2010.08.31 16:54 Etc../잡담

글에 들어가기 앞서 요약하자면

ALAd.dll 이란 파일을 삭제 하시면 됩니다

Windows7 기준으로 ProgramData\EstSoft\Alsong 폴더에 존재하며

다른 OS 분들은 검색하셔서 삭제 하시고

즐거운 음악 감상하시면 됩니다 :D


8.31 추가

%appdata% 에 있는 임시 폴더에도 하나 더 존재합니다 -_-

Windows7 기준으로

C:\Users\<사용자>\AppData\Roaming\ESTsoft\ALSong

이것도 같이 삭제해주세요




필자는 음악 플레이어로 알송을 쓰고 있습니다

알송을 쓰면서 상당히 거슬렸던 부분이 있었는데

플레이어 하단쪽의 광고입니다

일반 광고면 별로 신경안쓰겠습니다만

제가 검색한 키워드를 근거로 이 광고를 내보낸다는 것입니다

실제로 이어폰 구입을 위해서 검색하고 나면

얼마 지나지 않아 다음과 같은 알흠다운 광고를 볼 수 있게 됩니다


<그림1. 맞춤식 Smart AD? >

아니 , 이건 좀 아닌거 같지 않나요

물론 이런 좋은 소프트웨어를 공짜로 사용하고 있으니 광고 정도는

넘어갈 수 있겠습니다만 이런식으로 사용자의 검색어를 멋대로 가져가버리는건 문제가 있어 보이네요

아마, 이용약관에는 있겠지만.. 좀 씁쓸합니다

어디 어떤 정보를 수집하는지가 봐볼까요?


<그림2. 폴더를 샅샅이 뒤지고 계시는 ALSong.exe 님>

이 밖에도 즐겨찾기, History 등등 임시 인터넷 파일이란 파일은

모조리 다 접근하고 있습니다

물론 파일 하나하나 내용까지 들춰보는건 아닌거 같습니다만

저정도의 다수 폴더를 도는건 사용자 입장에서 다소 기분이 나쁠 수 있죠

* 다른 파일에서도 이런 식으로 접근 하는 것을 보았습니다

아마 특정 API 가 이런식으로 접근하는게 아닌가 싶네요


아무튼 이렇게 수집한 내용을 특정 사이트로 보내고 그에 대한 광고 내용을 받겠죠

이렇게 나가는 패킷을 조사해보면..

<그림3. 특정 사이트로 광고를 요구하고 그에 대한 xml 코드를 받아오는 모습>

들어가보니 다음 로드뷰 광고군요

현재 알송 광고중 대다수를 차지하고 있는

'우리집도 찍혔다?' 광고에 해당하는 링크와 일치합니다

다음 패킷과 비교를 해보니 1분 간격으로 오가는군요

burst 인자로 들어가는 Timestamp 값으로도 유추 가능 합니다 :D

이후에 파일이 하나 생성되는데

<그림4. 코드를 받아와서 파일을 생성하고 곧바로 삭제 하는 모습>

전에 포스팅 했던 임시 파일을 잡아내는 코드를 써서

내용을 복원해보았습니다

<그림5. 그림4에서 잠시 생성되었던 adview[1].txt 복원 내용>

내용을 보니 좀 전에 패킷으로 받은 내용과 일치합니다

그럼 이제 어떤 내용을 수집하는지 알아보도록 하죠

Alsong에 삽입된 dll을 차근차근 살펴볼까요?



<그림6. Alsong에 삽입된 일부 dll들>



ALAd.dll , ALsmartAd.dll 가 의심스러워보입니다

Export 함수를 봐볼까요?



<그림7. ALAd.dll 과 ALSmartAD.dll 의 Export 함수 >

IDA로 까보죠



ALAd 에서 ALSmartAd.dll 과 ALSmartAd.ini 를 불러 오는거 같네요

코드를 보면


<그림8. ALSmartAd.dll 의 Export 함수 로딩>

아아

보니 ALSmartAd.dll 에서 ini 파일을 파싱하는 것으로 보입니다



<그림9. ALSmartAd.ini Parsing>


그렇다면 이 ALSmartAd.ini 를 살펴볼까요

<그림10. ALSmartAd.ini 의 내용 >

이거군요

드디어 발견했습니다

네이버, 11번가 , G 마켓 등등...

