반응형
국내 (주)KS.Zone 업체에서 서비스하는 악성코드 치료 프로그램 PC메딕(PCMedic) 제품에 대해 살펴보도록 하겠습니다.
1. 프로그램 설치 / 삭제 정보
1-1. 생성 폴더 / 파일 정보
해당 프로그램은 테스트 당시 국내 보안업체에서 가짜 백신으로 진단하고 있는 것을 확인할 수 있습니다.
프로그램의 기본 동작 방식은 윈도우 시작시 PCMedicLaunch.exe 파일을 시작 프로그램으로 등록하여 프로그램이 자동 실행되며, 최신 업데이트 확인을 위한 PCMedicUp.exe 파일이 동작을 합니다.
1-2. 레지스트리 생성 정보
1-3. 프로세스 정보
실행된 프로그램은 PCMedic.exe 프로세스를 생성하여 동작하며, 실행과 함께 자동으로 악성코드 검사를 진행하도록 구성되어 있으며, 검사 도중에 사용자는 검사를 취소할 수 없습니다.
1-4. 삭제 정보
프로그램의 삭제는 제어판의 [PCMedic 1.0] 삭제 항목을 이용하여 삭제가 가능합니다. 하지만 프로그램 자체가 악성코드이므로 보안제품을 통한 진단 및 치료를 병행하시기를 추천해 드립니다.
2. 프로그램 개요
해당 프로그램은 정상적인 컴퓨터 환경에서도 검사시 그림과 같이 최소 1.000여개 이상의 악성코드를 진단하는 것을 확인할 수 있습니다.
진단의 내용은 과거 사용한 삭제 파일 흔적(존재하지 않는 다수의 파일 진단), 정상적인 파일 진단, 정상적인 파일 중복 진단, 임시 파일 진단, 사이트 방문 기록 등을 진단하여 악성코드에 감염되어 있다는 메시지를 출력하고 있습니다.
진단된 항목에 대한 치료를 하지 않고 프로그램을 시스템 트레이 상으로 최소화를 하면 그림과 같은 경고 팝업창을 생성하며, 사용자가 닫기 버튼을 클릭할 경우 결제창을 자동으로 생성합니다.
만약 해당 경고 팝업창을 그대로 둘 경우 몇 초 간격으로 자동으로 생성되는 행위를 반복하여 정상적인 컴퓨터 사용을 방해하는 동작을 하고 있습니다.
3. 제품 해지 신청 정보
해당 프로그램의 이용약관에서는 월정액제 유료 회원의 경우 해지 신청을 하지 않을 경우 매월 자동으로 이용요금을 청구한다고 밝히고 있으므로 주의하시기 바랍니다.
[테스트 환경]
● OS : Windows XP SP3
● 설치 프로그램 : 제작사 배포 파일
※ 해당 프로그램은 배포 방식에 따라 파일 구성 및 정보가 다를 수 있습니다.
※ 해당 내용은 게시글 작성 일자 기준이므로 실제와 다를 수 있습니다.
※ 해당 내용은 컴퓨터 환경에 따라 결과가 다를 수 있습니다.
● OS : Windows XP SP3
● 설치 프로그램 : 제작사 배포 파일
※ 해당 프로그램은 배포 방식에 따라 파일 구성 및 정보가 다를 수 있습니다.
※ 해당 내용은 게시글 작성 일자 기준이므로 실제와 다를 수 있습니다.
※ 해당 내용은 컴퓨터 환경에 따라 결과가 다를 수 있습니다.
1. 프로그램 설치 / 삭제 정보
1-1. 생성 폴더 / 파일 정보
[생성 파일 진단 정보]
C:\Program Files\PCMedic\PCMedicUp.exe (AhnLab : Win-Adware/Rogue.PCMedic.323584)
C:\Program Files\PCMedic\PCMedicLaunch.exe (AhnLab : Win-Adware/Rogue.PCMedic.159744)
C:\Program Files\PCMedic\PCMedicUp.exe (AhnLab : Win-Adware/Rogue.PCMedic.323584)
C:\Program Files\PCMedic\PCMedicLaunch.exe (AhnLab : Win-Adware/Rogue.PCMedic.159744)
해당 프로그램은 테스트 당시 국내 보안업체에서 가짜 백신으로 진단하고 있는 것을 확인할 수 있습니다.
