files (x86)\Redirect NWD 64bit (x86)\EntityFramework.SqlServer.dll
C:\Program Files (x86)\Redirect NWD 64bit (x86)\JsonFx.dll
C:\Program Files (x86)\Redirect NWD 64bit (x86)\MasterDevs.ChromeDevTools.dll
C:\Program Files (x86)\Redirect NWD 64bit (x86)\MasterDevs.ChromeDevTools.Sample.dll
C:\Program Files (x86)\Redirect NWD 64bit (x86)\Newtonsoft.Json.dll
C:\Program Files (x86)\Redirect NWD 64bit (x86)\Redirect NWD 64bit.exe :: 시작 프로그램(aceenter2NewWindow) 등록 파일, 메모리 상주 프로세스
C:\Program Files (x86)\Redirect NWD 64bit (x86)\SQLite.Interop.dll
C:\Program Files (x86)\Redirect NWD 64bit (x86)\System.Data.SQLite.dll
C:\Program Files (x86)\Redirect NWD 64bit (x86)\System.Data.SQLite.EF6.dll
C:\Program Files (x86)\Redirect NWD 64bit (x86)\System.Data.SQLite.Linq.dll
C:\Program Files (x86)\Redirect NWD 64bit (x86)\unins000.dat
C:\Program Files (x86)\Redirect NWD 64bit (x86)\unins000.exe :: 프로그램 삭제 파일
C:\Program Files (x86)\Redirect NWD 64bit (x86)\unins000.msg
C:\Program Files (x86)\Redirect NWD 64bit (x86)\WebSocket4Net.dll
C:\Program Files (x86)\Redirect NWD 64bit (x86)\x64
C:\Program Files (x86)\Redirect NWD 64bit (x86)\x64\SQLite.Interop.dll
C:\Program Files (x86)\Redirect NWD 64bit (x86)\x86
C:\Program Files (x86)\Redirect NWD 64bit (x86)\x86\SQLite.Interop.dll
C:\ProgramData\AceEnter
C:\Users\%UserName%\AppData\Local\AceEnter
C:\Users\%UserName%\AppData\Local\AceEnter\config
C:\Users\%UserName%\AppData\Local\AceEnter\environment_NewWindow_2
C:\Users\%UserName%\AppData\Local\AceEnter\sync_time

"ACE Ent" 디지털 서명이 포함된 "Redirect NWD 64bit (x86) 버전 3.8.3" 광고 프로그램은 "C:\Program Files (x86)\Redirect NWD 64bit (x86)" 폴더에 주요 파일을 생성합니다.

Windows 시작 시 aceenter2NewWindow 시작 프로그램 등록값을 통해 "C:\Program Files (x86)\Redirect NWD 64bit (x86)\Redirect NWD 64bit.exe" 파일(SHA-1 : 1a5eb11278f612ab7dfff9207e1ed998a0440579)을 자동 실행하여 메모리에 상주하도록 구성되어 있습니다.

광고 기능을 살펴보면 Redirect NWD 64bit.exe 파일은 "C:\Users\%UserName%\AppData\Local\AceEnter\config" 구성 파일에 추가된 다양한 URL 값을 참조하여 사용자가 해당 사이트에 접속할 경우 드림서치(dreamsearch.or.kr) 광고 서버를 경유한 광고 사이트를 추가적으로 오픈하도록 제작되어 있습니다.

실제 광고 행위가 이루어진 웹 브라우저 상태를 확인해보면 사용자가 포털 사이트에서 인터넷 검색을 통해 언론사 사이트에 접속할 경우 광고 사이트가 자동으로 오픈되는 구조입니다.

■ "Redirect NWD 64bit (x86) 버전 3.8.3" 광고 프로그램 제거 방법

(a) 작업 관리자를 실행하여 메모리에 상주하는 Redirect NWD 64bit.exe 프로세스를 찾아 종료하시기 바랍니다.

(b) 설정(제어판)의 앱 및 기능(프로그램 및 기능)에 등록된 "Redirect NWD 64bit (x86) 버전 3.8.3" 프로그램을 찾아 제거하시기 바라며, 프로그램 제거 후에는 다음과 같은 폴더를 찾아 추가적으로 직접 삭제하시기 바랍니다.

C:\ProgramData\AceEnter

C:\Users\%UserName%\AppData\Local\AceEnter

생성 레지스트리 등록 정보

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- aceenter2NewWindow = C:\Program Files (x86)\Redirect NWD 64bit (x86)\Redirect NWD 64bit.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{D742FEF5-49A6-4F0E-AFD1-15733470319F}_is1

제휴 프로그램을 통해 설치된 "Redirect NWD 64bit (x86) 버전 3.8.3" 광고 프로그램 이름으로는 광고 기능을 수행한다고 의심하기 매우 어려우며, 설치로 인하여 원치않는 다양한 광고창이 생성되어 불편을 유발할 수 있으므로 주의하시기 바랍니다.

☞ 광고 제휴 프로그램 : Microsystem NTB Vision (x86) 버전 2.8.2 (2018.3.18)

'벌새::Analysis' 카테고리의 다른 글

검색 도우미 : NGPlus - NetBean (0)	2018.04.08
다음(Daum) 계정을 노리는 "Duam Customer Care" 피싱 메일 주의 (2018.3.25) (4)	2018.03.25
광고 제휴 프로그램 : Redirect NWD 64bit (x86) 버전 3.8.3 (8)	2018.03.24
광고 제휴 프로그램 : Microsystem NTB Vision (x86) 버전 2.8.2 (6)	2018.03.18
광고 제휴 프로그램 : Desktop BCN Drivers (x86) 버전 1.8.1 (0)	2018.03.13
Polaris Office 업데이트 완료 시 추가된 국내 제휴 프로그램 정보 (2018.3.8) (8)	2018.03.08