네이버 소프트웨어에 등록된 프로그램 중 곰플레이어는 다운로드 기준 5위를 기록하고 있는 국내 최대 동영상 재생 프로그램 중의 하나입니다.
네이버 소프트웨어에 등록된 곰플레이어 설치 파일을 다운로드하여 설치를 진행할 경우에는 추가적인 제휴 프로그램없이 기본값 그대로 설치하여도 원치않는 프로그램이 설치되지 않습니다.
하지만 곰플레이어 제작사 사이트에서 제공하는 설치 파일를 이용하여 설치를 진행할 경우에는 다음과 같이 다수의 제휴 프로그램이 포함되어 있으며, 이 화면 이후에도 몇 종류의 제휴 프로그램이 포함되어 있습니다.
무료로 소프트웨어를 제공한다는 점에서 사용자가 프로그램을 설치할 때 추가된 프로그램의 설치 여부를 꼼꼼하게 확인하여 선택적으로 설치를 진행하면 문제가 없는데, 문제는 추가적으로 선택된 프로그램이 어떤 기능인지 쉽게 인지하지 못한다는 점입니다.
이번 글에서는 곰플레이어 설치 중 RELATEDPOP 제휴 프로그램(※ 기본적으로 체크된 상태)이 설치될 경우 PC에서 보여주는 눈속임에 대해 알아보도록 하겠습니다.
사용자가 RELATEDPOP 제휴 프로그램을 체크 해제하지 않고 설치를 진행할 경우 추가적인 설치 파일 다운로드가 이루어지며 다음과 같은 방식으로 설치가 자동 진행됩니다.
해당 광고 프로그램은 사용자 임시 폴더(%Temp%) 내에 relatedpopsetup.exe /s 인수값(SHA-1 : 525ad55d36fe8ffe75070a7a49da76a15a60f66d - AhnLab V3 : PUP/Win32.Installer.C4249255)을 통해 화면에는 어떠한 표시없이 백그라운드 설치가 자동 진행됩니다.
[생성 폴더 / 파일 등록 정보]
C:\Users\%UserName%\AppData\Roaming\relatedpop\common
C:\Users\%UserName%\AppData\Roaming\relatedpop\common\bin
C:\Users\%UserName%\AppData\Roaming\relatedpop\common\bin\relatedpop.exe :: RPop 시작 프로그램 등록 파일 / 메모리 상주 프로세스
C:\Users\%UserName%\AppData\Roaming\relatedpop\common\bin\rpsch.exe :: o2sch1 작업 스케줄러 등록 파일
C:\Users\%UserName%\AppData\Roaming\relatedpop\common\bin\RP_kwd.dat
C:\Users\%UserName%\AppData\Roaming\relatedpop\common\bin\RP_nsminfo.dat
C:\Users\%UserName%\AppData\Roaming\relatedpop\common\bin\RP_ominfo.dat
C:\Users\%UserName%\AppData\Roaming\relatedpop\common\bin\RP_recog.dat
C:\Users\%UserName%\AppData\Roaming\relatedpop\common\bin\RP_sku.dat
C:\Users\%UserName%\AppData\Roaming\relatedpop\common\bin\uninstrp.exe :: 프로그램 삭제 파일
C:\Windows\System32\Tasks\o2sch1
해당 광고 프로그램은 "C:\Users\%UserName%\AppData\Roaming\relatedpop\common\bin" 폴더 내에 "THEJMEIDA Co., Ltd." 디지털 서명을 사용하는 파일을 생성하며, Windows 시작 시 RPop 시작 프로그램 등록값을 통해 "C:\Users\%UserName%\AppData\Roaming\RelatedPop\common\bin\RelatedPop.exe" 파일(SHA-1 : a1a3a2cc16f4f0b11e3d5961211119fcbb2176f9)을 자동 실행합니다.
또한 o2sch1 작업 스케줄러 등록값을 추가하여 사용자가 로그온 시 "C:\Users\%UserName%\AppData\Roaming\RelatedPop\common\bin\RPSch.exe" 파일(SHA-1 : 7f009594d54114f5fb29afd372dc3221bd6ea92c)을 자동 실행합니다.
이렇게 설치된 광고 프로그램은 정상적으로 실행될 경우 작업 관리자의 프로세스 세부 정보를 통해 확인해보면 다음과 같이 relatedpop.exe 프로세스가 실행 중인 것을 확인할 수 있습니다.
설치된 광고 프로그램은 사용자가 웹 브라우저를 이용하여 사이트 접속 중 다양한 광고창을 노출할 수 있을 것으로 보입니다.
그런데 앱 및 기능에 등록된 RelatedPop 광고 프로그램을 찾아보면 사용자가 쉽게 찾을 수 없도록 "MiBigData solution relatedpop Report Platform" 이름(게시자 : JK TheJMedia Corporation)으로 등록되어 있는 것을 확인할 수 있습니다.
특히 곰플레이어의 설치 날짜는 정상적으로 표시되는 것과 상반되게 해당 광고 프로그램은 2020년 10월 25일에 설치되어 있는 것처럼 날짜를 조작하고 있는 것을 알 수 있습니다.
▷ 설치 날짜를 조작하는 국내 악성 광고 프로그램 주의 (2014.4.26)
이런 설치 날짜 조작 방식은 2014년경에 이미 국내 광고 프로그램에서 많이 사용하던 방식으로 사용자가 설치 프로그램 목록에서 광고 프로그램을 찾는데 방해할 목적으로 오래 전에 설치되어 있던 프로그램처럼 눈속임할 목적으로 보입니다.
게다가 등록된 "MiBigData solution relatedpop Report Platform" 프로그램 이름을 더 정확하게 살펴보면 정확한 의도는 알 수 없지만 "MiBigData solution relatedpop Report Platform<1칸 공란>" 형태로 공란 처리가 되어 있는 것을 알 수 있습니다.
[생성 레지스트리 등록 정보]
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- RPop = C:\Users\%UserName%\AppData\Roaming\RelatedPop\common\bin\RelatedPop.exe
HKEY_CURRENT_USER\SOFTWARE\RelatedPop
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{2A9FE3DA-14C5-4124-A85E-BD3505B6DA42}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\o2sch1
HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Uninstall\RelatedPop
"MiBigData solution relatedpop Report Platform" 광고 프로그램의 제거는 제어판을 통해 정상적으로 삭제가 이루어지지만, 위와 같이 사용자가 어떤 경로로 설치되었는지 제대로 인지하지 못할 수 있으며, 설치된 프로그램의 이름을 찾는 것도 쉽지 않다는 점에서 항상 무료 소프트웨어 설치 시에는 제휴 프로그램 추가에 대해 꼼꼼하게 확인하여 설치 여부를 선택하시기 바랍니다.