마이크로소프트(Microsoft) 관련 프로그램으로 위장하여 웹하드 회원 가입시 사용자 몰래 추천인 아이디(ID)를 추가하는 MicrosoftAPI 프로그램에 대해 살펴보도록 하겠습니다.
- h**p://update.microsoft***.com/*****/microsoftapi_setup_01.exe (MD5 : d4f92a8582ccb2a240e050dfd2dec7aa)
- h**p://update.microsoft***.com/*****/microsoftapi_setup_02.exe (MD5 : 0e1d48c835c3cd4ab3517a9aeaa2de36)
- h**p://update.microsoft***.com/*****/microsoftapi_setup_03.exe (MD5 : d6ce9d46f75c3d904d8a78d48eb1d963)
- h**p://update.microsoft***.com/*****/microsoftapi_setup_04.exe (MD5 : fb19cdcffe368c87510ce7f79b0743c4)
- h**p://update.microsoft***.com/*****/microsoftapi_setup_05.exe (MD5 : 113164fa8e653fbf1eaeb67f647c4aa5)
- h**p://update.microsoft***.com/*****/microsoftapi_setup_06.exe (MD5 : f6dd11670c0152be60932cb18b7d5df7)
해당 프로그램의 설치 파일은 현재 6종이 확인되고 있으며, 프로그램이 설치된 환경에서 제어판을 통한 삭제를 지원하지 않는 관계로 사용자는 프로그램 설치 여부를 인지하기 어려울 것으로 보입니다.
▷ 검색 도우미 : Windows nuriweb (2011.12.17)
▷ 검색 도우미 : Windows infoaux (2012.3.10)
▷ 검색 도우미 : Windows Sidematch System (2012.3.13)
▷ 국내 악성코드 : Adware.Salumonia.816277 (Hauri ViRobot) (2012.4.4)
▷ 검색 도우미 : Windows best5info (2012.4.12)
▷ 검색 도우미 : Window naverdown (2012.5.12)
▷ [삭제] MicrosoftToppoint (2012.5.22)
▷ 자신을 삭제하는 1회용 광고 프로그램 "Windows SideGo" (2012.6.1)
▷ [삭제] WindowEngine (2012.7.17)
또한 해당 프로그램에서는 "keimc" 디지털 서명을 포함하고 있으며, 과거부터 다양한 프로그램 이름으로 설치가 이루어지고 있었던 것으로 보입니다.
C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\MicrosoftAPI
C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\MicrosoftAPI\microsoftapi.dat
C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\MicrosoftAPI\microsoftapi.dll :: BHO 등록 파일
C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\MicrosoftAPI\microsoftapi.exe :: 시작 프로그램 등록 파일
C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\MicrosoftAPI\msfree.exe
C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\MicrosoftAPI\unins000.dat
C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\MicrosoftAPI\unins000.exe :: 프로그램 삭제 파일
해당 프로그램은 사용자가 확인하기 어려운 숨김(H) 속성값을 가진 폴더 내의 "C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\MicrosoftAPI" 폴더에 파일을 생성하며, Windows 시작시 microsoftapi.exe 파일을 시작 프로그램으로 등록하여 특정 서버에 쿼리 전송을 시도합니다.
프로그램의 기능을 살펴보면 브라우저 도우미 개체(BHO)로 등록되는 microsoftapi.dll 파일을 통해 사용자가 국내 웹하드 서비스에 회원 가입을 할 경우 프로그램에 등록된 추천인 아이디(ID)를 추가하는 것으로 보입니다.
참고로 실제 특정 웹하드의 무료 회원 가입 페이지로 접속할 경우 사용자 몰래 추천인 아이디(ID)가 추가되는 것을 확인할 수 있었습니다.
이름 : MicrosoftAPI Object
게시자 : keimc
유형 : 브라우저 도우미 개체
CLSID : {BAA8D838-B973-44CF-A6EA-C7D5176CAA24}
파일 : C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\MicrosoftAPI\microsoftapi.dll
해당 프로그램은 사용자가 특정 웹하드에 접속할 경우 브라우저 도우미 개체(BHO)에 microsoftapi.dll 파일 등록값을 참조하여 추천인 아이디(ID)를 추가하는 동작을 합니다.
그러므로 해당 광고 동작의 중지를 위해서는 웹 브라우저의 추가 기능 관리에 등록된 "MicrosoftAPI Object" 항목을 선택하여 "사용 안 함"으로 변경하시기 바랍니다.
MicrosoftAPI 프로그램은 제어판을 통한 삭제 기능을 제공하지 않으므로, Internet Explorer 웹 브라우저를 종료한 상태에서 다음과 같은 절차에 따라 삭제를 진행하시기 바랍니다.
(1) 폴더 옵션에서 "숨김 파일 및 폴더 → 숨김 파일 및 폴더 표시" 항목에 체크하시기 바랍니다.
(2) 윈도우 탐색기를 실행하여 "C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\MicrosoftAPI\unins000.exe" 파일을 찾아 수동으로 실행하시기 바랍니다.
HKEY_CURRENT_USER\Software\AppDataLow\MicrosoftAPI
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- MicrosoftAPI = C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\MicrosoftAPI\microsoftapi.exe
HKEY_LOCAL_MACHINE\SOFTWARE\AppDataLow
- msInst = a
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{BAA8D838-B973-44CF-A6EA-C7D5176CAA24}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{BAEDCF0F-CAB2-31AF-BAFE-C7D1B7BE6431}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\microsoftapi.microsoftapi
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{BA0E3D51-BA2B-35E1-381B-9A9E0AFEE341}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{BAA8D838-B973-44CF-A6EA-C7D5176CAA24}
해당 프로그램은 기본적으로 프로그램 자체를 마이크로소프트(Microsoft)처럼 위장하여 사용자의 눈을 속이고 있으며, 프로그램 목록 및 제어판의 삭제 항목에 자신을 등록하지 않는 문제로 사용자는 설치 여부를 확인하기 매우 어려우므로 주의하시기 바랍니다.