"외국어 자동번역 검색 수익분배 시스템"으로 표시된 프로그램 설치를 통해 광고 기능을 수행하는 "Internet Explorer Distribution Of Earnings" 검색 도우미 프로그램이 최근 사용자에 의한 프로그램 삭제를 방해할 목적으로 제어판에 등록하지 않는 방식으로 설치가 이루어지고 있는 변종<SHA-1 : 81ddc78a5263f5291c798d8c83da9ab72db6a5bd - AhnLab V3 : PUP/Win32.MicroLab.R102356 (VT : 11/52)> 유포 사례를 확인하였습니다.
참고로 "Internet Explorer Distribution Of Earnings" 프로그램은 외국어 번역 기능은 존재하지 않는 광고 프로그램이므로 속지 않도록 주의하시기 바랍니다.
프로그램 설치 과정을 살펴보면 배포 파일이 다운로드되어 실행되면 다음과 같은 3개의 파일을 생성합니다.
- C:\Users\(사용자 계정)\AppData\Roaming\WinCtrView\Engin\ProVision\WinCtrCon.exe
- C:\Windows\System32\MSINET.OCX
- C:\Windows\System32\VB6KO.DLL
생성된 "C:\Users\(사용자 계정)\AppData\Roaming\WinCtrView\Engin\ProVision\WinCtrCon.exe" 파일은 특정 서버에서 추가적인 정보를 체크하여 "Internet Explorer Distribution Of Earnings" 프로그램 관련 파일들을 다운로드하여 "C:\Users\(사용자 계정)\AppData\Roaming\WinCtrView\Engin\ProVersion" 폴더에 설치를 진행합니다.
- h**p://220.73.162.*/Download/Uninstall_Ctr.exe (SHA-1 : 7bda56de2b09009bc4212b78c03268f16be9f4b5) :: (= Uninstaller.exe)
- h**p://220.73.162.*/Download/WinCtrCon.exe (SHA-1 : de9bf8f0163c7760c9f0abc286a9e644bb85d49e) - BitDefender : Gen:Variant.Adware.Kazy.281894 (VT : 25/53)
- h**p://220.73.162.*/Download/WinCtrProc.exe (SHA-1 : e3d4b3dc95915221faf4058e2f359913500aaf03) - AhnLab V3 : PUP/Win32.MicroNames.C310866 (VT : 21/52)
C:\Users\(사용자 계정)\AppData\Roaming\WinCtrView
C:\Users\(사용자 계정)\AppData\Roaming\WinCtrView\Engin
C:\Users\(사용자 계정)\AppData\Roaming\WinCtrView\Engin\ProVersion
C:\Users\(사용자 계정)\AppData\Roaming\WinCtrView\Engin\ProVersion\Uninstall
C:\Users\(사용자 계정)\AppData\Roaming\WinCtrView\Engin\ProVersion\Uninstall\Uninstaller.exe :: 프로그램 삭제 파일
C:\Users\(사용자 계정)\AppData\Roaming\WinCtrView\Engin\ProVersion\WinCtrCon.exe :: 시작 프로그램(WinCtrCon) 등록 파일
C:\Users\(사용자 계정)\AppData\Roaming\WinCtrView\Engin\ProVersion\WinCtrProc.exe :: 시작 프로그램(WinCtrProc) 등록 파일, 메모리 상주 프로세스
C:\Users\(사용자 계정)\AppData\Roaming\WinCtrView\Engin\ProVision
C:\Users\(사용자 계정)\AppData\Roaming\WinCtrView\Engin\ProVision\WinCtrCon.exe
C:\Windows\System32\MSINET.OCX
C:\Windows\System32\VB6KO.DLL
C:\Users\(사용자 계정)\AppData\Roaming\WinCtrView\Engin\ProVersion\WinCtrCon.exe
- SHA-1 : de9bf8f0163c7760c9f0abc286a9e644bb85d49e
- BitDefender : Gen:Variant.Adware.Kazy.281894 (VT : 25/53)
C:\Users\(사용자 계정)\AppData\Roaming\WinCtrView\Engin\ProVersion\WinCtrProc.exe
- SHA-1 : e3d4b3dc95915221faf4058e2f359913500aaf03
- AhnLab V3 : PUP/Win32.MicroNames.C310866 (VT : 21/52)
C:\Users\(사용자 계정)\AppData\Roaming\WinCtrView\Engin\ProVision\WinCtrCon.exe
- SHA-1 : c67c4f526bd99c72f5eb80e3963905f3fed70b1c
- avast! : Win32:Adware-ADK [PUP] (VT : 20/52)
"MicroNames Ltd." 디지털 서명이 포함된 "Internet Explorer Distribution Of Earnings" 프로그램은 "C:\Users\(사용자 계정)\AppData\Roaming\WinCtrView\Engin\ProVersion" 폴더에 파일을 생성하며, Windows 시작시 다음과 같은 2개의 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.
