국내에서 제작된 광고 프로그램 중 교묘한 방식으로 설치되어 인터넷 쇼핑몰 광고창 등을 자동으로 생성하는 "Windows Reflection Service" 프로그램은 다양한 변종이 지속적으로 유포되고 있는 것으로 보입니다.
▷ 검색 도우미 : Windows Reflection Service - rimirnmums.exe (2013.11.7)
▷ 검색 도우미 : Windows Reflection Service - rimirpnvup.exe (2013.11.8)
이렇게 설치되는 "Windows Reflection Service" 프로그램의 배포 방식 중 대표적으로 "Windows User Configure for PC" 프로그램이 사전에 설치된 환경에서 추가적인 제휴 프로그램으로 "Windows Reflection Service" 프로그램을 설치하는 것으로 보입니다.
이 글에서는 새롭게 확인된 "Windows User Configure for PC" 변종 프로그램과 해당 프로그램을 통해 추가적으로 설치될 수 있는 "Windows Reflection Service" 프로그램의 파일 정보 및 수동 삭제 방법을 살펴보도록 하겠습니다.
■ "Windows User Configure for PC" 프로그램 정보
▷ 국내 악성코드 : INSafe mode (2013.9.26)
▷ 네이버 지식인 답변글을 이용한 제휴 프로그램 유포 주의 (2013.9.27)
해당 프로그램은 다양한 광고 프로그램 배포 목적으로 제작된 것으로 보이며, INSafe mode, Utility Folder, Windows Fix Errors, Windows AutoFix 등의 다양한 변종 프로그램이 존재하는 것으로 보입니다.
파일 경로 |
C:\Windows\rinonsmnri.exe |
MD5 |
1E7F0C3706EF09F98BA3C54A43477698 |
디지털 서명 |
INSAFE |
파일 설명 |
rinonsmnri.exe |
제품 이름 |
INISafe |
레지스트리 등록값 |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\rinonsmnri |
비고 |
서비스(rinonsmnri) 등록 파일 |
"Windows User Configure for PC" 프로그램은 "rinonsmnri" 서비스 항목을 등록하여 시스템 시작시 "C:\Windows\rinonsmnri.exe" 파일을 자동 실행하도록 구성되어 있으며, 특정 시점에서 업데이트 창 등을 통해 사용자를 기만하여 불필요한 프로그램(PUP)을 설치하도록 제작된 것으로 보입니다.
특히 프로그램 이름(Windows User Configure for PC)을 Windows 관련 프로그램처럼 등록하여 사용자가의 눈을 피하고 있기에 제어판에서 삭제를 지원하지만 쉽게 찾을 수 없도록 한 점이 특징입니다.
프로그램을 찾아 직접 삭제해야 할 경우에는 "보조 프로그램 → 명령 프롬프트" 메뉴를 "관리자 권한으로 실행"하여 생성된 명령 프롬프트 창에 [sc delete "rinonsmnri"] 명령어 입력 및 실행을 통해 서비스 등록값을 삭제한 후 파일(C:\Windows\rinonsmnri.exe)을 찾아 삭제하시면 됩니다.
■ "Windows Reflection Service" 변종 프로그램 정보
"Windows Reflection Service" 프로그램은 제어판 등록 이름과 설치 폴더(C:\Program Files\Information Reflection)는 동일한 이름을 사용하고 있지만, 서비스 파일명을 지속적으로 변경하여 다양한 변종 프로그램을 유포하고 있는 것을 확인되고 있습니다.
특히 프로그램이 생성한 서비스 드라이버 파일(C:\Windows\system32\drivers\reflectioninfo.sys)을 직접 삭제시 블루 스크린(BSoD) 발생 등의 문제를 유발할 수 있는 불량한 프로그램으로 보입니다.
