인터넷 검색시 광고창을 생성하는 검색 도우미 "MicroNames Multi Language Convert Service 3.0 + Windows multi Convert Retain" 프로그램에 대해 살펴보도록 하겠습니다.
해당 프로그램의 설치 파일(MD5 : 0292835b085f2ef46f57a651fa96a73b)에 대하여 Kaspersky 보안 제품에서는 not-a-virus:AdWare.Win32.Hebogo.v (VirusTotal : 5/42) 진단명으로 진단되고 있습니다.
▷ 검색 도우미 : 외국어 자동 번역 검색 서비스(Micronames Multi Language Convert Service) (2010.8.14)
▷ 검색 도우미 : Micronames Multi Language Convert Service 2.00 (2011.12.9)
또한 해당 프로그램은 기존의 "Micronames Multi Language Convert Service" 검색 도우미 프로그램의 업데이트 버전으로 추정되므로 참고하시기 바랍니다.
설치 파일(MD5 : 0292835b085f2ef46f57a651fa96a73b)을 이용하여 "C:\Documents and Settings\(사용자 계정)\Application Data\MicroLab" 폴더 내에 "MicroNames Multi Language Convert Service 3.0" 프로그램을 설치하는 과정에서 추가적으로 "C:\Documents and Settings\(사용자 계정)\Application Data\GuardSupport\GuardConvert.exe" 파일을 생성합니다.
- h**p://www.micro*****.co.kr/Download/GuardSupport.exe (MD5 : d0f70a79f2f4c6074c7ba4c16745385f) - AhnLab V3 : PUP/Win32.MicroLab (VirusTotal : 4/42)
생성된 GuardConvert.exe 파일은 특정 서버에서 "Windows multi Convert Retain" 프로그램 설치 파일을 다운로드하여 "C:\Documents and Settings\(사용자 계정)\Application Data\GuardSupport\GuardSupport.exe" 파일을 생성하여 사용자 몰래 추가적인 프로그램을 설치합니다.
C:\Documents and Settings\(사용자 계정)\Application Data\GuardSupport :: Windows multi Convert Retain 프로그램 설치 폴더
C:\Documents and Settings\(사용자 계정)\Application Data\GuardSupport\Conv.exe
C:\Documents and Settings\(사용자 계정)\Application Data\GuardSupport\GuardConvert.exe :: 시작 프로그램 등록 파일
C:\Documents and Settings\(사용자 계정)\Application Data\GuardSupport\GuardSupport.exe
C:\Documents and Settings\(사용자 계정)\Application Data\GuardSupport\Uninstall
C:\Documents and Settings\(사용자 계정)\Application Data\GuardSupport\Uninstall\uninstall.dat
C:\Documents and Settings\(사용자 계정)\Application Data\GuardSupport\Uninstall\Uninstall.exe :: Windows multi Convert Retain 프로그램 삭제 파일
C:\Documents and Settings\(사용자 계정)\Application Data\GuardSupport\Uninstall\uninstall.xml
C:\Documents and Settings\(사용자 계정)\Application Data\MicroLab :: MicroNames Multi Language Convert Service 3.0 프로그램 설치 폴더
C:\Documents and Settings\(사용자 계정)\Application Data\MicroLab\MyEngin
C:\Documents and Settings\(사용자 계정)\Application Data\MicroLab\MyEngin\Common
C:\Documents and Settings\(사용자 계정)\Application Data\MicroLab\MyEngin\Common\MicroProCon.exe :: 시작 프로그램(MicroLabCon) 등록 파일
C:\Documents and Settings\(사용자 계정)\Application Data\MicroLab\MyEngin\Common\MicroProProc.exe :: 시작 프로그램(MicroLabProc) 등록 파일 / 메모리 상주 프로세스
C:\Documents and Settings\(사용자 계정)\Application Data\MicroLab\MyEngin\Common\Uninstall
C:\Documents and Settings\(사용자 계정)\Application Data\MicroLab\MyEngin\Common\Uninstall\IRIMG1.JPG
C:\Documents and Settings\(사용자 계정)\Application Data\MicroLab\MyEngin\Common\Uninstall\IRIMG2.JPG
