작성일자
카테고리 CMS/티스토리 가이드

구글 크롬을 사용하다보면 구글 광고에 대체되어 흉칙한 광고가 나타나는 경우가 있습니다. 어떤 때는 플래시 광고처럼 번쩍 거리기도 하고 이런게 구글광고인가 싶기도 해서 그대로 놔두고 넘어간 적이 있는데 하도 이상해서 요소검사를 해보니 Xtendmedia 바이러스에 의한 광고였습니다. 주로 콘텐츠 영역에 나타나더군요. 구글링을 해보니 여러가지 방법이 있는데 간단한 것은 확장 프로그램에서 제 3자에 의해 설치된 것인지 확인하고 제거하면 됩니다.-->http://martian36.tistory.com/1224



그런데 이 Xtendmedia 바이러스는 바이러스 검색해도 검출되지 않는데 프로그램으로 설치되기도 하고 구글 확장 프로그램으로 설치되기도 한다고 합니다. 다양한 제거 방법은 -->http://botcrawl.com/how-to-remove-the-xtendmedia-virus/


제 경우는 제어판에서 제거할 수 있었습니다. 제어판의 프로그램 제거 또는 변경에서 Better Surf Plus가 있으면 제거하면 됩니다. 기타 제어판에서 본인이 설치하지 않은 프로그램으로 의심되면 제거해주면 됩니다. 광고가 이상하다 싶으면 해당 광고를 우클릭해서 요소검사하면 위처럼 브라우저 하단에 코드가 나옵니다. src 부분에서 Xtendmedia.com이 있으면 무조건 바이러스 광고입니다.


원인은 Softonic 사이트에서 내려받은 구글 크롬 브라우저


위의 방법으로 프로그램을 제거해도 다시 광고가 대체됐는데 원인을 찾아봤습니다. 이전에 소프토닉(Softonic: http://www.softonic.com/)에서 내려받은 구글 크롬을 설치했었는데 제거하고 다시 구글 크롬 공식 사이트에서 크롬을 내려받아 설치했지만 깨끗한 프로그램 설치가 안됐더군요. 알고보니 소프토닉에서 내려받은 파일의 환경설정 파일에 이미 코드가 존재했었고 구글 크롬을 제거해도 이 파일은 남아있었기 때문에 계속 바이러스가 작동하고 있었던 것입니다.



C:\Users\kim\AppData\Local\Google\Chrome\User Data\Default


위 폴더로 가면 확장자가 없는 Preference 파일이 있습니다. 이 파일은 크롬을 설치할 때 기본적으로 설치되는데 이미 프로그램에 코드를 심어놓은 것이죠. 위 그림은 좌측의 정상적인 파일과 우측의 악성코드를 심어놓은 Preference 파일을 파일 비교 프로그램을 통해 비교해 본 것입니다. 크롬을 제거해도 이 환경설정 파일은 제거되지 않았던 것입니다. 그러니 C:\Users\kim\AppData\Local 폴더에서 Google 폴더를 제거하고 크롬을 다시 설치해야 합니다.


그러니 소프토닉(Softonic: http://www.softonic.com/)에서는 절대 프로그램을 내려받아서는 안됩니다. 




저작자 표시 비영리 변경 금지
신고

티스토리 툴바