파일 경로 |
C:\Program Files\Information Reflection\reflectioninfos.exe |
MD5 |
DCA3565F28D70311328F9BC3D499DCBB |
디지털 서명 |
INSAFE |
파일 설명 |
reflectioninfos.exe |
비고 |
예약 작업(risnonsmnri.job) 등록 파일 |
파일 경로 |
C:\Program Files\Information Reflection\reflectioninfou.exe |
MD5 |
AD74A8FDC51A11A3F9F968060028F223 |
진단명 |
PUP/Win32.IntClient (AhnLab V3) |
디지털 서명 |
INSAFE |
파일 설명 |
reflectioninfou.exe |
레지스트리 등록값 |
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run - REFLECTIONS |
비고 |
시작 프로그램(REFLECTIONS) 등록 파일 |
파일 경로 |
C:\PROGRA~1\INFORM~1\REFLEC~4.EXE |
MD5 |
AD74A8FDC51A11A3F9F968060028F223 |
진단명 |
PUP/Win32.IntClient (AhnLab V3) |
디지털 서명 |
INSAFE |
시작 프로그램 폴더 등록값 |
C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\REFLEC~4.EXE |
비고 |
시작 프로그램 폴더 등록 파일(= reflectioninfou.exe) |
파일 경로 |
C:\Windows\rimirnmsnon.exe |
MD5 |
A7A359269E4E0B56C8EB88AE4001B29B |
디지털 서명 |
INSAFE |
파일 설명 |
rimirnmsnon.exe |
레지스트리 등록값 |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\rimirnmsnon |
비고 |
서비스(rimirnmsnon, 표시 이름 : Reflect Service Client) 등록 파일 |
파일 경로 |
C:\Windows\System32\drivers\reflectioninfo.sys |
MD5 |
BFEBFF7430B83FAEE776F31C984B0097 |
디지털 서명 |
INSAFE |
파일 설명 |
reflectioninfo.sys |
레지스트리 등록값 |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\reflectioninfo |
비고 |
서비스(reflectioninfo) 드라이버 등록 파일 |
※ 참고로 이번에 수집된 정보에서는 메모리에 상주하여 광고 기능을 수행하는 "C:\Program Files\Information Reflection\reflectioninfo.exe" 파일에 대한 정보는 제외되어 있습니다.
"Windows Reflection Service" 프로그램은 "C:\Program Files\Information Reflection" 폴더에 파일을 생성하며, Windows 시작시 다양한 방식으로 프로그램을 자동 실행하도록 등록되어 있는 것이 특징입니다.
- 예약 작업에 "risnonsmnri" 작업 스케줄러를 등록하여 "C:\Program Files\Information Reflection\reflectioninfos.exe" 파일을 자동으로 실행합니다.
- 시작 프로그램(Run) 레지스트리 값에 "C:\Program Files\Information Reflection\reflectioninfou.exe" 파일을 등록하여 업데이트 체크를 수행합니다.
- 시작 프로그램 폴더(C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup)에 REFLEC~(숫자).EXE 파일(= reflectioninfou.exe)을 등록하여 자동 실행되어 업데이트 체크를 수행합니다.
- "rimirnmsnon" 서비스 항목을 등록하여 "C:\Windows\rimirnmsnon.exe" 파일을 자동 실행하도록 구성되어 있습니다.
이를 통해 최종적으로 "C:\Program Files\Information Reflection\reflectioninfo.exe" 파일을 메모리에 상주하여 사용자가 인터넷 검색을 수행하는 과정에서 다양한 광고창을 반복적으로 생성하여 수익을 내는 구조로 보입니다.
또한 "Windows Reflection Service" 프로그램은 변종에 따라 "C:\Windows" 폴더 내에 생성되는 서비스 파일명 및 서비스 등록값이 다양한 이름으로 생성될 수 있습니다.
기본적으로 프로그램 삭제는 제어판에 등록된 "Windows Reflection Service" 삭제 항목을 이용하여 삭제할 수 있지만, 깨끗한 삭제를 원하는 경우에는 다음의 절차를 따르시기 바랍니다.
(a) Windows 작업 관리자를 실행하여 reflectioninfo.exe 프로세스를 찾아 "프로세스 끝내기"를 하시기 바랍니다.
(b) "보조 프로그램 → 명령 프롬프트" 메뉴를 "관리자 권한으로 실행"하여 생성된 명령 프롬프트 창에 [sc delete "rimirnmsnon] 명령어를 입력 및 실행한 후 [sc delete "reflectioninfo"] 명령어를 입력 및 실행하여 서비스 등록값을 자동으로 삭제하시기 바랍니다.
(c) Windows 탐색기를 실행하여 다음의 폴더 및 파일을 찾아 삭제하시기 바랍니다.
- C:\Program Files\Information Reflection
- C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\REFLEC~(숫자).EXE
- C:\Windows\rimirnmsnon.exe
- C:\Windows\System32\drivers\reflectioninfo.sys
- C:\Windows\Tasks\risnonsmnri.job
참고로 "C:\Windows\System32\drivers\reflectioninfo.sys" 드라이버 파일 삭제시 블루스크린(BSoD) 등의 문제가 발생할 경우에는 GMER 도구를 이용하여 "Files" 탭에서 해당 파일을 찾아 선택한 후 "Delete" 버튼을 실행하여 삭제하시기 바랍니다.(※ 파일 삭제시 안전 모드(F8)에서 진행하시길 권장합니다.)
(d) 레지스트리 편집기(regedit)를 실행하여 다음의 레지스트리 값을 찾아 삭제하시기 바랍니다.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- REFLECTIONS
"Windows Reflection Service" 프로그램은 다양한 변종 프로그램(※ Reflection Infomation Client x86)이 유포되고 있는 것으로 추정되며, 이런 프로그램은 대부분 사용자가 화면을 살피지 않는 잘못된 습관을 교묘하게 이용하여 설치가 된다는 점에서 사용자가 조금만 더 화면을 꼼꼼하게 살피는 습관이 필요합니다.