국내에서 제작된 광고 프로그램 중 "Windows Reflection Service" 프로그램과 동일한 폴더명을 사용하여 수익 활동을 하는 "Reflection Information Client x86" 검색 도우미 프로그램에 대한 정보가 수집되어 파일 정보를 공개해 드립니다.
▷ 검색 도우미 : Windows Reflection Service - rimirnmums.exe (2013.11.7)
▷ 검색 도우미 : Windows Reflection Service - rimirpnvup.exe (2013.11.8)
▷ 검색 도우미 : Windows Reflection Service - rimirnmsnon.exe (2013.11.19)
우선 Windows Reflection Service, Reflection Information Client x86 프로그램을 사용자 PC에 설치하기 위해 활용되는 배포용 프로그램 "Windows AutoFix"에 대한 새로운 정보를 먼저 살펴보도록 하겠습니다.
기존글에서 언급한 "Windows Reflection Service" 프로그램 정보에서 소개한 배포용 프로그램(INSafe mode, Utility Folder, Windows User Configure for PC, Windows Fix Errors)의 변종 프로그램이므로 참고하시기 바랍니다.
■ "Windows AutoFix" 변종 프로그램 정보
파일 경로 |
C:\Windows\nvpmqmnnv.exe |
MD5 |
F3F835326E4C195019BE48F726860E0C |
진단명 |
a variant of Win32/AdWare.Kraddare.IL (ESET) |
파일 설명 |
nvpmqmnnv.exe |
제품 이름 |
INISafe |
레지스트리 등록값 |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\nvpmqmnnv |
비고 |
서비스(nvpmqmnnv) 등록 파일 |
"Windows AutoFix" 프로그램은 "nvpmqmnnv" 서비스 항목을 등록하여 시스템 시작시 "C:\Windows\nvpmqmnnv.exe" 파일을 자동 실행하여 추가적인 프로그램 설치를 시도할 수 있을 것으로 추정됩니다.
프로그램 삭제는 제어판에 등록된 "Windows AutoFix" 삭제 항목을 이용하여 삭제할 수 있으며, 사용자가 직접 삭제하기 위해서는 다음과 같은 절차를 이용하시기 바랍니다.
(a) "보조 프로그램 → 명령 프롬프트" 메뉴를 "관리자 권한으로 실행"하여 [sc delete "nvpmqmnnv"] 명령어를 입력 및 실행하여 서비스 등록값을 삭제할 수 있습니다.
(b) 그 후 "C:\Windows\nvpmqmnnv.exe" 파일을 찾아 삭제하시기 바랍니다.
■ "Reflection Information Client x86" 변종 프로그램 정보
위에서 살펴본 "Windows AutoFix"와 같은 다양한 변종 배포용 프로그램을 통해 최종적으로 "Reflection Information Client x86" 또는 "Windows Reflection Service" 검색 도우미 프로그램과 같은 광고 프로그램을 설치하며, 해당 광고 프로그램 역시 동일한 폴더(파일)를 사용하면서 프로그램 이름은 다양하게 등록하는 변칙적인 배포가 이루어지고 있습니다.