프로그램의 기본 동작 방식은 윈도우 시작시 PCMedicLaunch.exe 파일을 시작 프로그램으로 등록하여 프로그램이 자동 실행되며, 최신 업데이트 확인을 위한 PCMedicUp.exe 파일이 동작을 합니다.
1-2. 레지스트리 생성 정보
[생성 레지스트리 등록 정보]
HKEY_CURRENT_USER\Software\PCMedic
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- PCMedic = C:\Program Files\PCMedic\PCMedicLaunch.exe
HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Uninstall\PCMedic
HKEY_CURRENT_USER\Software\PCMedic
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- PCMedic = C:\Program Files\PCMedic\PCMedicLaunch.exe
HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Uninstall\PCMedic
1-3. 프로세스 정보
1-4. 삭제 정보
프로그램의 삭제는 제어판의 [PCMedic 1.0] 삭제 항목을 이용하여 삭제가 가능합니다. 하지만 프로그램 자체가 악성코드이므로 보안제품을 통한 진단 및 치료를 병행하시기를 추천해 드립니다.
2. 프로그램 개요
PC메딕 검사 결과
해당 프로그램은 정상적인 컴퓨터 환경에서도 검사시 그림과 같이 최소 1.000여개 이상의 악성코드를 진단하는 것을 확인할 수 있습니다.
진단의 내용은 과거 사용한 삭제 파일 흔적(존재하지 않는 다수의 파일 진단), 정상적인 파일 진단, 정상적인 파일 중복 진단, 임시 파일 진단, 사이트 방문 기록 등을 진단하여 악성코드에 감염되어 있다는 메시지를 출력하고 있습니다.
PC메딕 시스템 트레이 상단 경고 팝업창
진단된 항목에 대한 치료를 하지 않고 프로그램을 시스템 트레이 상으로 최소화를 하면 그림과 같은 경고 팝업창을 생성하며, 사용자가 닫기 버튼을 클릭할 경우 결제창을 자동으로 생성합니다.
만약 해당 경고 팝업창을 그대로 둘 경우 몇 초 간격으로 자동으로 생성되는 행위를 반복하여 정상적인 컴퓨터 사용을 방해하는 동작을 하고 있습니다.
3. 제품 해지 신청 정보
해당 프로그램의 이용약관에서는 월정액제 유료 회원의 경우 해지 신청을 하지 않을 경우 매월 자동으로 이용요금을 청구한다고 밝히고 있으므로 주의하시기 바랍니다.
1. 전화 : 0502-100-0320
위와 같은 방법으로 해지 신청이 되지 않을 시에는 휴대폰/ARS 결제중재센터를 통하여 문제를 해결하시기 바라며, 금전적 피해와 관련해서는 한국소비자원에 신고하여 구제를 받으시기 바랍니다. 기타 프로그램 삭제와 관련된 상담은 보호나라(전화 118번) / 안철수연구소 가짜 백신 신고센터(로그인 필요)를 이용하시기 바랍니다.
위와 같은 방법으로 해지 신청이 되지 않을 시에는 휴대폰/ARS 결제중재센터를 통하여 문제를 해결하시기 바라며, 금전적 피해와 관련해서는 한국소비자원에 신고하여 구제를 받으시기 바랍니다. 기타 프로그램 삭제와 관련된 상담은 보호나라(전화 118번) / 안철수연구소 가짜 백신 신고센터(로그인 필요)를 이용하시기 바랍니다.
[관련글 보기]
2009/08/21 - [벌새::Analysis] - 악성코드 치료 프로그램 : 스마트바이러스(SmartVirus)
2009/08/25 - [벌새::Analysis] - 악성코드 치료 프로그램 : 닥터컴(DoctorCom)
2009/08/21 - [벌새::Analysis] - 악성코드 치료 프로그램 : 스마트바이러스(SmartVirus)
2009/08/25 - [벌새::Analysis] - 악성코드 치료 프로그램 : 닥터컴(DoctorCom)
728x90
반응형