국내에서 제작된 Intelligent 광고 프로그램은 다양한 유사 변종 프로그램과 함께 사용자 PC에 설치되어 공격적인 마케팅 활동을 한 것으로 판단됩니다.
▷ 국내 악성코드 : Windows mouse protection release - spmonxxysvsp.exe (2013.11.26)
▷ 검색 도우미 : Internet Service Manager - ismuuvpshr.exe (2013.11.26)
그 외에 Mouse Control Client 프로그램과 같이 광고 프로그램과는 전혀 다른 이름으로 설치되어 사용자에 의한 프로그램 삭제에 혼동을 유발하고 있습니다.
이에 최근 수집된 Intelligent 프로그램의 일부 파일 정보를 바탕으로 프로그램 구성 및 삭제 방법에 대해 살펴보도록 하겠습니다.
■ Intelligent 변종 프로그램 정보
|
파일 경로 |
C:\Program Files (x86)\Intelligent Client\intelligent.exe |
|
MD5 |
3D09C66E37FA1695FE9493DDC84241D1 |
|
진단명 |
Win32:Adware-AZP [Adw] (avast!) |
|
디지털 서명 |
JDK |
|
파일 설명 |
인텔리전트 |
|
제품 이름 |
인텔리전트 |
|
비고 |
메모리 상주 프로세스 |
|
파일 경로 |
C:\Program Files (x86)\Intelligent Client\intelligents.exe |
|
MD5 |
1C5B0EBA0EFA6214E87BF95694427E38 |
|
진단명 |
PUP/Win32.iservicemgr (AhnLab V3) |
|
디지털 서명 |
JDK |
|
파일 설명 |
intelligents.exe |
|
비고 |
예약 작업(C:\Windows\Tasks\icsttuoric.job) 등록 파일 |
|
파일 경로 |
C:\Program Files (x86)\Intelligent Client\intelligentu.exe |
|
MD5 |
DAB1FB5261CD29992A277C00C22958EF |
|
진단명 |
PUP/Win32.iservicemgr (AhnLab V3) |
|
디지털 서명 |
JDK |
|
파일 설명 |
intelligentu.exe |
|
레지스트리 등록값 |
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run - INTELLIGENTCLIENT |
|
비고 |
시작 프로그램(INTELLIGENTCLIENT) 등록 파일, 시작 프로그램 폴더 등록 파일(C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\intelligentu.lnk) |
|
파일 경로 |
C:\Windows\icmttuoric.exe |
|
MD5 |
CE5B9F75F63A197E129D5014639E91D5 |
|
진단명 |
Win32:Adware-AZP [Adw] (avast!) |
|
디지털 서명 |
JDK |
|
파일 설명 |
icmttuoric.exe |
|
레지스트리 등록값 |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\icmttuoric |
|
비고 |
서비스(icmttuoric) 등록 파일 |
※ Intelligent 프로그램의 생성 파일 중 "C:\Windows\system32\drivers\intelligent.sys" 서비스 드라이버 등록 파일은 수집되지 않은 관계로 누락되어 있는 것으로 추정됩니다.
JDK 디지털 서명이 포함된 Intelligent 프로그램은 "C:\Program Files (x86)\Intelligent Client" 폴더에 주요 파일을 생성하며, 변종에 따라 서비스에 등록된 "C:\Windows\icmttuoric.exe" 파일명 및 서비스 등록값이 다를 수 있습니다.
설치된 Intelligent 프로그램은 서비스, 시작 프로그램, 예약 작업 등의 다양한 위치에서 시스템 시작시 프로그램이 자동 실행되도록 구성되어 있으며, 이를 통해 다양한 마케팅 활동을 통해 수익 창출 행위를 할 수 있으리라 판단됩니다.
프로그램은 기본적으로 제어판에 등록된 "Intelligent" 삭제 항목을 통해 프로그램을 삭제할 수 있도록 지원하고 있지만, 사용자에 의한 삭제 방식을 추가적으로 참고하시기 바랍니다.
(a) "보조 프로그램 → 명령 프롬프트" 메뉴를 "관리자 권한으로 실행"하여 실행된 명령 프롬프트 창에 [sc delete "icmttuoric"] 명령어를 입력 및 실행하여 등록된 서비스 값을 자동으로 삭제할 수 있습니다.
(b) Windows 작업 관리자를 실행하여 메모리에 상주하는 intelligent.exe 프로세스를 찾아 종료하시기 바랍니다.
(c) Windows 탐색기를 실행하여 다음의 폴더(파일)를 찾아 삭제하시기 바랍니다.
- C:\Program Files (x86)\Intelligent Client
- C:\Windows\icmttuoric.exe
- C:\Windows\system32\drivers\intelligent.sys
- C:\Windows\Tasks\icsttuoric.job
- C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\intelligentu.lnk
(d) 레지스트리 편집기(regedit)를 실행하여 다음의 레지스트리 값을 찾아 삭제하시기 바랍니다.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- INTELLIGENTCLIENT
Intelligent 프로그램의 이름은 마우스(Mouse) 관련 프로그램과 같은 정상적인 프로그램처럼 사용자를 기만하는 이름으로 등록되어 있으며, 이를 통해 광고창, 바로가기 아이콘 등을 생성하여 지속적인 불편을 유발할 수 있으므로 설치되어 있다면 삭제를 하시기 바랍니다.