파일 경로 |
C:\Program Files\Information Reflection\reflectioninfo.exe |
MD5 |
4B752894FDAFF3A4C920E2E5BC08D836 |
진단명 |
PUP/Win32.IntClient (AhnLab V3) |
디지털 서명 |
INSAFE |
파일 설명 |
reflectioninfo.exe |
비고 |
메모리 상주 프로세스 |
파일 경로 |
C:\Program Files\Information Reflection\reflectioninfos.exe |
MD5 |
7173AEFED5EB3FF37C82F5B07838D80A |
디지털 서명 |
INSAFE |
파일 설명 |
reflectioninfos.exe |
비고 |
예약 작업(C:\Windows\Tasks\rispmqmnri.job) 등록 파일 |
파일 경로 |
C:\Program Files\Information Reflection\reflectioninfou.exe |
MD5 |
66CA67FD304C08483091128BE7A19243 |
진단명 |
PUP/Win32.IntClient (AhnLab V3) |
디지털 서명 |
INSAFE |
파일 설명 |
reflectioninfou.exe |
레지스트리 등록값 |
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run - REFLECTIONS |
비고 |
시작 프로그램(REFLECTIONS) 등록 파일 |
파일 경로 |
C:\Windows\ripmqmnri.exe |
MD5 |
11F0D7538D75C0785E86EE65CB3A042C |
진단명 |
a variant of Win32/AdWare.Kraddare.IL (ESET) |
디지털 서명 |
INSAFE |
파일 설명 |
ripmqmnri.exe |
레지스트리 등록값 |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\BootExecute - ripmqmnri.exe HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ripmqmnri |
비고 |
Boot Execute(ripmqmnri.exe) 등록 파일, 서비스(ripmqmnri) 등록 파일 |
파일 경로 |
C:\Windows\system32\drivers\reflectioninfo.sys |
MD5 |
D312A8B9FC9B9FDFEB7C7B94639E60FB |
디지털 서명 |
INSAFE |
파일 설명 |
reflectioninfo.sys |
레지스트리 등록값 |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\reflectioninfo |
비고 |
서비스(reflectioninfo) 드라이버 등록 파일 |
"Reflection Information Client x86" 검색 도우미 프로그램은 "Windows Reflection Service" 프로그램과 동일한 "C:\Program Files\Information Reflection" 폴더에 파일을 생성하며, 시스템 시작시 다양한 위치에서 프로그램이 자동 실행되도록 등록하고 있습니다.
생성 파일 모두는 INSAFE 디지털 서명을 포함하고 있으며, 서비스에 등록된 "C:\Windows\ripmqmnri.exe" 파일은 변종에 따라 다양한 파일명과 서비스 등록값을 가질 수 있습니다.
프로그램 삭제를 위해서는 제어판에 등록된 "Reflection Information Client x86" 삭제 항목을 통해 삭제를 지원하고 있으며, 사용자에 의한 프로그램 삭제를 위해서는 다음과 같은 절차를 따르시기 바랍니다.
(a) Windows 작업 관리자를 실행하여 reflectioninfo.exe 프로세스를 찾아 "프로세스 끝내기"를 실행하시기 바랍니다.
(b) "보조 프로그램 → 명령 프롬프트" 메뉴를 "관리자 권한으로 실행"하여 생성된 명령 프롬프트 창에 [sc delete "ripmqmnri"]와 [sc delete "reflectioninfo"] 명령어를 순서대로 입력 및 실행하여 서비스 등록값을 자동 삭제하시기 바랍니다.
(c) Windows 탐색기를 실행하여 다음의 폴더 및 파일을 삭제하시기 바랍니다.
- C:\Program Files\Information Reflection
- C:\Windows\ripmqmnri.exe
- C:\Windows\Tasks\rispmqmnri.job
- C:\Windows\system32\drivers\reflectioninfo.sys
참고로 "C:\Windows\system32\drivers\reflectioninfo.sys" 드라이버 파일 삭제시 블루스크린(BSoD) 발생 또는 파일 삭제가 되지 않는 경우에는 GMER 도구를 이용하여 "Files" 메뉴에서 파일을 찾아 "Delete" 버튼을 클릭하여 삭제하시기 바랍니다.
(d) 레지스트리 편집기(regedit)를 실행하여 다음의 레지스트리 값을 찾아 삭제하시기 바랍니다.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- REFLECTIONS
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SessionManager\BootExecute
- ripmqmnri.exe
Windows Reflection Service, Reflection Information Client x86 광고 프로그램은 다양한 변종 프로그램을 통해 지속적으로 사용자 PC에 설치되어 공격적인 광고창 생성 등의 행위로 돈벌이를 시도하고 있는 것으로 알려져 있으므로, 광고 프로그램의 설치를 유도할 수 있는 배포용 프로그램이 설치되지 않도록 신뢰성이 확인되지 않은 파일을 다운로드하여 실행하는 일이 없도록 주의하시기 바랍니다.