시스템 시작시 "마우스 컨트롤 서비스" 업데이트 창 생성을 통해 제휴 프로그램으로 추가된 광고 배포 프로그램과 광고창 생성 프로그램 다수를 설치 유도하는 악성 프로그램이 상당 기간 유포되고 있기에 수집된 정보를 기반으로 공개해 드리겠습니다.
확인된 "업데이트 안내" 창에서는 "마우스 컨트롤 서비스"라는 이름의 이용약관을 제시하여 불필요한 프로그램(PUP) 다수를 설치하도록 유도하고 있으며, 일부 업데이트 창 생성 프로그램의 경우 제어판에 등록하지 않거나 등록된 프로그램 이름이 정상적인 소프트처럼 위장하여 사용자에게 많은 혼동을 유발하고 있는 것으로 파악되고 있습니다.
일반적인 유포 방식은 위와 같은 다양한 변종 배포 프로그램을 통해 특정 서버에서 service2.zip 압축 파일을 다운로드하여 "C:\Users\(사용자 계정)\AppData\Local\Temp\service2.exe" 파일로 압축 해제하여 Windows 폴더에 자가 복제 방식으로 설치가 진행되고 있습니다.
파일 경로 |
C:\Windows\spuvnppdsup.exe |
MD5 |
43CA75495807CF1BCBB8F02C8ADCC763 |
진단명 |
Trojan.GenericKD.1659423 (BitDefender) |
디지털 서명 |
INSAFE |
파일 설명 |
spuvnppdsup.exe |
제품 이름 |
Service Manager |
레지스트리 등록값 |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\spuvnppdsup |
비고 |
서비스(spuvnppdsup, 표시 이름 : spuvnppdsup.exe) 등록 파일 |
Windows 폴더에 생성된 파일은 INSAFE 디지털 서명 또는 디지털 서명이 없는 형태로 설치될 수 있으며, 변종에 따라 다양한 파일명과 서비스명으로 등록될 수 있습니다.
동작 방식을 살펴보면 "spuvnppdsup (표시 이름 : spuvnppdsup.exe)" 서비스 항목을 등록하여 시스템 시작시 "C:\Windows\spuvnppdsup.exe" 파일을 자동 실행하도록 구성되어 있으며, 실행된 서비스 파일(spuvnppdsup.exe)은 특정 서버에서 정보를 체크한 후 자동 종료 처리됩니다.
하지만 특정 시점에서는 "마우스 컨트롤 서비스" 관련 업데이트 창을 생성하여 사용자의 실수를 유발하여 다수의 제휴 프로그램을 설치하는 구조를 가지고 있습니다.
이번에 확인한 프로그램의 경우에는 제어판에는 프로그램이 등록되어 있지 않지 않기 때문에(※ 제어판에 등록되어 있었지만 사용자가 삭제시 삭제된 것처럼 사용자를 속였을 가능성도 있습니다. 또한 다양한 프로그램 이름으로 제어판에 등록될 수 있습니다.) 업데이트 창 생성 프로그램의 정체를 확인하기 매우 어려울 수 있습니다.
위와 유사한 기존에 발견된 프로그램을 살펴보면 INSafe mode, Utility Folder, System Management, "System Management" 변종 프로그램(SystemUpService) 등이 있었습니다.
이를 통해 설치될 수 있는 유사 계열의 광고 배포 기능을 가진 프로그램과 광고창 생성 기능을 가진 프로그램의 대표적인 사례는 다음과 같습니다.
■ 광고 배포 기능 프로그램
- FixError for Windows
- Mouse Control Client
- Mouse Control Service
- Smart Update Windows Application
- Windows AutoFix
- Windows Error Clear
- Windows Fix Errors
- Windows Fixs
- Windows Mouse Service Fix
■ 광고창 생성 기능 프로그램
- EasyClean 또는 이지클린
- Windows Baro Visit
- Windows GearExtion
- Windows IP View (XP,Win7,Win8)
특히 이들 프로그램은 프로그램 이름은 동일하지만 중요 파일명이 다양하게 제작되어 배포되고 있는 것으로 파악되고 있습니다.
이처럼 "마우스 컨트롤 서비스" 업데이트 창이 생성될 경우에는 Sysinternals Process Explorer 도구를 이용하여 실행 중인 프로세스 중 Windows 폴더에 위치하면서 디지털 서명 및 파일 속성값을 기반으로 파일명(※ 예 : SPMONRSRWQRSP.EXE, SPMONRUVZTSP.EXE, SPMONRVVWWSP.EXE, SPMONRZUVXSP.EXE, SPMONSSZVQUSP.EXE, SPMONTQUQRSP.EXE, SPMONTYZRTSP.EXE, SPMONTYZTSP.EXE, SPMONURTUVSP.EXE, SPMONUVWZXVSP.EXE, SPMONUYXQSP.EXE, SPMONVVWWSP.EXE, SPMONWQXYUSP.EXE, SPMONWQYQRSP.EXE, SPMONWWRXYUSP.EXE, SPMONXSZXSP.EXE, SPMONXXYSVSP.EXE, SPMONXXYTSP.EXE, SPMONZRSQRSP.EXE, SPMONZXSZSP.EXE, SPMONZXTTSP.EXE, SPMQMNPDSUP.EXE 등)이 의미없이 독특한 이름을 가진 프로세스를 찾아 종료 후 파일을 삭제하시기 바랍니다.
그 후 "보조 프로그램 → 명령 프롬프트" 메뉴를 "관리자 권한으로 실행"하여 생성된 명령 프롬프트 창에 [sc delete "spuvnppdsup"] 명령어를 입력 및 실행하여 서비스 값을 삭제하시면 해결됩니다.
주의할 점은 명령어의 구조는 [sc delete "파일명"] 형태로 구성되어 있으므로 앞서 삭제한 파일명을 응용하시면 됩니다.
만약 위의 조치 방식에 어려움을 겪는 분들은 "[공지] 광고 프로그램 삭제 관련 문의 방법" 글을 참고하여 Runscanner 프로그램을 통해 run 파일을 제작하여 이메일로 문의해 주시면 도움을 드리도록 하겠습니다.
마지막으로 PC를 이용하는 과정에서 의심스러운 업데이트 창이 생성된 경우에는 함부로 확인 버튼을 클릭하지 마시기 바라며, Sysinternals Process Explorer 도구의 바이러스토탈(VirusTotal) 검사 기능을 이용하여 어떤 프로세스가 업데이트 창을 생성했는지 조사하여 관련 파일을 찾아 삭제를 하는 공격적인 방어를 하시기 바랍니다.