최근 블로그에서 공지를 통해 안내하고 있는 악성코드 및 광고 프로그램 삭제 문의를 통해 접수된 2~3일에 1회 수준으로 Windows 부팅 시 광고 팝업창이 생성되는 문제가 있다는 제보를 받아서 로그 파일을 확인해 보았지만 광고 목적의 광고 프로그램이나 악성코드는 발견되지 않았습니다.
하지만 설치된 프로그램 목록을 확인하던 중 스타코덱(StarCodec) 프로그램이 설치되어 있어서 문의하신 분의 증상과 동일한 동작이 있는지 확인해 보았습니다.
스타코덱 프로그램 설치 중 제공되는 구성 요소 기본값에서는 "일반 - 기타 - 광고로 스타코덱 제작 지원" 항목이 기본 체크되어 있으며 기본 설정값 그대로 설치를 진행하였습니다.
이후 설치 단계에서 추천 프로그램(제휴 프로그램)이 3종이 포함되어 있었으며, 테스트 상에서는 해당 프로그램들이 설치되어 있지 않은 문의하신 분 PC를 고려하여 체크 해제하고 진행하였습니다.
HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run
- scchk = "C:\Program Files (x86)\StarCodec\SCChkUpd2.exe" /s
스타코덱 프로그램 설치가 완료된 상태에서 자동 실행 정보를 확인해보면 scchk 시작 프로그램 등록값을 통해 부팅 시 "C:\Program Files (x86)\StarCodec\SCChkUpd2.exe" 파일을 자동 실행하도록 구성되어 있습니다.
"C:\Program Files (x86)\StarCodec\lpop.exe" /A https://www.starcodec.com/ads/toast.php /S sc_as /N sc_hide
실제로 SCChkUpd2.exe 파일이 동작할 경우 추가적으로 "C:\Program Files (x86)\StarCodec\lpop.exe" 파일을 로딩한 후 자신을 자동 종료되는 것을 확인할 수 있으며, 이를 통해 추가 실행된 lpop.exe 파일은 스타코덱 광고 서버에서 토스트 팝업 정보를 받아오는 것을 확인할 수 있습니다.
이를 통해 화면 우측 하단의 알림 아이콘 상단에 팝업 광고가 일정 시간 노출된 후 자동으로 종료 처리되며, 광고가 노출된 상태에서 사용자가 광고 팝업의 우측 하단에 있는 부분에 마우스를 위치시킬 경우 "Ad by StarCodec" 표기를 통해 스타코덱 프로그램에서 노출하는 광고임을 알 수 있습니다.
또한 해당 광고 팝업창은 부팅 시마다 노출되는 것이 아니라 문의한 사용자의 모니터링처럼 노출 제한이 있어서 최소 1일 1회 수준의 아주 짧은 시간에만 노출될 것으로 보입니다.
해당 팝업 광고창 기능을 하는 lpop.exe 파일은 Pintosoft 디지털 서명이 포함되어 있으며, 파일 정보에서도 "Low Popup"이라는 광고 파일임을 표시하고 있습니다.
▷ 포커스온 이미지 뷰어에 포함된 MediaUpdate 광고 기능 주의 (2014.4.23)
참고로 Pintosoft 디지털 서명의 경우 예전에 소개한 포커스온 이미지 뷰어 프로그램 제작사와 연관된 것으로 보입니다.
만약 사용자가 스타코덱 프로그램 설치 시 "광고로 스타코덱 제작 지원" 체크를 해제한 상태로 설치를 진행한 경우 설치된 파일 정보에서는 광고 기능을 가진 lpop.exe 파일이 생성되지 않는 것을 확인할 수 있습니다.
그러므로 국내에서 제공되는 코덱(Codec) 또는 인코더(Encoder) 프로그램을 설치할 때에는 추가로 설치될 수 있는 제휴 프로그램 목록 및 프로그램 구성 정보를 꼼꼼하게 확인하여 설치를 진행하시기 바랍니다.