C:\Documents and Settings\(사용자 계정)\Application Data\MicroLab\MyEngin\Common\Uninstall\uninstall.dat
C:\Documents and Settings\(사용자 계정)\Application Data\MicroLab\MyEngin\Common\Uninstall\Uninstall.exe :: MicroNames Multi Language Convert Service 3.0 프로그램 삭제 파일
C:\Documents and Settings\(사용자 계정)\Application Data\MicroLab\MyEngin\Common\Uninstall\uninstall.xml
C:\WINDOWS\system32\MSINET.OCX
C:\WINDOWS\system32\VB6KO.DLL
C:\Documents and Settings\(사용자 계정)\Application Data\GuardSupport\Conv.exe
- MD5 : c760a4abce1da9b8758238b19d04baa1
- AhnLab V3 : PUP/Win32.MicroLab (VirusTotal : 13/42)
C:\Documents and Settings\(사용자 계정)\Application Data\GuardSupport\GuardConvert.exe
- MD5 : 34d68f6253ece3b7ed421a68c0a497b7
- AhnLab V3 : PUP/Win32.MicroLab (VirusTotal : 19/42)
C:\Documents and Settings\(사용자 계정)\Application Data\GuardSupport\GuardSupport.exe
- MD5 : d0f70a79f2f4c6074c7ba4c16745385f
- AhnLab V3 : PUP/Win32.MicroLab (VirusTotal : 4/42)
C:\Documents and Settings\(사용자 계정)\Application Data\MicroLab\MyEngin\Common\MicroProCon.exe
- MD5 : 70b76efed52fe60e668457f3c8ded3c8
- AhnLab V3 : PUP/Win32.MicroLab (VirusTotal : 14/42)
C:\Documents and Settings\(사용자 계정)\Application Data\MicroLab\MyEngin\Common\MicroProProc.exe
- MD5 : b868d72207e6ca7a19807f082413abc8
- AhnLab V3 : Win-PUP/Helper.MicroLab.773152.B (VirusTotal : 6/42)
C:\Documents and Settings\(사용자 계정)\Application Data\MicroLab\MyEngin\Common\Uninstall\Uninstall.exe
- MD5 : 3fe7c92dba5c9240b4ab0d6a87e6166a
- nProtect : Adware/W32.KrAdword_Packed.580096 (VirusTotal : 1/42)
- C:\Documents and Settings\(사용자 계정)\Application Data\GuardSupport :: Windows multi Convert Retain 프로그램
- C:\Documents and Settings\(사용자 계정)\Application Data\MicroLab :: MicroNames Multi Language Convert Service 3.0 프로그램
해당 프로그램들은 사용자가 확인하기 어려운 숨김(H) 속성값을 가진 폴더 내에 각각 생성되며, 사용자는 2개의 프로그램으로 분류되어 설치되는지 제대로 확인하기 어렵습니다.
1. "MicroNames Multi Language Convert Service 3.0" 프로그램
해당 프로그램은 Windows 시작시 "C:\Documents and Settings\(사용자 계정)\Application Data\MicroLab\MyEngin\Common\MicroProCon.exe", "C:\Documents and Settings\(사용자 계정)\Application Data\MicroLab\MyEngin\Common\MicroProProc.exe" 2개의 파일을 시작 프로그램으로 등록하여 자동 실행되며, MicroProProc.exe 프로세스는 메모리에 상주하도록 구성되어 있습니다.
이를 통해 인터넷을 이용하는 과정에서 특정 검색 키워드 입력시 추가적인 광고창을 생성하는 동작을 확인할 수 있습니다.
또한 Internet Explorer 웹 브라우저의 주소 표시줄에 검색 키워드를 입력할 경우 자동으로 연결되는 동작을 확인할 수 있습니다.
이 과정에서 사용자 몰래 특정 광고 코드(click.intetich.com / click.clickstory.co.kr)를 추가하는 모습을 볼 수 있었습니다.
2. "Windows multi Convert Retain" 프로그램
해당 프로그램은 Windows 시작시 "C:\Documents and Settings\(사용자 계정)\Application Data\GuardSupport\GuardConvert.exe" 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.
