Windows 시작시 업데이트 창 생성을 통해 국내에서 제작된 INSAFE, JDK 계열의 광고 프로그램 및 INISafe, Resttime, PC Software 계열의 광고 배포용 프로그램의 설치를 유도할 수 있는 "Windows Mouse Service Fix" 프로그램에 대한 새로운 변종이 확인되어 정보를 공개해 드립니다.
해당 프로그램은 "Mouse Control Service" 광고 프로그램이 설치된 환경에서 많이 발견되고 있으므로 참고하시기 바랍니다.
■ "Windows Mouse Service Fix" 변종 프로그램(mcspuvnpmcs.exe) 정보
|
파일 경로 |
C:\Windows\mcspuvnpmcs.exe |
|
MD5 |
304B6CB88CCB401B9E83E175AF024896 |
|
진단명 |
PUP/Win32.IntClient (AhnLab V3) |
|
제품 이름 |
PC Software |
|
파일 설명 |
mcspuvnpmcs.exe |
|
레지스트리 등록값 |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mcspuvnpmcs |
|
비고 |
서비스(mcspuvnpmcs, 표시 이름 : mcspuvnpmcs.exe) 등록 파일 |
"Windows Mouse Service Fix" 광고 배포용 프로그램은 Windows 폴더 내에 변종에 따라 다양한 파일명으로 생성되며, 파일 속성값에 등록된 "PC Software" 또는 "Resttime" 값으로 구분할 수 있습니다.
프로그램 설치 과정은 특정 서버로부터 service.zip 압축 파일(SHA-1 : d6cb958e41b8717f7769b55863692720f4ea26d3)을 다운로드하여 "C:\Users\(사용자 계정)\AppData\Local\Temp\service.exe" 파일로 압축 해제한 후 Windows 폴더에 자가 복제를 통해 설치가 진행됩니다.
"mcspuvnpmcs (표시 이름 : mcspuvnpmcs.exe)" 서비스 항목을 등록하여 시스템 시작시 "C:\Windows\mcspuvnpmcs.exe" 파일을 자동 실행하며, 실행된 파일은 업데이트 서버에 등록된 정보를 체크하여 업데이트 창 생성을 통해 추가적인 프로그램 설치를 유도할 수 있을 것으로 추정됩니다.
추정되는 업데이트 동작을 유추해보면 업데이트 서버로부터 추가적인 파일 다운로드을 통해 "C:\Windows\Temp\recom.exe" 파일 생성 및 실행을 통해 "업데이트 안내" 창을 구현할 수 있을 것으로 보입니다.
기본적으로 프로그램 삭제는 제어판에 등록된 "Windows Mouse Service Fix" 삭제 항목을 이용하여 삭제할 수 있으며, 수동으로 프로그램 삭제를 원하시는 분은 다음의 절차를 참고하시기 바랍니다.
(a) "보조 프로그램 → 명령 프롬프트" 메뉴를 "관리자 권한으로 실행"하여 생성된 명령 프롬프트 창에 [sc delete "mcspuvnpmcs"] 명령어를 입력 및 실행하여 등록된 서비스 레지스트리 값을 자동으로 삭제할 수 있습니다.(※ 명령어에 입력되는 변수는 파일명에 따라 달라질 수 있습니다.)
(b) "C:\Windows\mcspuvnpmcs.exe" 파일을 찾아 삭제하시기 바랍니다.
"Windows Mouse Service Fix" 광고 배포용 프로그램은 마치 마우스(Mouse) 관련 정상적인 소프트웨어로 이름을 등록하여 사용자에게 많은 혼동을 유발하고 있으므로 설치되지 않도록 주의하시기 바랍니다.