왠만한 사이트들 검색어는 모두 걸러내는군요

히스토리에 남은 사이트들이 이 파일의 먹이가 될겁니다

자 그럼 이제 어떻게 이 광고를 막을까요

여러가지 방법이 있겠습니다만

ALAd.dll 을 로딩 하지 않으면 됩니다

간단하죠

파일을 삭제해버립니다


Alsong 설치 폴더에는 없고

Windows7 기준으로 ProgramData\ESTSoft\Alsong 에 존재합니다

XP 분들은 ALAd.dll 을 검색하셔서 찾으면 되겠죠?

그리고 깔끔하게 음악 감상 합시다 :D





P.S . 글 작성하다 보니 가운데 정렬이 먹통이 되버렸네요

스크린샷이 간혹 사라지는 경우도 발생하고.. 이거참..


Posted by LinkC

댓글을 달아 주세요

  1. 똥구 2010.09.29 14:35  댓글주소  수정/삭제  댓글쓰기

    님 고마워요
    전 알씨,알집,알송 이렇게 쓰는데 찾아보니 5개나 숨어 있었네요 으헝ㅠ

  2. 까꿍이 2010.10.05 22:49  댓글주소  수정/삭제  댓글쓰기

    XP는 C:/Program Files/ESTsoft/ALSong 폴더에 "ALCMProxy.DLL, ALSongIcon.DLL" 파일을 지우니 광고 안뜨네요. 좋은 정보 감사해요. ^ㅠ^

  3. eyess 2010.11.03 12:33  댓글주소  수정/삭제  댓글쓰기

    좋은 정보 너무 감사합니다.
    무료 프로그램이니 광고는 불가피하지만 내 검색어로 광고하는 거 보고 짜증이 나서 프로그램을 지워버릴까 했는데 이런 방법이 있었군요~

  4. 완전 굿 2010.11.23 19:32  댓글주소  수정/삭제  댓글쓰기

    님이 최고입니다.
    저도 ad 광고 보기 싫기도 하고 왠지 내 인터넷을 훔쳐보는것 같기도 해서 완전 찝찝해 하는 상황이었는데,
    정말 감사합니다. ^.^

  5. 쪼아요 2011.02.04 14:43  댓글주소  수정/삭제  댓글쓰기

    광고가 거슬려서 다른 프로그램 쓸까 했는데, 이런 방법이 있었네요~ 정말 감사합니다 :D

  6. 궁금해요 2011.02.09 13:45  댓글주소  수정/삭제  댓글쓰기

    ALAd.dll 파일을 지워도 내일모레되면 다시 생기던데 이거 방법없을까요?

    • LinkC 2011.02.18 10:19  댓글주소  수정/삭제

      ALAd.dll 파일이 하나만 있는게 아닐겁니다

      위에 글 보시면 두 가지 경로가 있는데요

      거기 있는 파일 모두 지워야한답니다

      물론 알송 내에서 업데이트 하면 다시 생기겠죠?

  7. olleh 2012.08.03 10:49  댓글주소  수정/삭제  댓글쓰기

    대한민국 NO.1 BGM STORAGE 브금저장소로 퍼갑니다~ (자... 잠깐! 홍보 아니야?!)

  8. 미네마인 2012.10.04 00:45  댓글주소  수정/삭제  댓글쓰기

    혹시나 해서 검색해보니 역시나 누군가도 저와 같은 생각을 하고 있었구나, 하는 생각에 반가웠습니다.

    이젠 광고를 지울 수 있겠지 싶어서 들어와보니, 단순히 그 파일만 삭제하면 된다는 정보만 가지고 나가기에는 뭔가 죄송한 마음이 들어

    글을 남깁니다. 저도 나름 컴퓨터를 좋아라하고 배우고자 하는 사람중에 한 명이지만, 정말 멋있어 보이네요ㅜㅜ

    아무쪼록 건강하시고 행복하세요!

  9. 만사여의 2013.05.29 21:25  댓글주소  수정/삭제  댓글쓰기

    전문가시군요. 감사합니다.

  10. 미자 2013.06.27 10:17  댓글주소  수정/삭제  댓글쓰기

    원리까지 아주 제대로 파악하셨네요 ㅠㅠb 자세한 설명 감사합니다.

  11. 노랑이 2013.10.12 04:33  댓글주소  수정/삭제  댓글쓰기

    정말 대단하십니다!

  12. 공룡발 2013.11.02 10:57  댓글주소  수정/삭제  댓글쓰기

    감사 음악들을때마다 거슬렸는데 좋은정보 감사합니다.


블로그 이미지
LinkC

태그목록

Tistory Cumulus Flash tag cloud by BLUEnLIVE requires Flash Player 9 or better.

공지사항

Yesterday35
Today36
Total334,155

달력

 « |  » 2019.11
          1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28 29 30

최근에 받은 트랙백

글 보관함


. .