- WinCtrCon = C:\Users\(사용자 계정)\AppData\Roaming\WinCtrView\Engin\ProVersion\WinCtrCon.exe -wQHxLWEE
- WinCtrProc = C:\Users\(사용자 계정)\AppData\Roaming\WinCtrView\Engin\ProVersion\WinCtrProc.exe -wQHxLWEE
1. WinCtrCon 시작 프로그램 등록값
Windows 시작시 WinCtrCon 시작 프로그램 등록을 통해 "C:\Users\(사용자 계정)\AppData\Roaming\WinCtrView\Engin\ProVersion\WinCtrCon.exe -wQHxLWEE" 파일을 자동 실행하며, 실행된 파일은 특정 서버 정보와 WinCtrProc.exe 파일 버전을 체크합니다.
이를 통해 "C:\Users\(사용자 계정)\AppData\Roaming\WinCtrView\Engin\ProVersion\WinCtrProc.exe" 파일을 실행하여 메모리에 상주시킵니다.
2. WinCtrProc 시작 프로그램 등록값
Windows 시작시 WinCtrProc 시작 프로그램 등록을 통해 "C:\Users\(사용자 계정)\AppData\Roaming\WinCtrView\Engin\ProVersion\WinCtrProc.exe -wQHxLWEE" 파일을 자동 실행하며, 실행된 파일은 광고 구성값 체크 후 메모리에 상주합니다.
이후 8분이 경과하면 WinCtrProc.exe 파일은 특정 서버에서 업데이트 정보를 체크하여 추가적인 파일 다운로드를 통한 프로그램 설치를 진행합니다.
- h**p://220.73.162.*/Download/Uninstall_Ctr.exe (SHA-1 : 7bda56de2b09009bc4212b78c03268f16be9f4b5) :: (= Uninstaller.exe)
- h**p://220.73.162.*/Download/RetainPt.exe (SHA-1 : 9dc0649398db5f3708791d81634cb4fdd9642392) - BitDefender : Gen:Variant.Adware.Graftor.114868 (VT : 20/52)
C:\Users\(사용자 계정)\AppData\Roaming\WinCtrView\Engin\Retain
C:\Users\(사용자 계정)\AppData\Roaming\WinCtrView\Engin\Retain\RetainComp.exe
C:\Users\(사용자 계정)\AppData\Roaming\WinCtrView\Engin\Retain\RetainPt.exe :: 시작 프로그램(RetainGard) 등록 파일
C:\Users\(사용자 계정)\AppData\Roaming\WinCtrView\Engin\Retain\Uninstall
C:\Users\(사용자 계정)\AppData\Roaming\WinCtrView\Engin\Retain\Uninstall\Uninstaller.exe :: 프로그램 삭제 파일
C:\Users\(사용자 계정)\AppData\Roaming\WinCtrView\Engin\Retain\RetainComp.exe
- SHA-1 : 8d2ef4a7533654815a22ab8e6a7b46e08ad79700
- ESET : a variant of Win32/Adware.Hebogo.A (VT : 22/53)
C:\Users\(사용자 계정)\AppData\Roaming\WinCtrView\Engin\Retain\RetainPt.exe
- SHA-1 : 9dc0649398db5f3708791d81634cb4fdd9642392
- BitDefender : Gen:Variant.Adware.Graftor.114868 (VT : 20/52)
"MicroNames Ltd." 디지털 서명이 포함된 Retain 프로그램은 "C:\Users\(사용자 계정)\AppData\Roaming\WinCtrView\Engin\Retain" 폴더에 파일을 생성하며, Windows 시작시 RetainGard 시작 프로그램 등록을 통해 "C:\Users\(사용자 계정)\AppData\Roaming\WinCtrView\Engin\Retain\RetainPt.exe -wQHxLWEE" 파일을 자동 실행하도록 구성되어 있습니다.
자동 실행된 RetainPt.exe 파일은 특정 서버에서 프로그램 업데이트 정보를 체크하여 다음과 같은 파일을 다운로드하여 생성 및 패치를 진행할 수 있습니다.
- h**p://220.73.162.*/Download/RetainComp.exe (SHA-1 : 8d2ef4a7533654815a22ab8e6a7b46e08ad79700) - ESET : a variant of Win32/Adware.Hebogo.A (VT : 22/53)
Retain 프로그램은 실제적인 광고 기능은 수행하지 않지만 시스템 시작시 자동 실행되어 업데이트 체크를 통해 기존에 설치된 프로그램의 재설치 기능을 수행할 것으로 판단됩니다.
