애드웨어 정보2016.02.11 21:55

1. 애드웨어명 : Happ Manager



2. 설치 경로 : WiseRun 애드웨어 계열의 업데이트로 추정



3. Happ Manager 정보


3-1. 해당 애드웨어는 SmartRun이라는 업데이트 프로그램에서 실행이 이루어지며, 해당 프로그램의 경우 사용자가 어떤 프로그램이 설치 되는지 확인할 수 없게끔하였습니다. 



3-2. 설치가 이루어진다면 다수의 애드웨어가 PC에 설치가 이루어지며, 본 포스트에서 언급할 Happ Manager는 아래의 경로에 파일 및 레지스트리를 생성합니다.


C:\Program Files\Happ

C:\Program Files\Happ\Temp

C:\Program Files\Happ\happ.exe

C:\Program Files\Happ\uninstall.exe

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Happ

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Happ\Happ Manager.lnk


C:\Users\All Users\Microsoft\Windows\Start Menu\Programs\Happ

C:\Users\All Users\Microsoft\Windows\Start Menu\Programs\Happ\Happ Manager.lnk


C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Happ

C:\Users\(사용자 계정)\Desktop\Happ Manager.lnk


HKEY_CURRENT_USER\Software\Happ


HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Happ

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce\

HappManager = "C:\Program Files\Happ\happ.exe" -chkm



3-3. 해당 프로그램은 즐겨찾기 추가 서비스로 설명하고 있지만 실제로는 프로그램 실행 시 30분 간격으로 구글 단축URL을 경유하여 특정 사이트의 팝업창을 띄웁니다. 여기서 이 애드웨어 유포자는 익스플로러의 다중 실행 간 동일한 세션이 되는 걸 막기 위해 -noframemerging이라는 인자값을 사용하였습니다. 


인자값이 붙지 않을 경우에는 실행되는 익스플로러 모두 동일한 세션을 경유하는 현상이 있지만 만일 인자값을 붙이게 된다면 익스플로러 당 다른 세션으로 접속하여 하나의 세션에 비해 더 큰 부당한 수익을 얻을 것으로 보입니다.



<ehxmvlclqkfhwps -> 도트피치바로젠>





4. Happ Manager 삭제 및 제거 정보 : 프로그램 및 기능에 존재하는 Happ Manager 프로그램을 삭제하여주시기 바랍니다.


만일 언인스톨 파일이 존재하지만 프로그램 및 기능에 존재하지 않는다면 아래의 경로에서 수동으로 언인스톨 파일을 실행하여 삭제해주시기 바랍니다.


C:\Program Files\Happ\uninstall.exe

Posted by Ec0nomist

댓글을 달아 주세요