자동 실행된 GuardConvert.exe 파일은 특정 서버로부터 서버 목록, 폼(Form) 체크, 프로그램 및 IP 정보 등을 확인하며, 이는 "MicroNames Multi Language Convert Service 3.0" 프로그램의 시작 프로그램 체크값과 유사합니다.
참고로 "Windows multi Convert Retain" 프로그램은 특별히 광고 동작 등의 추가적인 행위는 확인되지 않고 있습니다.
광고창 생성 등의 동작은 "MicroNames Multi Language Convert Service 3.0" 프로그램의 MicroProProc.exe 프로세스를 통해 이루어지므로, 프로그램 삭제시에는 Windows 작업 관리자를 실행하여 해당 프로세스를 찾아 수동으로 종료하시기 바랍니다.
프로그램 삭제는 제어판의 "MicroNames Multi Language Convert Service", "Windows multi Convert Retain" 2개의 삭제 항목을 이용하여 삭제할 수 있으며, 프로그램 삭제 후에는 추가적으로 다음의 폴더를 수동으로 삭제하시기 바랍니다.(※ 참고로 "MicroNames Multi Language Convert Service" 프로그램의 삭제 파일을 nProtect 보안 제품에서 악성 파일로 진단하여 삭제된 환경에서는 제어판을 통한 삭제가 이루어지지 않으므로 수동으로 생성 폴더(파일), 레지스트리 값을 참조하여 삭제하시기 바랍니다.)
- C:\Documents and Settings\(사용자 계정)\Application Data\GuardSupport
- C:\Documents and Settings\(사용자 계정)\Application Data\MicroLab
- C:\Documents and Settings\(사용자 계정)\Application Data\MicroLab\MyEngin
- C:\Documents and Settings\(사용자 계정)\Application Data\MicroLab\MyEngin\Common
프로그램 삭제시 사용자가 "MicroNames Multi Language Convert Service" 프로그램만을 삭제한 경우, Windows 시작시 "GuardSupporter" 오류창 생성을 통해 "The language DLL 'vb6ko.dll' could not be found."라는 메시지를 생성합니다.
이는 "MicroNames Multi Language Convert Service" 프로그램 삭제 과정에서 "C:\WINDOWS\system32\VB6KO.DLL" 파일이 삭제되는 문제로 인해, Visual Basic으로 제작된 "Windows multi Convert Retain" 프로그램의 시작 프로그램(GuardConvert.exe)이 정상적으로 실행되지 않는 것으로 보입니다.
"MicroNames Multi Language Convert Service" 프로그램 삭제 이후 "Windows multi Convert Retain" 프로그램을 삭제할 경우 "GuardSupporter" 오류창이 생성되지만 프로그램은 정상적으로 삭제되므로 참고하시기 바랍니다.(※ 해당 오류창을 원치 않는 사용자는 "Windows multi Convert Retain" 프로그램 삭제 이후에 "MicroNames Multi Language Convert Service" 프로그램을 삭제하시는 것도 방법입니다.)
HKEY_CURRENT_USER\Software\GuardSupport
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- GuardSupport = C:\Documents and Settings\(사용자 계정)\Application Data\GuardSupport\GuardConvert.exe -ScLLykL
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- GuardSupport = %ApplicationDataFolder%\GuardSupport\GuardConvert.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Windows multi Convert Retain3.0
[생성 레지스트리 등록 정보 : MicroNames Multi Language Convert Service 프로그램]
HKEY_CURRENT_USER\Software\MicroLab
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- MicroLabCon = C:\Documents and Settings\(사용자 계정)\Application Data\MicroLab\MyEngin\Common\MicroProCon.exe -LfWMalTTG
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- MicroLabProc = C:\Documents and Settings\(사용자 계정)\Application Data\MicroLab\MyEngin\Common\MicroProProc.exe -LfWMalTTG
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\MicroNames Multi Language Convert Service3.0
이들 프로그램 이름으로는 사용자가 광고창을 생성하는 프로그램으로 생각하기 어렵다는 점에서 사용자의 삭제를 회피하려는 의도가 다분해 보이며, 인터넷 이용시 원치 않는 광고창 생성으로 불편을 유발할 수 있으므로 주의하시기 바랍니다.