애드웨어 정보2014.03.14 21:56

본 포스트에서는 QadSoftware 1.0 애드웨어 삭제 및 제거 정보에 대해 언급하고자 합니다.본 QadSoftware 1.0 애드웨어는 일부 블로그, 카페 등의 다소 신뢰하기가 어려운 사이트 내에서 정상 프로그램과 광고 수익을 목적으로 하는 제휴 프로그램을 동반 설치하는 유틸룸, 유틸조이 등의 다운로더에 의해 1차적으로 프로그램 설치에 대한 합법성을 얻기 위해 반 강제적으로 '제휴 프로그램 사용 약관'을 사용자가 눈치채지 못하는 부분에 두는 방식으로, 일종의 사용자를 기만하는 방식을 이용하며, 2차적으로 프로그램 설치를 인지하지 못하게 시스템 백그라운드 상에서 조용히 설치가 이루어지는 프로그램 중 하나입니다.






QadSoftware 1.0은 위의 스샷처럼 사용자의 동의를 구하는게 아닌 사용자의 동의 없이 그냥 알아서 설치가 이루어집니다. 그리고 QadSoftware 1.0은 다른 애드웨어와는 달리 자체에 인스톨 기능이 내장되어 있어서 설치 과정에서는 특별히 웹에서 추가적으로 전송 및 실행이 되는 부분은 없습니다. 설치 완료시 아래의 경로에 파일 및 레지스트리 생성이 이루어집니다.


▶ C:\Program Files\QadSoftware\Log

▶ C:\Program Files\QadSoftware\ClassConf.ini

▶ C:\Program Files\QadSoftware\PopConf.ini

▶ C:\Program Files\QadSoftware\QadClass.dll

▶ C:\Program Files\QadSoftware\QadClass.ocx

▶ C:\Program Files\QadSoftware\QadPop.exe

▶ C:\Program Files\QadSoftware\QadUpdateService.exe

▶ C:\Program Files\QadSoftware\uninst.exe

▶ C:\Program Files\QadSoftware\UpdateConf.ini


▶ HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0BF5485E-4258-41A4-B90D-705B2CB9F4EE}

▶ HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{679A2DA4-FC34-4EEA-BB35-511051A52938}


▶ HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{62AE159E-9B36-4DDC-89C3-DA1D101742E5}

▶ HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{7948FBF8-D94D-4F4E-B9C9-C8EA8B1FC58C}

▶ HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{891B8EDC-8321-45BE-9288-69F8B4C2814D}

▶ HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SAMILACTIVEX.SamilActiveXCtrl.1

 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{64F86C30-BC54-4559-84EF-C73711EF2D13}

▶ HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{679A2DA3-FC34-4EEA-BB35-511051A52938}

▶ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{0BF5485E-4258-41A4-B90D-705B2CB9F4EE}

▶ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

"QadPop.exe"="C:\\Program Files\\QadSoftware\\QadPop.exe" 

▶ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\QadSoftware

▶ HKEY_LOCAL_MACHINE\SOFTWARE\QadSoftware

▶ HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\Qad Update Service

▶ HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Qad Update Service



그리고 QadSoftware 1.0은 서비스와 시작 프로그램에 자신의 프로그램을 등록하여 윈도우 재부팅시 자동으로 실행이 되는 구조로 이루어져 있습니다.


> 시작 프로그램 항목에 QadSoftware 1.0 관련 프로그램 성성



QniAlim Pop = "C:\Program Files\QadSoftware\QadPop.exe"


> 서비스 항목에 QadSoftware 1.0 관련 프로그램 성성



Qad Update Service(Qad Update Service) = "C:\Program Files\QadSoftware\QadUpdateService.exe"


>> QadPop.exe 파일의 기능 : GetPrivateProfileStringW API 함수로 경로 내에 있는 PopConf.ini 파일 내부의 URL값을 가져와 네이버 뉴스, 네이트, 다음 등을 비롯한 자사의 경쟁사 등의 특정 사이트 접근시 'http://file.qnigirlsshop.cafe24.com/product-2/bean/alim/banner.html' 주소로 된 배너창을 띄우는 역할을 수행합니다. 더불어 최초 파일 실행시 PopConf.ini을 참조하여 URL에 있는 주소를 참조하는 기능도 엿보입니다.ㅇㅅㅇ 








> 팝업이 나타나면 위와 같인 팝업이 나타날겁니다... VirtualBox에서 나타나지 않았음..ㅇㅅㅇ;;



>> QadUpdateService.exe 파일의 기능 : 앞서 언급한 QadPop.exe와 마찬가지로 GetPrivateProfileStringW API 함수를 활용하여 지정된 경로 내에 있는 UpdateConf.ini의 url 값을 참조, 그리고 url 내에 있는 주소로부터 QadSoftware 1.0의 QadClass.dll, QadPop.exe 파일 업데이트 기능을 수행합니다. 참고로 특정 조건을 갖추게 되면 SamilPop.exe, SamilClass.dll이 다운 후 RegSvr32.exe를 활용하여 시작프로그램 항목에 생성 기능을 수행 및 cmd /c /u 명령어를 활용하여 실행이 이루어질 수 있습니다. 하지만 Vmware에서는 이러한 일이 발생하지 않았기에 넘어가겠습니다.ㅇㅅㅇ;












Microsoft-ATL-Native/10.00???



>> QadClass.dll 파일의 기능 : 본 모듈은 Internet Explorer에서 브라우저 개체 도우미(Browser Helper Object)로 기능을 수행하며 앞서 언급한 QadPop.exe, QadUpdateService.exe와 마찬가지로 dll 파일 내부에 GetPrivateProfileStringW를 활용하여 지정된 경로에 있는 ClassConf.ini 내의 url값을 통하여 광고 팝업창을 띄우는 걸 추측할 수 있습니다.(QadPop.exe와 겹치네?? 어떻게 된거지)









>> QadSoftware 1.0 삭제 및 제거 방법 : 정상적인 삭제 절차를 밟아도 일부 프로그램이 여전히 존재하기에 수동적인 삭제 절차가 필요합니다.


1. 프로그램 추가/제거에서 QadSoftware 1.0을 삭제해주시기 바랍니다.





2. 작업관리자의 목록에서 QadPop.exe가 실행 중인지 확인한 뒤, 만일 실행 중일 경우 QadPop.exe를 종료해주시기 바랍니다.


3. 아래의 경로에 있는 파일 및 레지스트리를 삭제해주시기 바랍니다.


▶ C:\Program Files\QadSoftware\QadPop.exe

▶ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

"QadPop.exe"="C:\\Program Files\\QadSoftware\\QadPop.exe" 



※ 일부 환경에서는 QadSoftware 1.0 업데이트 서비스가 지워지지 않는 경우가 있기에 만일 QadPopUpdateService.exe가 삭제해도 존재할 시 아래의 과정을 거쳐 삭제해주시기 바랍니다.


1. 시작 - 프로그램 - 보조 프로그램 - 명령 프롬프트에서 명령 프롬프트를 마우스 우측 버튼 누르고 '관리자 권한으로 실행'으로 들어가주시기 바랍니다.


2. 명령 프롬프트 창에서 아래의 명령어를 입력해주시기 바랍니다.


sc delete "Qad Update Service"




3. 아래의 경로에 있는 폴더 및 파일을 삭제해주시기 바랍니다.


▶ C:\Program Files\QadSoftware\

▶ C:\Program Files\QadSoftware\QadUpdateService.exe

Posted by Ec0nomist

댓글을 달아 주세요