즐겨찾기와 명령 모음에 인터넷 쇼핑몰 바로가기 아이콘을 등록하며, 특정 웹 사이트 방문시 제휴 코드가 추가될 수 있는 검색 도우미 "Mscryp Control" 프로그램에 대해 살펴보도록 하겠습니다.
해당 프로그램의 배포 파일(MD5 : 71b482b954863bc7707167f934ab595c)은 "Gongkam" 디지털 서명이 포함되어 있으며, AhnLab V3 보안 제품에서는 Trojan/Win32.ADH (VT : 24/46) 진단명으로 진단되고 있습니다.
▶ <2011년~2012년 관련 정보> 검색 도우미 : Windows Plus (2012.12.11) 외 10종
▷ [삭제] Windowsoffice (2013.1.2)
▷ [삭제] Microsofts Winsrv64 (2013.1.3)
▷ 검색 도우미 : Window Popmulticare (2013.1.15)
▷ 검색 도우미 : mxwho Control (2013.3.23)
"Mscryp Control" 프로그램은 사용자의 눈을 속일 목적으로 마이크로소프트(Microsoft) 폴더 내부에 파일을 생성하며, 기존의 "mxwho Control" 프로그램을 암호화하여 자신의 정체를 숨기고 있습니다.
프로그램이 설치되는 과정에서 특정 업데이트 서버로부터 "Mscryp Control" 프로그램의 설치 파일(MD5 : c975d51ad12d23b5427a73150d3a962d)을 다운로드하여 "C:\Documents and Settings\All Users\Documents\mscryp_03.exe" 파일을 생성하여 프로그램 설치 후 자가 삭제 처리가 이루어집니다.(※ 해당 설치 파일은 총 24종으로 구성되어 있습니다.)
참고로 해당 파일에 대하여 avast! 보안 제품에서는 Win32:Malware-gen (VT : 3/46) 진단명으로 진단되고 있습니다.
C:\Documents and Settings\(사용자 계정)\Application Data\Microsoft\mscryp
C:\Documents and Settings\(사용자 계정)\Application Data\Microsoft\mscryp\img
C:\Documents and Settings\(사용자 계정)\Application Data\Microsoft\mscryp\img\11.ico
C:\Documents and Settings\(사용자 계정)\Application Data\Microsoft\mscryp\img\a.ico
C:\Documents and Settings\(사용자 계정)\Application Data\Microsoft\mscryp\img\g.ico
C:\Documents and Settings\(사용자 계정)\Application Data\Microsoft\mscryp\msclose.exe
C:\Documents and Settings\(사용자 계정)\Application Data\Microsoft\mscryp\mscryp.exe :: 시작 프로그램(mscryp) 등록 파일 / 메모리 상주 프로세스
C:\Documents and Settings\(사용자 계정)\Application Data\Microsoft\mscryp\unins000.dat
C:\Documents and Settings\(사용자 계정)\Application Data\Microsoft\mscryp\unins000.exe :: 프로그램 삭제 파일
C:\Documents and Settings\(사용자 계정)\Application Data\Microsoft\mscryp\upmscryp.dat
C:\Documents and Settings\(사용자 계정)\Application Data\Microsoft\mscryp\upmscryp.exe :: 시작 프로그램(upmscryp) 등록 파일
C:\Documents and Settings\(사용자 계정)\Favorites\ 11번가 .URL
C:\Documents and Settings\(사용자 계정)\Favorites\ G마켓 .URL
C:\Documents and Settings\(사용자 계정)\Favorites\ 옥션 .URL
해당 프로그램은 마이크로소프트(Microsoft) 기본 폴더 내부에 "C:\Documents and Settings\(사용자 계정)\Application Data\Microsoft\mscryp" 폴더를 생성하여 프로그램을 설치하고 있습니다.
Windows 시작시 mscryp.exe, upmscryp.exe 2개의 파일을 시작 프로그램으로 등록하여 자동 실행되며, 실행된 upmscryp.exe 파일은 업데이트 체크 및 mscryp.exe 파일을 로딩하여 메모리에 상주시키도록 합니다.
프로그램이 설치된 환경에서 즐겨찾기, 명령 모음에 11번가, G마켓, 옥션 바로가기 아이콘을 등록되어 있으며, 해당 아이콘을 통해 접속시 특정 광고 코드(cl.ilikeclick.com)가 추가되는 것을 확인할 수 있습니다.
이름 : 옥션
유형 : 브라우저 확장
CLSID : {00000004-F985-406F-86C1-E8C07C4EAA33}
이름 : G마켓
유형 : 브라우저 확장
CLSID : {00000005-FA8F-45ED-9476-7B7E2F32EE85}
이름 : 11번가
유형 : 브라우저 확장
CLSID : {0000000A-0E28-4E1D-B99F-E4482E587CA4}
명령 모음에 등록된 옥션, G마켓, 11번가 바로가기 아이콘은 웹 브라우저의 추가 기능 관리에 등록된 해당 인터넷 쇼핑몰 바로가기 항목을 선택하여 "사용 안 함"으로 변경하시면 해제가 됩니다.
또한 메모리에 상주하는 mscryp.exe 프로세스는 사용자가 특정 웹 사이트 접속시 제휴 코드(cl.ilikeclick.com)를 추가하는 방식으로 수익을 창출하고 있으며, 관련 정보에 대해 암호화 처리를 한 것으로 확인되고 있습니다.
그러므로 프로그램 삭제시에는 Windows 작업 관리자를 실행하여 mscryp.exe 프로세스를 찾아 수동으로 종료하시기 바랍니다.
프로그램 삭제는 제어판에 등록된 "Mscryp Control" 삭제 항목을 이용하여 삭제할 수 있습니다.
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Extensions\{00000004-F985-406F-86C1-E8C07C4EAA33}
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Extensions\{00000005-FA8F-45ED-9476-7B7E2F32EE85}
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Extensions\{0000000A-0E28-4E1D-B99F-E4482E587CA4}
HKEY_LOCAL_MACHINE\SOFTWARE\AppDataLow
- msc = a
HKEY_LOCAL_MACHINE\SOFTWARE\AppDataLow\mscryp
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- mscryp = C:\Documents and Settings\(사용자 계정)\Application Data\Microsoft\mscryp\mscryp.exe
- upmscryp = C:\Documents and Settings\(사용자 계정)\Application Data\Microsoft\mscryp\upmscryp.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\mscryp_is1
하지만 프로그램 삭제 이후에도 명령 모음에 등록된 "11번가" 바로가기 항목이 여전히 등록되어 수익을 창출할 수 있습니다.
그러므로 레지스트리 편집기(regedit)를 실행하여 다음의 레지스트리 값을 찾아 추가로 삭제하시기 바랍니다.
HKEY_USERS\S-1-5-21-1844237615-308236825-682003330-500\Software\Microsoft\Internet Explorer\Extensions\{0000000A-0E28-4E1D-B99F-E4482E587CA4}
해당 프로그램은 기존부터 마이크로소프트(Microsoft) 관련 프로그램처럼 등록하는 경향이 강하며, 지속적으로 다양한 변종을 배포하고 있으므로 주의하시기 바랍니다.