애드웨어 정보2014.01.19 23:55

일부 블로그에서 '13년 3월부터 현재까지 'KT Alleh Doctor(KT 닥터)' 백신인 양 정상 프로그램과 애드웨어를 삽입하여 사용자들로 하여금 광고창 팝업 생성, 가짜 백신 설치 등의 사용자 PC에 주는 프로그램이 현재까지 유통이 되고 있습니다.





해당 프로그램을 KT 닥터인줄 알고 실행하면 다음과 같은 창이 뜹니다. ㅡㅡ;;



쿡 메가닥터를 가장한 애드웨어가 뜨는데 여기서 만일 실행을 누르면 애드웨어와 정상 KT닥터 프로그램이 동시에 설치가 됩니다만 현재 쿡 메가닥터는 안 쓰고 KT Alleh Doctor(KT 닥터)만 쓰이고 있기에 애매합니다. ㅡㅡ;; 설치가 완료되면 다음과 같이 64비트와 86비트 설치버젼 창이 뜨고 컴퓨터 내에 쇼핑몰 아이콘이 생성이 되며 프로그램 추가/제거에는 20개가 넘어가는 애드웨어가 생성이 됩니다. 이 애드웨어는 사실상 악성 행위를 하고 있음에도 불구하고, 이러한 행위를 하는 것도 정상이라고 판단하는 어처구니 없는 국내법을 이용, 사용자들을 과거부터 현재까지 계속 자신의 금전적 이익을 위해 이용해 먹고 있습니다. 










>> 제거방법


1) 프로그램 추가/제거에서 다음과 같은 프로그램들을 과감히 삭제해주시기 바랍니다. 혹 KT닥터가 아니더라도 만일 이러한 애드웨어가 PC에 있으면 지워주시기 바랍니다.


addsupport 1.0    INIWebLink    IProtect     litepc    Micro Web Manager    powersearch    signkey

SSI    SubShop    vaccinetop    Window Guide    Window Network Manager    WindowAdvertisement    

window for smart install       Windows Internet Explorer KoreanKeyword V.2.2.1.1     Windows Now Pack Drivers

Windows OpenKeyWord    Windows Smart Pack     Windows Utility Update     WindowsTab Uninstall      오토디펜드




2) 서비스 내에 잔존하는 애드웨어를 제거하기 위하여 명령프롬프트 창에서 다음과 같은 명령어를 입력합니다.


sc delete "litepcservice"

sc delete "ACoolerSvr"

sc delete "Vaccinetop Service"

sc delete "windowstab_mon"

sc delete "smpsvc32"




3) 잔존하는 애드웨어들을 확실히 제거하기 위하여 다음과 같은 경로에서 폴더를 통째로 삭제해주시기 바랍니다.


C:\ProgramFiles\

addsupport, AutoDefend, IProtect, litepc, OpenKeyword, smartmanager, vaccinetop, windoguide, 

Windows Network Manager, WindowAdvertisement, Windows Now Pack Drivers, Windows Utility Update


C:\Windows\windowinfoupdate.exe


C:\Users\(사용자계정)\Appdata\Local\

Apps, KoreanKeyword, signkey, SSI, weblink, windowstab 폴더 삭제

Temp 폴더 내 모든 파일 및 폴더 삭제

Local 폴더 내 *.ico 모두 삭제


C:\Users\(사용자계정)\Appdata\Roaming\

ACooler, NWManager, powersearch 폴더 삭제

해당 폴더내 *.ink 모두 삭제

windowforsmartinstall.exe 삭제


바탕화면, Internet Explorer 즐겨찾기, 빠른 실행 내 쇼핑몰 및 리다이렉트 연결 아이콘 모두 삭제



4) 시스템 구성 유틸리티 시작 프로그램 탭에서 불필요한 프로그램들을 체크해제해주시기 바랍니다.


wuu, SSIagent 응용 프로그램, msprivs 응용 프로그램, WinKeyword_.., MWMToolbar, powersearch, signkey, TODO : <제품...>, windoguideopt 등이 그 대표적인 예시가 되겠습니다.



5) 애드웨어에 의해 임의로 생성된 BHO(Browser Helper Object)를 삭제해주시기 바랍니다. 해당 BHO 제거의 경우 레지스트리로 들어가서 삭제해주시기 바랍니다. 경로는 다음과 같습니다.


HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects






# 일부 순서가 이상하게 편성해버려 삭제에 차질이 있을 우려가 있어 순서를 변경하였고 마지막으로 BHO에 관한 내용을 추가적으로 편성하였습니다. # 2014.01.22

# 시작 프로그램 관련 내용에 일부 내용을 추가하였습니다. 2014-01-24 오후 11시

# BHO 경로가 잘못 된 점을 바르게 정정하였습니다. 2014-01-26 오전 2시

Posted by Ec0nomist

댓글을 달아 주세요