3. 광고 기능
"Internet Explorer Distribution Of Earnings" 프로그램이 설치된 환경에서는 사용자가 인터넷 검색을 통해 특정 웹 사이트에 접속하여 조건을 만족시킬 경우 자동으로 광고창을 생성할 수 있습니다.
예를 들어 한게임(HanGame) 웹 사이트에 접속 후 회원 가입 페이지에 접속할 경우 메모리에 상주하는 WinCtrProc.exe 프로세스는 URL 값을 감시하여 광고창을 생성할 수 있습니다.
특히 생성된 광고창은 마치 한게임(HanGame)에서 제공하는 휴대폰 번호 도용 방지 서비스로 오해를 유발할 수 있다는 점에서 주의가 요구됩니다.
또 다른 광고 유형으로는 포털 사이트에서 인터넷 검색시 자동으로 광고창이 생성되는 동작을 확인할 수 있습니다.
4. 프로그램 삭제 방법
"Internet Explorer Distribution Of Earnings" 프로그램은 기존의 분석과는 다르게 프로그램 설치시 제어판의 "프로그램 제거 또는 변경" 목록에 등록하지 않는 수법으로 사용자에 의한 프로그램 삭제를 방해하고 있는 것으로 파악되고 있습니다.(※ 해당 프로그램은 기존의 "Micronames Multi Language Convert Service" 프로그램 배포시에도 제어판에 등록하지 않거나 삭제시 오류를 유발하는 방식으로 삭제를 방해하는 사례가 발견되고 있었습니다.)
- C:\Users\(사용자 계정)\AppData\Roaming\WinCtrView\Engin\ProVersion\Uninstall\Uninstaller.exe
- C:\Users\(사용자 계정)\AppData\Roaming\WinCtrView\Engin\Retain\Uninstall\Uninstaller.exe
해당 프로그램 생성 폴더 내부에는 2개의 삭제 파일이 존재하지만 해당 파일들은 모두 동일한 파일이므로 사용자가 해당 파일을 찾아 직접 실행을 통해 프로그램 삭제를 진행할 수 있습니다.
(a) Windows 작업 관리자를 실행하여 WinCtrProc.exe 프로세스를 찾아 종료하시기 바랍니다.
(b) "C:\Users\(사용자 계정)\AppData\Roaming\WinCtrView\Engin\ProVersion\Uninstall\Uninstaller.exe" 파일을 찾아 직접 실행하시기 바랍니다.
파일 실행을 하면 "외국어 자동번역 검색 수익분배 시스템" 창이 생성되며, "프로그램 삭제" 버튼을 클릭하여 생성된 메시지창의 안내에 따라 삭제를 진행하시기 바라며 프로그램 삭제가 완료된 후에는 "프로그램 닫기" 버튼을 클릭하시면 종료됩니다.
프로그램 삭제 후에는 추가적으로 "C:\Users\(사용자 계정)\AppData\Roaming\WinCtrView" 폴더를 찾아 직접 삭제하시기 바랍니다.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- RetainGard = C:\Users\(사용자 계정)\AppData\Roaming\WinCtrView\Engin\Retain\RetainPt.exe -EPyxkX
- WinCtrCon = C:\Users\(사용자 계정)\AppData\Roaming\WinCtrView\Engin\ProVersion\WinCtrCon.exe -BWMDRbKK
HKEY_CURRENT_USER\Software\RetainGard
HKEY_CURRENT_USER\Software\WinCtrView
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- WinCtrProc = C:\Users\(사용자 계정)\AppData\Roaming\WinCtrView\Engin\ProVersion\WinCtrProc.exe -BWMDRbKK
"Internet Explorer Distribution Of Earnings" 검색 도우미 프로그램은 존재하지도 않는 외국어 자동 번역 프로그램처럼 사용자를 기만하여 설치를 유도하며, 설치된 프로그램은 제어판에 등록하지 않는 방식으로 자신을 숨긴 상태로 광고 기능을 수행하고 있으므로 설치되지 않도록 주의하시기 바랍니다.
☞ 검색 도우미 : 외국어 자동 번역 검색 서비스(Micronames Multi Language Convert Service) (2010.8.14)
☞ 검색 도우미 : Micronames Multi Language Convert Service 2.00 (2011.12.9)
☞ 불법 도박 광고창이 생성되는 "Micronames Multi Language Convert Service" 주의 (2012.3.9)
☞ 검색 도우미 : MicroNames Multi Language Convert Service 3.0 + Windows multi Convert Retain (2012.9.16)