시스템 부팅 후 업데이트 창 생성을 통해 국내에서 제작된 INSAFE, JDK 계열 광고 프로그램 및 INISafe, Resttime, PC Software 계열 광고 배포용 프로그램 등의 설치를 유도할 수 있는 "Windows User Configure for PC" 프로그램에 대한 새로운 변종이 확인되어 정보를 공개해 드립니다.

해당 프로그램은 "Windows Reflection Service" 광고 프로그램이 설치된 환경에서 많이 확인되고 있으므로 참고하시기 바랍니다.

 

"Windows User Configure for PC" 변종 프로그램(ripuvnpri.exe) 정보

 

파일 경로

 C:\Windows\ripuvnpri.exe

MD5

 93BDDDAC67E825A3F9F68672F570839A

진단명

 MalSign.Generic.EE7 (AVG)

디지털 서명

 INSAFE

제품 이름

 INISafe

파일 설명

 ripuvnpri.exe

레지스트리

등록값

 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ripuvnpri

비고

 서비스(ripuvnpri, 표시 이름 : ripuvnpri.exe) 등록 파일

 

INSAFE 디지털 서명이 포함된 "Windows User Configure for PC" 광고 배포용 프로그램은 Windows 폴더 내에 변종에 따라 다양한 파일명으로 설치가 이루어집니다.

 

설치 과정을 살펴보면 특정 서버로부터 service.zip 압축 파일을 다운로드하여 "C:\Users\(사용자 계정)\AppData\Local\Temp\service.exe" 파일로 압축 해제한 후 Windows 폴더에 다양한 파일명으로 자가 복제가 이루어집니다.

 

"ripuvnpri (표시 이름 : ripuvnpri.exe)" 서비스 항목을 등록하여 시스템 시작시 "C:\Windows\ripuvnpri.exe" 파일을 자동 실행합니다.

자동 실행된 파일은 업데이트 서버에 추가적인 정보가 등록되어 있을 경우 추가적인 파일 다운로드를 통해 "C:\Windows\Temp\recom.exe" 파일 생성 및 실행을 통해 "업데이트 안내" 창을 생성하여 다양한 제휴(스폰서) 프로그램의 설치를 유도할 수 있습니다.

 

기본적으로 프로그램 삭제는 제어판에 등록된 "Windows User Configure for PC" 삭제 항목을 이용하여 삭제할 수 있으며, 수동으로 프로그램 삭제가 필요한 경우에는 다음의 절차를 참고하시기 바랍니다.

 

(a) "보조 프로그램 → 명령 프롬프트" 메뉴를 "관리자 권한으로 실행"하여 생성된 명령 프롬프트 창에 [sc delete "ripuvnpri"] 명령어를 입력 및 실행하여 등록된 서비스 레지스트리 값을 자동으로 삭제할 수 있습니다.(※ 명령어에 입력되는 변수는 파일명에 따라 달라질 수 있습니다.)

(b) "C:\Windows\ripuvnpri.exe" 파일을 찾아 삭제하시기 바랍니다.

 

"Windows User Configure for PC" 광고 배포용 프로그램은 Windows 관련 프로그램처럼 이름을 등록하여 사용자에게 혼동을 유발하고 있으므로 설치되지 않도록 주의하시기 바랍니다.

 

 

신고
블로그 이미지

벌새

울지않는벌새가 되고 싶은 나..